IKGLOBAL-全球优质互联网资源及网络安全服务商
  • 400-992-6622
  • 3个主要的云安全威胁


    如今,越来越多的企业正在将数据和应用程序迁移到云中,这带来了独特的信息安全挑战。而企业在使用云计算服务时将面临3个主要的云安全威胁。


    云计算继续改变企业使用、存储和共享数据、应用程序、工作负载的方式。它还带来了许多新的安全威胁和挑战。随着大量数据进入云计算(尤其是公共云服务),这些资源自然成为不良行为者的目标。


    调研机构Gartner公司副总裁兼云安全负责人Jay Heiser表示,“公共云应用正在迅速增长,因此难以避免地导致敏感信息面临更多的潜在风险。”


    与许多人的想法相反,保护企业在云中数据的主要责任不在于服务提供商,而在于客户本身。Heiser表示,“我们正处于一个云安全过渡期,在这个过渡期内,人们的注意力正从提供商转向客户。很多企业正在认识到,花大量时间试图弄清楚某个云计算服务提供商是否‘安全’实际上没有回报。”


    为了使组织对云安全问题有新的了解,以便他们可以就云采用策略做出有根据的决策,云安全联盟(CSA)发布了其新版本的《云计算的11个最大威胁报告》。


    该报告反映了云安全联盟(CSA)社区中的安全专家之间当前就云中重要的安全问题达成的共识。云安全联盟(CSA)表示,尽管云中存在许多安全问题,但这个列表主要关注11个与云计算的共享、按需特性相关的问题。


    去年的调查报告中列出的几项威胁排名今年有所下降,其中包括拒绝服务、共享技术漏洞、云计算服务提供商数据丢失和系统漏洞。报告指出,“调查表明,由云计算服务提供商负责的传统安全问题似乎不那么令人担忧。相反,我们看到更多的是需要解决位于技术堆栈更高层的安全问题,是高级管理层决策的结果。”


    为了确定人们更为关注的问题,云安全联盟(CSA)对行业专家进行了一项调查,以就云计算中很大的安全性问题收集专业意见。以下是主要的云安全性问题:


    1. 数据泄露

    数据泄露的威胁在去年的调查中仍然保持其重要的位置。不难理解其原因,因为数据泄露可能会严重损害企业的声誉和财务。它们可能会导致知识产权(IP)损失和重大法律责任。


    云安全联盟(CSA)关于数据泄露威胁的关键要点包括:

    • 攻击者需要获取数据,因此企业需要定义其数据的价值及其丢失的影响。
    • 谁有权访问数据是解决保护数据的关键问题。
    • 通过全球互联网可访问的数据很容易受到错误配置或利用。
    • 加密可以保护数据,但需要在性能和用户体验之间进行权衡。
    • 企业需要考虑云服务提供商经过测试的可靠事件响应计划。


    2. 配置错误和变更控制不足

    配置错误和变更控制不足是对云安全联盟(CSA)列表的新威胁,考虑到许多企业意外地通过云计算泄露数据的例子,这不足为奇。例如,云安全联盟(CSA)引用了Exactis事件,云计算提供商因配置错误开放了Elasticsearch数据库,其中包含2.3亿名美国消费者的个人数据,可供公众访问。由于备份服务器配置不正确,其威胁与数据泄露一样严重, Level One Robotics公司泄露了100多家制造公司的IP。


    云安全联盟(CSA)表示,这不仅仅是企业须关注的数据丢失,还有为了破坏业务而删除或修改资源。报告将大部分错误配置归咎于糟糕的变更控制实践。


    云安全联盟(CSA)关于配置错误和变更控制不力的关键要点包括:

    • 基于云计算的资源的复杂性使其难以配置。
    • 不要期望传统的控制和变更管理方法在云中有效。
    • 使用自动化和技术,这些技术会持续扫描错误配置的资源。


    3. 缺乏云安全架构和策略

    这个问题从云计算出现时就一直存在,但今年已成为云安全联盟(CSA)的新问题。将系统和数据迁移到云中所需的时间很小化的愿望通常优先于安全性。因此,该公司可以使用非针对其设计的安全性基础设施和策略在云中运营。这出现在2019年的清单上的事实表明,更多的企业意识到这是一个值得关注的问题。


    云安全联盟(CSA)关于缺乏云安全架构和策略的关键要点包括:

    • 安全体系结构需要与业务目标保持一致。
    • 开发和实施安全体系结构框架。
    • 保持威胁模型为新版本。
    • 部署连续监视功能。



    文章来源于:云计算世界