如今,使用公有云服务可以为企业带来很多好处,最直接的便是更快的业务部署,可观的成本效益。然而随着企业上云的推进,公有云的安全问题也不容小觑,这是明确的大数据时代,但它不一定是保证大数据安全的时代。
随着公共云利用率的快速增长,不可避免地导致更多的敏感内容置于潜在风险之中。但是,保护云端中企业数据安全的主要责任不在云服务提供商,而在于云客户本身。
2017年6月,1.97亿美国选民的泄露事件,震惊全球。数周后,600万威瑞森用户数据,被其第三方合作伙伴Nice系统曝光。一周后,该起事件尘埃未定之时,220万道琼斯客户个人信息又遭泄露。
上述3起泄露事件有几个共同点,它们都因公开可用的AWS S3 buckets而泄,但更重要的是,全部3起泄露事件都是客户的人为失误导致的。为了让企业了解云安全问题,以便他们能够就云采用策略做出明智的决策,小编整理了最新的《12大顶级云安全威胁报告》以及用好云的9条建议,供大家参考。
>>>>>十二大云安全威胁
1. 数据泄露
数据泄露可能是有针对性攻击的主要目标,也可能是人为错误、应用程序漏洞或安全措施不佳所导致的后果。这可能涉及任何非公开发布的信息,其中包括个人健康信息、财务信息、个人身份信息(PII)、商业机密以及知识产权等。数据泄露的风险并不是云计算所独有的,但它始终是云计算用户需要首要考虑的因素。
2. 身份、凭证和访问管理不足
恶意行为者会通过伪装成合法用户、运营人员或开发人员来读取、修改和删除数据;获取控制平台和管理功能;在传输数据的过程中进行窥探,或释放看似来源于合法来源的恶意软件。因此,身份认证不足、凭证或密钥管理不善都可能会导致未经授权的数据访问行为发生,由此可能对组织或最终用户造成灾难性的损害。
3. 不安全的接口和应用程序编程接口(API)
云服务提供商会公开一组客户使用的软件用户界面(UI)或API来管理和与云服务进行交互。其配置、管理和监控都是通过这些接口来实现执行的,一般来说,云服务的安全性和可用性也都取决于API的安全性。它们需要被设计用来防止意外和恶意的绕过安全协议的企图。
4. 系统漏洞
系统漏洞是系统程序中存在的可用漏洞,利用这些漏洞,攻击者能够渗透进系统,并窃取数据、控制系统或中断服务操作。随着云端多租户形式的出现,来自不同组织的系统开始呈现彼此靠近的局面,且允许在同一平台/云端的用户都能够访问共享内存和资源,这也导致了新的攻击面的出现,扩大了安全风险。
5. 账户劫持
如果攻击者获得了对用户凭证的访问权限,他们就能够窃听用户的活动和交易行为,操纵数据,返回伪造的信息并将客户重定向到非法的钓鱼站点中。由于凭证被盗,攻击者经常可以访问云计算服务的关键区域,从而危及这些服务的机密性、完整性以及可用性。
6. 恶意的内部人员
虽然内部人员造成的威胁程度存在争议,但不可否认的是,内部威胁确实是一种实实在在的威胁。一名怀有恶意企图的内部人员(如系统管理员),他们能够访问潜在的敏感信息,并且可以越来越多地访问更重要的系统,并最终访问到机密数据。
7. 高级持续性威胁(APT)
高级持续性威胁(APT)是一种寄生式的网络攻击形式,它通过渗透到目标公司的IT基础设施来建立立足点,并从中窃取数据。高级持续性威胁(APT)通常能够适应抵御它们的安全措施,并在目标系统中“潜伏”很长一段时间。一旦准备就绪(如收集到足够的信息),高级持续性威胁(APT)就可以通过数据中心网络横向移动,并与正常的网络流量相融合,以实现他们的最终目标。
8. 数据丢失
存储在云中的数据可能会因恶意攻击以外的原因而丢失。云计算服务提供商的意外删除行为、火灾或地震等物理灾难都可能会导致客户数据的永久性丢失,除非云服务提供商或云计算用户采取了适当的措施来备份数据,遵循业务连续性的最佳实践,否则将无法实现恢复。
9. 尽职调查不足
当企业高管制定业务战略时,必须充分考虑到云计算技术和服务提供商。在评估云技术和服务提供商时,制定一个良好的路线图和尽职调查清单对于获得最大的安全保障可谓至关重要。
10. 滥用和恶意使用云服务
云服务部署不充分,免费的云服务试用以及通过支付工具欺诈进行的欺诈性账户登录,将使云计算模式暴露于恶意攻击之下。其中滥用云端资源的例子包括启动分布式拒绝服务攻击(DDoS)、垃圾邮件和网络钓鱼攻击等。
11. 拒绝服务(DoS)
拒绝服务(DoS)攻击可以通过强制目标云服务消耗过多的有限系统资源(如处理器能力,内存,磁盘空间或网络带宽),来帮助攻击者降低系统的运行速度,并使所有合法的用户无法访问服务。
12. 共享的技术漏洞
云计算服务提供商通过共享基础架构、平台或应用程序来扩展其服务。云技术将“即服务”(as-a-service)产品划分为多个产品,而不会大幅改变现成的硬件/软件(有时以牺牲安全性为代价)。构成支持云计算服务部署的底层组件,可能并未设计成为“多租户”架构或多客户应用程序提供强大的隔离性能。这可能会导致共享技术漏洞的出现,并可能在所有交付模式中被恶意攻击者滥用。
波耐蒙研究所《2016数据泄露损失研究》报告指出,每起数据泄露的总损失是400万美元,每一条包含有敏感或个人身份识别信息(PII)的被盗记录带来的损失是158美元。
这些损失便是公司企业必须选择最佳安全实践的原因,通常,这种实践指的是云的利用。下列九条安全建议,可供公司企业使用基于云的技术时优先考虑。
1. 为敏感文件列个清单
连自己有些什么都不知道,何谈找出缺失了哪些东西?保证文件的安全,意味着要做好标记:哪些信息存储在哪儿,存储方式是什么,访问方式有哪些等等。
2.最小化非必要数据存储
只需要存储仅够公司正常运营所需的数据即可。老客户的账单信息和前雇员的社会安全号与现有业务运营无关,只会成为网络小偷的潜在目标。
3.确保主机托管有物理防护
信息是数字存储的并不意味着就没必要使用物理防护。服务器应被保管在上锁的安全的地点。所有数据应在其他地方的额外服务器上有备份。
4.使用高级加密协议
为最大化数据的安全性,采取所有必要的电子安全预防措施是十分紧迫的。这包括在传输时和平时都利用防火墙和SSL/TLS协议对文件进行高级加密。
5.用多因子身份验证保证口令安全
一大批数据泄露都是口令使用疏忽的结果。口令应是定制的,且包含有宽泛的配置选择。建议采用多因子身份验证结合多次尝试不成功便锁定账户的方式。
6.配置行为跟踪以记录访问历史日志
团队成员、同事、客户、承包商,大量人员有可能对特定文件具有访问权。如果每个访问者都赋予编辑权限,那么非正确修改的风险是避免不了的了。其他风险还包括恶意清除、蓄意破坏和共享机密信息。
行为跟踪功能可留下每个用户访问文件的相关信息,比如用户身份、访问时间、所做修改等。此类文件行为的总结可通过电子邮件或短信即时通报给管理员。
7.保证最小外部访问授权
云的最佳益处之一(任何时候、任何地方都可进行访问),同时也是其最大风险之一。考虑一下被赋予访问文件权限的所有人,其中就可能有你连见都没见过却手握你最敏感数据访问权的人。
无论何时对文件赋予外部访问权,管理员都应该根据赋权角色对权限和控制进行定制。也就是说,每个人都应基于该项目的位置和责任被赋予打开、浏览或编辑信息的权限。
8.限制公共WiFi的无线应用
智能手机、平板和笔记本电脑让在外办公变得容易,同时也为安全疏忽开启了方便之门。这些个人设备经常被用于个人事务,意味着可能会带来交叉影响,比如从一个设备向其他设备感染病毒或恶意软件。
另外,如果无线设备被盗或遗失,公司信息就有可能落入他人之手,通信也有可能通过公共WiFi网络被窃听。
使用虚拟数据室可以抵消公私混用设备相关的大多数威胁。
9.培训并认证员工
未经合适的用户培训就授予云访问权这种事绝对不能发生。应该花时间对新员工进行云安全最佳实践培训。