云计算的11类顶级威胁

来源：云安全联盟CSA

　如今，越来越多的企业正在将数据和应用程序迁移到云中，这带来了独特的信息安全挑战。日前，CSA大中华区发布了新版本的《云计算的11类顶级威胁》（中文版），本报告主要关注11个与云计算的共享、按需特性相关的问题。

　　“顶级威胁”报告旨在提高对云平台威胁、风险和漏洞的认识，此类问题通常由云计算按需和共享的天生特征导致。

　　数据泄露

　　数据泄露是指敏感、受保护或机密信息被未经授权的个人发布、查看、窃取或使用的网络安全事件。数据泄露可能是蓄意攻击的主要目的，也可能仅仅是人为错误、应用程序漏洞或安全措施不足的结果。

　　数据泄露涉及任何非公开发布的信息，包括但不限于个人健康信息、财务信息、个人可识别信息（PII）、商业秘密和知识产权。

　　配置错误和变更控制不足

　　当计算资产设置不正确时，就会产生配置错误，这时常会使它们面对恶意活动时倍显脆弱。一些常见的例子包括：

　　不安全的数据存储要素（元素）或容器

　过多的权限

　　默认凭证和配置设置保持不变

　　标准的安全控制措施被禁用

　　云资源的配置错误是导致数据泄露的主要原因，可能会导致删除或修改资源以及服务中断。

　　缺乏云安全架构和策略

　　放眼全球，各组织均在逐步把他们的部分IT基础设施迁移到公有云之上。在迁移过渡期中，最大的挑战之一就是实现能够承受网络攻击的安全架构。

　　无论公司规模大小，对于云上迁移、部署、使用而言，合适的安全架构和策略都是必要的。成功的网络攻击会对业务造成严重的影响，包括财务损失、声誉受损、法律后果和罚款等。

　身份，凭证，访问和密钥管理不足

　　云计算对传统内部系统的身份和访问管理（IAM）方面引入了多种变化。这些不一定是新问题。相反，在云计算中这些是更重要的问题，因为云计算会深刻影响身份，凭据和访问管理。由于以下原因，可能会造成安全事件及数据泄露：

　　凭据保护不足

　　缺乏加密秘钥、密码和证书的定期自动更新机制

　　缺乏可扩展的身份、凭据及访问控制系统

　　无法使用多因子认证方式

　　无法使用强密码

　　帐户劫持

　　帐户劫持是一种威胁，在这种威胁中，恶意攻击者可能获得并滥用特权或敏感帐户。在云环境中，风险最高的帐户是云服务或订阅账户。

　　帐户和服务劫持意味着完全的失陷：对帐户、其服务以及内部数据的控制。在这种情况下，跟帐户相关的所有业务逻辑、功能、数据和应用程序都有风险这种失陷的后果有时很严重。

　　内部威胁

　　内部威胁可能导致专有信息和知识产权的损失。与攻击相关的系统停机时间会对公司的生产效率产生负面影响。此外，数据丢失或对其他客户伤害会降低对公司服务的信心。处理内部安全事件涉及遏制、补救、事件响应、调查、事后分析、升级、监控和监视。这些活动可以大大增加公司的工作量和安全预算。

　　波尼蒙研究所（PonemonInstitute）报告称，在接受采访的公司中，2017年（每家公司）内部事件的平均成本超过870万美元，最高成本高达2650万美元

　　不安全的接口和API

　　设计不良的API可能会被滥用，甚至数据泄露。被破坏，暴露或黑客攻击的API已导致了一些重大的数据泄露。组织必须了解设计接口并将它们放到Internet上所必须的安全要求。

　　控制平面薄弱

　　薄弱的控制面可能会因被窃取或损坏而导致数据丢失。这可能会导致巨大的业务影响，特别是在数据丢失中包括私人用户数据。还可能招致对数据丢失的监管处罚。例如，根据欧盟通用数据保护条例（GDPR）的规定，产生的罚款可能高达2000万欧元-或全球收入的4%。

　　元结构和应用程序结构失效

　　元结构和应用结构是云服务的关键组件。云服务提供商在这些功能上的故障可能会严重影响所有云服务的用户。同时，云租户的错误配置，可能会在财务和操作上对用户带来困扰。

　　有限的云使用可见性

　　当组织不具备可视化和分析组织内使用云服务是安全的还是非安全、不当的能力时，就会出现有限的云使用可见性。这个概念被分解为两个关键的挑战：

　　未经批准的应用程序使用:当员工使用云应用程序和资源而没有获得公司IT和安全部门的特别许可和支持时，就会发生这种情况。

　　批准程序滥用：企业往往无法分析使用授权应用程序的内部人员是如何使用其已获批准的应用程序的。

　　滥用及违法使用云服务

　　恶意攻击者可能会利用云计算能力来攻击用户、组织以及云供应商，也会使用云服务来搭建恶意软件。。

　　一旦攻击者成功入侵客户的云基础设施管理平台，攻击者可以利用云服务来做非法事情，而客户还需要对此买单。如果攻击者一直在消耗资源，比如进行电子货币挖矿，那客户还需一直为此而买单。

　　另外，攻击者还可以使用云来存储和传播恶意或钓鱼攻击。公司必须要注意该风险，并且有办法来处理这些新型攻击方式。这可以包含对云上基础架构或云资源API调用进行安全监控。

　　报告还显示，拒绝服务，共享技术漏洞以及云服务提供商数据丢失和系统漏洞之类的问题，已不在本报告之列。这表明，由云服务提供商负责的传统安全问题似乎已经有效的缓解。

　　报告如下