压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

數(shù)據(jù)和各類服務(wù)向云端遷移不禁讓很多企業(yè)開(kāi)始重新思考自己的網(wǎng)絡(luò)安全體系。企業(yè)上云后究竟會(huì)面臨什么樣的安全風(fēng)險(xiǎn)？

對(duì)乙方來(lái)說(shuō)，本文是一個(gè)可作參考的 checklist——我采購(gòu)的云安全工具與服務(wù)是否能夠保護(hù)我所有的敏感數(shù)據(jù)？是否能夠抵御以下每一項(xiàng)細(xì)分的云安全威脅？是否能夠防御云環(huán)境中的六大攻擊模式？

對(duì)于安全廠商來(lái)說(shuō)，也可以反思自己的云安全產(chǎn)品與服務(wù)現(xiàn)狀：我現(xiàn)有的云安全能力能夠保護(hù)哪些敏感數(shù)據(jù)？能夠抵御哪些細(xì)分的云安全威脅？針對(duì)多樣的云攻擊模式，我已經(jīng)具備哪些對(duì)應(yīng)的解決方案？

一、云上有哪些敏感數(shù)據(jù)？

1. 邁克菲《Cloud Adoption and Risk Report 2018》

2018 年 10 月，邁克菲發(fā)布了一個(gè)名為《Cloud Adoption and Risk Report 2018》的報(bào)告。該研究表明，2018 年通過(guò)云共享敏感數(shù)據(jù)的數(shù)量比上一年增加 53％——這是一個(gè)巨大的漲幅。

邁克菲的報(bào)告指出，云上的所有文件中，有 21% 是敏感數(shù)據(jù)，并且其中有 48% 的敏感文件最終會(huì)被共享。僅去年一年就有超過(guò) 28% 的機(jī)密數(shù)據(jù)存儲(chǔ)在云端。

敏感數(shù)據(jù)包括企業(yè)機(jī)密數(shù)據(jù) (27%)、電子郵件數(shù)據(jù) (20%)、密碼保護(hù)數(shù)據(jù) (17%)、個(gè)人身份信息 (PII) (16%)、付款信息 (12%) 以及個(gè)人病歷 (9%)。隨著人們對(duì)云計(jì)算的信任度和依賴度不斷提高，云上的機(jī)密數(shù)據(jù)也面臨了越來(lái)越高的安全風(fēng)險(xiǎn)。

而被黑客竊取不是這些數(shù)據(jù)所面臨的唯一風(fēng)險(xiǎn)。邁克菲發(fā)現(xiàn)，每個(gè)企業(yè)平均有 14 個(gè)配置錯(cuò)誤的 IaaS（基礎(chǔ)架構(gòu)即服務(wù)）在運(yùn)行，每月平均有 2200 個(gè)錯(cuò)誤配置引起的安全事件發(fā)生。

2. SANS Institute《 2019 年云安全報(bào)告》

而 SANS 今年 5 月發(fā)布了《 2019 年云安全報(bào)告》，調(diào)查樣本達(dá)數(shù)百個(gè)，涵蓋金融、IT、政府等多個(gè)行業(yè)，所在企業(yè)規(guī)模跨度大、地域分布廣，從事職業(yè)包括安全分析師、IT部門管理人員、CSO、CISO、合規(guī)分析師等等。

該調(diào)查顯示，云上存儲(chǔ)量最大的是與商業(yè)智能相關(guān)的數(shù)據(jù) (48.2%)，知識(shí)產(chǎn)權(quán)類數(shù)據(jù)幾乎持平 (47.7%)，其次是客戶個(gè)人數(shù)據(jù) (47.7%) 和財(cái)務(wù)數(shù)據(jù) (41.7%)，另外存儲(chǔ)量較大的還包括企業(yè)員工信息 (37.7%)。詳見(jiàn)下圖：

云上敏感數(shù)據(jù)（數(shù)據(jù)來(lái)源：SANS Institute）

二、云安全威脅類型有哪些？

1. Alert Logic 研究報(bào)告

云安全廠商 Alert Logic 曾統(tǒng)計(jì)過(guò)一組關(guān)于與本地?cái)?shù)據(jù)中心相比，每種形式的云環(huán)境所面臨的風(fēng)險(xiǎn)性質(zhì)和數(shù)量的數(shù)據(jù)。該調(diào)查總共歷時(shí) 18 個(gè)月，分析了 3800 多家客戶 147 PB 的數(shù)據(jù)，對(duì)安全事件進(jìn)行量化和分類。主要發(fā)現(xiàn)如下：

在混合云環(huán)境下，每個(gè)用戶平均遭遇的安全事件數(shù)最高，達(dá)977件，其次是托管私有云 (684)、本地?cái)?shù)據(jù)中心 (612) 和公共云 (405)。

到目前為止，最常見(jiàn)的事件類型是 Web 應(yīng)用程序攻擊 (75％)，其次是暴力攻擊 (16％)、偵察 (5％) 與服務(wù)器端勒索軟件 (2％)。

Web 應(yīng)用程序攻擊最常見(jiàn)的方法是 SQL (47.74％)，其次是 Joomla (26.11％)、Apache Struts (10.11％) 和 Magento (6.98％)。

WordPress 是最常見(jiàn)的暴力攻擊目標(biāo)，占 41％；其次是 MS SQL，占 19％。

2. SANS Institute《 2019 年云安全報(bào)告》

第二組云環(huán)境所面臨威脅的數(shù)據(jù)仍來(lái)自于 SANS Institute 的《 2019 年云安全報(bào)告》。該調(diào)查發(fā)現(xiàn)，最嚴(yán)重的云威脅是身份劫持 (Account or credential hijacking0，達(dá)到 48.9%，其次是云服務(wù)的錯(cuò)誤配置 (42.2%)，該數(shù)據(jù)也與前文邁克菲研究報(bào)告中發(fā)現(xiàn)的現(xiàn)象相吻合——“黑客攻擊不是云上敏感數(shù)據(jù)所面臨的唯一風(fēng)險(xiǎn)，錯(cuò)誤配置問(wèn)題也是導(dǎo)致大量安全事件的主要原因”。

排名第三的威脅是內(nèi)部用戶的權(quán)限濫用 (Privileged user abuse)。其它威脅還包括未授權(quán)的應(yīng)用程序組件、不安全的 API 接口、“影子IT”、拒絕服務(wù)攻擊、敏感數(shù)據(jù)直接從云應(yīng)用上外泄、利用云廠商本身存在的漏洞或開(kāi)放的 API、虛擬化攻擊、與其它托管云應(yīng)用交叉使用過(guò)程中產(chǎn)生的安全風(fēng)險(xiǎn)等等。

云環(huán)境中的細(xì)分威脅類型（數(shù)據(jù)來(lái)源：SANS Institute）

如何減少安全威脅對(duì)云的影響，這里有 3 個(gè)基本但極其重要的建議：

• 對(duì)未知程序進(jìn)行白名單訪問(wèn)攔截，包括對(duì)組織中使用的每個(gè)應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)評(píng)估。
• 掌握整個(gè)修復(fù)過(guò)程并提高修復(fù)工作的優(yōu)先級(jí)。
• 根據(jù)當(dāng)前用戶職責(zé)限制訪問(wèn)權(quán)限——對(duì)應(yīng)用程序與操作系統(tǒng)的權(quán)限進(jìn)行實(shí)時(shí)更新。

三、云環(huán)境的六大攻擊模式

隨著越來(lái)越多企業(yè)向私有云和公有云中的虛擬化和容器化數(shù)據(jù)中心過(guò)渡，傳統(tǒng)的安全防御措施顯然力不從心。很多安全專家認(rèn)為安全工具必須適應(yīng)虛擬基礎(chǔ)架構(gòu)之間或其中的的新界限，在恰當(dāng)?shù)臅r(shí)間部署在合適的位置上。2018 年 4 月，云安全廠商 ShieldX 提出了 2018 年可能會(huì)發(fā)生的 6 類云安全攻擊模式。

1. 跨云攻擊

黑客利用跨云攻擊，通過(guò)公有云即可訪問(wèn)攻擊目標(biāo)本地及私有云系統(tǒng)。公有云中被惡意攻擊者獲取的工作負(fù)載可能導(dǎo)致攻擊擴(kuò)散至私有云。在物理環(huán)境中，如果橫向防御措施部署到位，就能把風(fēng)險(xiǎn)降到最低。但如果遷移到公有云上，很多企業(yè)都會(huì)忽視安全邊界發(fā)生了變化的現(xiàn)實(shí)情況。公有云不具備本地環(huán)境的防御能力，安全能力的直接遷移也很困難。

2. 跨數(shù)據(jù)中心攻擊

一旦黑客進(jìn)入數(shù)據(jù)中心，他們的下一個(gè)動(dòng)作就是橫向移動(dòng)，即內(nèi)網(wǎng)滲透。其中可能的一個(gè)原因是數(shù)據(jù)中心中的交付點(diǎn) (PoD) 之間的連接被認(rèn)為是可信區(qū)域。如果攻擊者成功入侵了其中一個(gè) PoD，他就能進(jìn)入其它與之相連的數(shù)據(jù)中心。

3. 跨租戶攻擊

在多租戶環(huán)境中，黑客可以利用云租戶之間的網(wǎng)絡(luò)流量發(fā)起攻擊。租戶可能會(huì)認(rèn)為云廠商已經(jīng)對(duì)他們的資產(chǎn)進(jìn)行了保護(hù)，但實(shí)際上，大部分的防御措施都需要他們自己實(shí)施。與本地環(huán)境類似，通過(guò)多層防御系統(tǒng)發(fā)送流量能夠降低此云威脅的風(fēng)險(xiǎn)，但部署時(shí)間與地點(diǎn)需要專業(yè)人員把握。

4. 跨工作負(fù)載攻擊

基于云和虛擬化的工作負(fù)載以及容器都可以輕易地實(shí)現(xiàn)連接。無(wú)論是在虛擬桌面、虛擬 Web 服務(wù)器還是數(shù)據(jù)庫(kù)上，攻擊者都可以訪問(wèn)其它的工作負(fù)載。特別是當(dāng)工作負(fù)載在同一個(gè)租戶上運(yùn)行的情況下，防止跨工作負(fù)載攻擊活動(dòng)的發(fā)生非常困難。如果把所有工作負(fù)載封鎖起來(lái)，盡管達(dá)到了安全的目的，但無(wú)法執(zhí)行正常功能、失去了原本存在的意義。我們建議將有類似安全要求的工作負(fù)載放置在具備一定安全措施的區(qū)域中，除了基本分段以外還可以進(jìn)行流量監(jiān)控。

5. 編排攻擊

云編排技術(shù)能夠優(yōu)化很多關(guān)鍵任務(wù)，包括包括配置、服務(wù)器部署、存儲(chǔ)和網(wǎng)絡(luò)管理、身份和權(quán)限管理以及工作負(fù)載創(chuàng)建等。黑客通常會(huì)利用編排攻擊，竊取帳戶登錄密碼或私人加密密鑰。獲取信息后開(kāi)始執(zhí)行編排任務(wù)，最終掌握系統(tǒng)的控制權(quán)限和訪問(wèn)權(quán)限。防范編排攻擊需要一種采取異常賬戶的新興監(jiān)控方式。

6. 無(wú)服務(wù)器攻擊

無(wú)服務(wù)器應(yīng)用程序能夠快速啟動(dòng)云功能，而無(wú)需構(gòu)建或擴(kuò)展基礎(chǔ)架構(gòu)。這種 “功能即服務(wù)” 的方式為黑客創(chuàng)造了新的機(jī)會(huì)，也為網(wǎng)絡(luò)維護(hù)者帶來(lái)了新的挑戰(zhàn)。任何新功能都有可能具備數(shù)據(jù)庫(kù)等敏感資產(chǎn)的訪問(wèn)權(quán)限。因此，如果某個(gè)功能的權(quán)限設(shè)置不正確，攻擊者很有可能通過(guò)該功能執(zhí)行很多任務(wù)，例如，訪問(wèn)數(shù)據(jù)或創(chuàng)建新賬戶等。與編排攻擊一樣，檢測(cè)無(wú)服務(wù)器攻擊的最佳方法是監(jiān)控賬戶行為，同時(shí)結(jié)合網(wǎng)絡(luò)流量監(jiān)測(cè)，優(yōu)化保護(hù)功能。

四、總結(jié)

云計(jì)算的便利性和適用性在科技飛速發(fā)展的今天已經(jīng)體現(xiàn)得淋漓盡致，不但優(yōu)化了用戶的采購(gòu)和管理等工作，還為物聯(lián)網(wǎng)和加密貨幣的新技術(shù)應(yīng)用提供了有利條件。但是云環(huán)境中的業(yè)務(wù)安全與數(shù)據(jù)安全問(wèn)題也變得更加令人擔(dān)憂。總體來(lái)說(shuō)，云安全的整體發(fā)展盡管緩慢，但仍在正向改善。很多云安全廠商也在努力彌合云上與云下安全措施的實(shí)施差距，根據(jù)云環(huán)境獨(dú)有的特點(diǎn)定向研發(fā)安全產(chǎn)品。