精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Chiodi說，公共云安全事件通常源于對共享責任模式的不了解，這種模式將管理云計算用戶和提供商如何承擔安全負擔。“我們談論的許多威脅都是組織不了解公共云威脅模型的結果。”他解釋道。客戶很難在公共云中使用安全工具，而傳統的企業工具無法在云計算環境的動態特性中運行。

隨著企業以更快的速度將更多代碼投入生產，CA Veracode公司安全研究副總裁ChrisEng強調了將漏洞避免直接建立在DevOps管道中的重要性。ShieldX公司的首席技術官Manuel Nedbal表示，如今的云計算正面臨著幾種類型的威脅。“我們看到大多數攻擊都是編排或跨云攻擊，或數據中心攻擊，”他說，這些事件的整體上升歸因于云采用率的上升。

在這里，兩位云安全專家指出了不同類型的網絡攻擊，并解釋了它們如何影響云環境。

(1)跨云攻擊

ShieldX的Nedbal說，網絡攻擊者通常使用公共云環境滲透到本地數據中心。當客戶將其中一個工作負載移動到公共云環境中，并使用Direct Connect(或任何其他VPN隧道)在公共云之間移動到私有云時，就會出現這些類型的威脅。然后，在安全工具的雷達下，攻擊者破壞其中一個環境可以橫向移動。

“第二階段更難以發現，可以從公共云遷移到私有數據中心，”Nedbal說。在攻擊者掃描環境后，他可以使用傳統的漏洞和攻擊來獲得公共云的優勢。他繼續說，這種威脅可能會在公共云中被捕獲，但防御在那里比在本地環境中更弱。攻擊者在公共云和私有云之間移動方面具有優勢，并且可以利用他的位置在目標網絡中持久存在。“網絡殺傷鏈變成了網絡殺傷循環，”Nedbal解釋道，“從偵察開始，開始傳播惡意軟件，開始橫向移動，然后再次啟動偵察。”

(2)編排攻擊

Nedbal表示，云計算協調用于配置服務器，獲取和分配存儲容量，處理網絡，創建虛擬機以及管理身份以及云中的其他任務。編排攻擊旨在竊取可以重用的帳戶或加密密鑰，以便為云計算資源分配權限。例如，攻擊者可以使用被盜帳戶創建新虛擬機或訪問云存儲，

他指出，他們取得多大成功取決于他們竊取的賬戶的特權。但是，一旦編排帳戶被破壞，攻擊者就可以使用他們的訪問權限為自己創建備份帳戶，然后使用這些帳戶訪問其他資源。Nedbal繼續說，編排攻擊針對的是云計算API層，因此無法使用標準的網絡流量檢測工具進行檢測。安全團隊希望觀察基于網絡的行為和帳戶行為。

(3)加密劫持

RedLock公司Chiodi說，2018年人們面臨的威脅仍然是云計算的主要問題。“這仍然非常非常普遍，”他解釋道，“如果人們關注這個消息，就會看到加密估值的起起落落，但實際上，竊取計算能力的網絡犯罪分子實際上比偷竊實際數據更有利可圖。”

Chiodi繼續說，黑客是專門針對企業公共云環境的加密器進行攻擊，因為它們是彈性計算環境。許多組織還沒有成熟的云計算安全計劃，使其云端容易受到攻擊。他指出了兩個同時發生的因素：云計算安全平臺的不成熟以及比特幣和以太網等加密貨幣的日益普及，這推動了云中加密劫持的興起。“企業將全面受到影響，”他指出。云計算提供商本身正在嘗試采取更多措施來幫助其平臺用戶。“黑客想要做的最后一件事就是讓人們在腦海中等同于公共云是不安全的。”“公司全面受到影響，”他指出。云提供商本身正在嘗試采取更多措施來幫助其平臺用戶。

Chiodi引用了企業可以采取的一些保護措施：定期輪換訪問密鑰，限制出站流量，并為Web瀏覽器安裝加密攔截器。

(4)跨租戶攻擊

ShieldX公司的Nedbal表示，如果企業是云計算提供商或為某些租戶提供計算，其租戶可以請求配置工作負載。租戶可以交換數據和共享服務，從現有資源生成流量，這在擁有私有數據中心的組織中很常見。不幸的是，這種流量留下了安全漏洞。由于許多租戶使用相同的云平臺，因此無論資源位于何處，周邊安全性都會逐漸消失。這會導致IT組織及其資產增長時出現問題，但外圍或安全設備不會隨之增長。如果一名員工的業務遭到攻擊，攻擊者可以使用共享服務滲透財務、人力資源和其他部門。

租戶可以使用門戶來配置虛擬私有云;但是，這些網絡中的流量通常不是通過傳統的安全控制來發送的。“企業必須擴展私人數據中心或私有云，為租戶提供服務。”他補充道。隨著私有數據中心的發展以及企業依賴公共云服務，這將繼續成為一個問題。

(5)跨數據中心攻擊

據ShieldX的Nedbal稱，一旦進入數據中心，攻擊者通常不會面臨獲取敏感資源的界限。使用交付點(PoD)或協同工作以提供服務的模塊來管理數據中心。隨著數據中心的擴展，連接這些模塊并添加更多內容是很常見的。應通過多層系統重定向流量來保護PoD，但許多企業忽略了這一點，開辟了潛在的攻擊向量。如果PoD的一部分受到攻擊，攻擊者可以從一個數據中心擴散到另一個數據中心。

(6)即時元數據API的誤用

RedDock公司Chiodi說，即時元數據API是所有云計算提供商提供的特定功能。沒有錯誤或漏洞利用，但鑒于它不存在于本地數據中心，它通常不能得到妥善保護或監控。攻擊者可能以兩種可能的方式利用它。

他解釋說，首先是易受攻擊的反向代理。反向代理在公共云環境中很常見，并且可以通過某人可以設置主機來調用即時元數據API并獲取憑據的方式進行配置。如果有人在云環境中啟動代理，則可以通過以下方式對其進行配置：如果其中一個云計算實例通過該反向代理訪問全球互聯網，則可以存儲這些憑據。“如果某人沒有正確設置該特定實例的訪問憑證的權限，他們可以做任何權限授予該實例的任何內容，”他說。

第二種方式是通過惡意Docker鏡像。Chiodi解釋說，開發人員通過DockerHub共享Docker鏡像，但易用性導致了公開信任可能利用惡意命令來提取訪問密鑰的圖像的行為。網絡攻擊可能會從受感染的容器擴展到攻擊者訪問公共云帳戶。“這是一個很棒的功能，但你必須知道如何處理它，”他說。Chiodi建議監控云中的用戶行為，并在頒發憑證時遵循最小權限原則。

(7)無服務器攻擊

ShieldX公司Nedbal稱這是云計算攻擊的“下一級”。無服務器或功能即服務(FaaS)架構相對較新且流行，因為用戶無需部署、維護和擴展自己的服務器。雖然它使管理變得簡單，但無服務器架構的棘手部分是實施安全控制的挑戰。

FaaS服務通常具有可寫的臨時文件系統，因此攻擊者可以在臨時文件系統中使用其攻擊工具。FaaS功能可以訪問具有敏感數據的公司數據庫。因此，攻擊者可以使用他們的攻擊工具泄漏數據并泄露數據。使用錯誤的權限，FaaS功能可以幫助他們創建新的虛擬機，訪問云存儲或創建新帳戶或租戶。“傳統的安全控制措施真的很少，因為無服務器甚至可以從安全管理員手中奪走虛擬網絡，”Nedbal說，“無服務器攻擊非常難以應對傳統的安全控制，而.對于無服務器攻擊，企業需要一種在流量功能即服務之前重定向流量的方法。”

(8)跨工作負載攻擊

ShieldX公司Nedbal說，這些類型的攻擊發生在同一個租戶中，沒有什么可以阻止工作負載在同一租戶或虛擬網絡中相互通信，因此對虛擬桌面的攻擊可能會擴散到虛擬Web服務器或數據庫。企業通常使用不受信任的虛擬機來瀏覽和下載在線內容。如果受到感染，并且它與具有敏感數據的其他工作負載在同一租戶上運行，那么這些可能會受到影響。

為了降低違規風險，具有不同安全要求的工作負載應該位于不同的時區。Nedbal在一篇博客文章中表示，“應該使用一系列豐富的安全控制措施來檢查遍布這些區域的流量，例如就像南北周邊防御系統所預期的安全控制措施。”然而，他補充說，在工作負載之間添加安全控制很困難。