2018年需应对的五大云安全威胁
2018年已经到来,IT安全团队在这一年中将继续努力确保他们的云部署安全。人们需要注意与API、物联网以及人为错误相关的常见风险。
虽然保护数据的需求并不新鲜,但企业云的使用情况的变化使传统的安全模型变得更加复杂,这为用户和提供商带来了新的风险。
以下展望一下2018年企业将面临的五个云安全威胁,以及防范这些威胁的最佳实践。
1.缺乏责任感
一些组织错误地认为,由于他们的工作负载在云端,保护其工作负载的安全不再是他们的工作。但事实上,云计算提供商没有义务保护用户的工作负载或数据,确保安全并没有列在服务级别协议中。这意味着云端的数据保留、恢复能力和安全性主要是用户的责任,而不是云计算提供商的责任。
企业务必了解其云计算提供商的共享责任模式以及需要采取哪些步骤来保护其云工作负载。
此外,通过分布在两个或更多云区域的冗余工作负载和存储服务,可以降低数据丢失的风险,实施进一步的数据保护实践(如快照,备份和恢复),使用数据加密,并确保妥善管理和保护加密密钥。
2.安全工具和测试不足
公共云计算提供商提供一系列工具和服务,旨在提高云计算的安全性,验证云资源的安全状态,并减轻攻击。例如,亚马逊网络服务提供虚拟私有云、应用程序防火墙、基于本地传输层安全性的加密,以及专用连接等服务以避免来自公共互联网的网络攻击。用户可以利用Google Stackdriver和Azure Monitor等监控工具来识别潜在的云安全威胁。
进行渗透测试,预测系统如何响应攻击并发现漏洞。这些测试实质上授权对系统进行模拟攻击以识别薄弱点。云计算提供商允许并协助对授权资源进行渗透测试。
云计算用户几乎不可能应对和处理某些网络攻击,例如正在进行的分布式拒绝服务(DDoS)攻击。这是因为这些类型的攻击可能导致云计算工作负载无法响应。由于越来越多的云资源需要扩展以满足恶意流量的需求,因此应对DDoS攻击也可能增加大量的成本。而用户使用提供商的DDoS防护服务可以自动发现和减轻这些云计算的安全威胁。
3.人为错误
人的因素仍然是IT安全中最薄弱的环节之一。而在云计算中,人为错误的风险会增加,因为泄露或盗用的凭证可能会对应用程序和数据造成严重破坏。网络钓鱼、欺诈和其他形式的社交工程使黑客窃取凭据并可能劫持云账户。但是请记住,并非所有的云计算安全威胁都来自外部,企业更需防范内部攻击。
组织还面临着认证执行力度不够、密码强度较弱、身份和访问管理配置不当,以及其他安全协议的问题。薄弱的防御措施不仅将会遭到更多的攻击,而且会导致员工犯下代价高昂的错误或采取不正当的行动。
防范来自人为错误的云计算安全威胁有很多方法。企业的工作人员应该为用户提供安全教育和认证,编写明确可接受的使用策略,并应用其他安全最佳实践。例如,云计算账户所有者不应使用或显示根证书;确保为每个用户或组创建和配置唯一的凭据。
4.易受攻击的系统和API
API使软件能够连接到外部服务,包括来自云计算提供商的服务。例如,企业可能会开发一个应用程序,使用多个API来访问和交换加密的数据与云计算提供商的存储资源。这些接口和API中的缺陷将会引入新的云计算安全威胁。
对软件漏洞最好的防御是开发者和运营人员的勤勉和及时的纠正措施。其实施的关键任务(如漏洞扫描、报告、补丁管理和配置执行)可以帮助找到并减轻云端的软件漏洞。高级开发策略还可以实现复杂的威胁建模、详细的代码安全性检查和详细的渗透测试。
5.未受保护的物联网设备
未来几年,将会增加数以百亿计的配备个人数据采集传感器和执行器的物联网(IoT)设备。每个设备都是一个配置IP地址的网络端点。糟糕的软件设计、配置错误和其他疏漏可能会导致对物联网设备的恶意操作,并暴露设备数据。
物联网设备需要进行大量的自动化设置、配置和修补。单一的错误或疏忽可能会在不知不觉中通过使用自动物联网管理工具而增加,并创造数千甚至数百万新的攻击向量。