2016年,云计算安全联盟(Cloud Security Alliance,CSA)列出了云计算领域的十二大安全威胁[1]。
1)数据泄露
云环境其实面临着许多与传统企业网络相同的安全威胁,大量的数据存储在云服务器,使云服务供应商成为一个更具吸引力的攻击目标。个人财务信息、健康信息、商业秘密以及知识产权等敏感数据的泄露会带来巨大的破坏性。当发生数据泄露事故时,企业组织不仅可能被罚款甚至会面临诉讼或刑事指控,而且还会带来间接的恶性影响,如企业品牌损失和业务损失,甚至可能会影响企业组织多年的时间而无法翻身。
2)凭据或身份验证遭到攻击或破坏
数据泄露和其他攻击通常都是身份验证不严格、弱密码横行、密钥或凭证管理松散的结果。公司组织在试图根据用户角色分配恰当权限的时候,通常都会陷入身份管理的泥潭。更重要的是,他们有时候还会在用户工作职能改变或离职时忘了撤销该用户的权限。如一次性密码、手机认证和智能卡认证这样的多因素认证系统能够保护云服务,因为这些手段可以让攻击者很难利用其盗取的密码来登录企业系统。
基本上,现在每个云服务和云应用都提供API(应用编程接口),IT团队使用界面和API进行云服务管理和互动。从身份验证和访问控制到加密和行为监测,云服务的安全和可用性依赖于API的安全性。弱界面和有漏洞的API将使企业面临很多安全问题,机密性、完整性、可用性和可靠性都会受到考验。
4)利用系统漏洞
系统漏洞,或程序中可供利用的漏洞,已不是什么新鲜事物。但随着云计算中多租户的出现,这些漏洞的问题越发凸显。公司企业共享内存、数据库和其他资源,催生出了新的攻击方式。幸运的是,针对系统漏洞的攻击可以通过“基本的IT流程”来减轻。最佳实践方案包括定期漏洞扫描、及时补丁管理和紧跟系统威胁报告。
5)账户劫持
网络钓鱼、欺诈和软件漏洞仍然能够成功攻击企业,而云服务则增加了一个新的层面的威胁。因为攻击者可以利用云服务窃听用户活动、操纵交易、修改数据,也可以使用云应用程序发动其他攻击。
6)企业内部的恶意人员
企业内部的恶意人员可能来自现任或前任员工、系统管理员、承包商或商业伙伴等,其破坏的范围从窃取企业机密数据信息到报复行为,甚至包括员工的拙劣日常操作所带来的数据泄露,如管理员不小心把敏感客户数据库复制到可公开访问的服务器上等。在云环境下,一个来自企业内部的具有恶意的人员可能会摧毁企业组织的整个基础设施,或者操作篡改数据。(www.xing528.com)
7)APT寄生虫
CSA将“寄生”形式的攻击恰当地称为高级持续性威胁(APT)。APT通过网络进行典型的横向移动,以融入正常的数据传输流量,所以它们很难被检测到。主要的云服务提供商利用先进的技术来防止APT渗入他们的基础设施,但客户也必须像在内部系统里进行的一样,勤于检测云账户中的APT活动。
8)永久性的数据丢失
随着云服务的日趋成熟,由云服务供应商失误导致的永久性数据丢失已极其少见,但恶意黑客能够永久删除云端数据以对企业造成危害。同时,云数据中心跟其他任何设施一样对自然灾害无能为力。
9)调查不足
那些尚未充分理解云环境及其相关的风险就采用了云服务的企业组织可能会遭遇到“无数的商业、金融、技术、法律及合规风险”。尽职调查,能够分析一家企业组织是否迁移到云中或与另一家公司在云中合并(或工作)。没能仔细审查合同的公司,可能就不会注意到提供商在数据丢失或泄露时的责任条款。
10)云服务滥用
云服务可能被用于支持违法活动,如利用云计算资源破解密钥、发起分布式拒绝服务(DDoS)攻击、发送垃圾邮件和钓鱼邮件、托管恶意内容等。
11)DoS攻击
DoS攻击已经存在多年了,由于云计算的兴起,它们所引发的问题再一次变得突出,因为它们往往会影响云服务的可用性,系统运行可能会变得缓慢。
12)共享技术,共享危险
共享技术中的漏洞给云计算带来了相当大的威胁。云服务供应商共享基础设施、平台和应用,一旦其中任何一个层级出现漏洞,每个用户都会受到影响。一个漏洞或错误配置,就能导致整个供应商的云环境遭到破坏。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
