當前位置：云計算 → 云安全 → 正文

云環境面臨的十二項安全問題

責任編輯：editor004 作者：1e1e1e |來源：企業網D1Net 2017-12-01 11:45:03 本文摘自：黑客與極客

云環境下的安全問題值得仔細梳理，供大家參考參考CSA在RSA發布的云安全面臨的十二大威脅。

企業對于云計算并未袖手旁觀，他們考慮是否冒著風險將應用和數據進行上云遷移。在這個過程中，安全問題依然是一個重要的考量。首先要做的是評估云環境面臨的風險，評估面臨的風險優先級。

在上周（譯者按：2016年3月）的RSA大會上，CSA（云安全聯盟）發布了“云計算12項威脅”的主題，列出了2016年云用戶面臨的12大安全威脅。

CSA警告道：“云服務的共享、按需所取的特性帶來了新的安全問題，足以抵消云計算帶來的任何紅利”。如CSA之前的幾項報告所示，云服務的的特質容許用戶繞過組織已有安全策略去通過影子IT服務建立自己的賬戶，必須采取妥當的控制措施。CSA的執行副總裁J.R. Santos談到：“云計算12大威脅的發布反映了此前在管理層面缺少相關考量”。

一、數據泄露

云環境同傳統企業網絡一樣面臨著同樣的眾多安全威脅，但由于云服務存儲著更大量的數據，云服務提供商越來成為了更重要目標。所面臨威脅的嚴重性來源于所保護的數據資產如果發生泄露產生的危害性，雖然對于涉及泄露個人財務信息的事件更吸引世人眼球，但是發生在健康信息、商業機密和知識產權領域的安全事件后果更嚴重。

當發生數據泄露事件后，公司可能面臨罰款、法律訴訟或者背后衍生的黑產交易，商業違約調查和對客戶的通知要花費巨大的成本。另外代理的間接影響包括未來數年內的品牌信譽損失和丟失商業機會。

不同的云服務環境均采用部署不同的安全控制策略來保護，但是最終客戶有責任保護自己的云上數據。CSA建議客戶使用多種認證手段和加密措施以防止數據泄露事件的發生。

二、使用證書和認證體系

數據泄露等安全事件的攻擊的源頭經常是簡單身份認證體系、弱口令和簡單的密鑰或證書系統。云上客戶經常根據內部人員的角色身份認證系統應用不同的權限，但是需要關注的是：人員工作內容變更或者離開部門時經常忘記移除相應的用戶權限。

多因素認證系統例如一次性密碼、手機短信驗證碼、智能卡可以使攻擊者更難以通過所竊取的口令登錄系統達到保護云服務的效果。開發人員經常會犯在源代碼中嵌入口令認證信息或者密鑰，然后在無意間發布在類似于GitHub這樣的公開源代碼平臺發布。認證口令需要被妥善保管且需采用具備符合安全性的公鑰基礎設施。定期更改口令策略以讓攻擊者難以有效利用從公開渠道獲取的口令。

對于規劃使用云服務商提供認證平臺的客戶，需要了解服務商采用何種措施來保護認證平臺。統一集成認證方式其存在一定風險。客戶需要權衡采用此種方式的便利性和這將使得資產成為攻擊者的高價值目標之間的關系。

三、外部接口和API攻擊

幾乎每個云服務及應用均提供API服務。IT團隊使用接口和API去管理和調用包括云資源、管理、服務編排和鏡像等云服務。這些云服務的安全和可用性依賴于API的安全性。CSA警告第三方服務依賴于或者調用這些接口服務時，客戶一旦引入更多的服務或者認證時，面向的風險也隨之增加。由于API和接口大都對外部互聯網開放，幾乎是暴露是系統暴露在最外圍的部分。CSA建議視此視為“防御和監測的第一道前線”進行充足的安全控制和防范。此外對應用程序和系統進行威脅建模、數據流分析和架構設計也應成為應用開發生命周期的重要一環。同時CSA也建議展開代碼review和嚴格的安全滲透測試。

四、存在弱點的系統漏洞

系統漏洞或程序中的安全缺陷問題由來已久，但是隨著云計算引入的多租戶模式后果越來越嚴重。不同租戶間的內存共享、數據庫以及其他的鄰近資源產生了新的攻擊面。CSA認為值得慶幸的是系統漏洞層面的攻擊可以通過傳統的IT運維環節來緩解，目前的最佳實踐包括常規的漏洞掃描、盡快的漏洞修復和快速應對所報告反饋的漏洞和威脅。

根據CSA報告，降低系統漏洞風險的花費經常“相比于傳統的IT成本少得多”。相比于所面臨的破壞后果，讓IT去處理風險和修復漏洞所或者的支持援助還是過少。CSA建議傳統行業需要盡可能的將漏洞快速修復的工作通過固化至自動化工作流程或者通過持續閉環實現。技術團隊應記錄和回顧在應急處理修復漏洞時的各項變更實施過程。

五、賬戶劫持

網絡釣魚、欺詐和軟件存在的漏洞在云環境仍然有效，使用云服務因攻擊者可以竊取活動、操作業務和修改數據從而增加攻擊面。攻擊者也可使用云服務發起其他對外的攻擊。

CAS認為現有的深度防御保護策略存在被此種方式繞過的缺口。租戶應當阻止共用用戶和服務之間的賬戶信息并啟用多因素認證模式。為實現業務可被監測至個人用戶粒度。個人賬戶、服務賬戶均應當被監測。當然一切的關鍵在于保護賬戶認證信息不被竊取。

六、內部惡意行為

內部威脅來源于存在多處：在職或者離職員工、系統管理員、外包人員、商業伙伴。惡意行為包括從數據竊取到報復行為。在云環境中，內部人員可以摧毀整個IT基礎設施或進行數據的操作。依賴于單獨的云服務提供的安全系統，例如加密服務仍然處在極大的風險中。

CSA建議租戶合理控制加密程序和口令，區分使用者責任、利用最小權限原則。同時啟動日志記錄、監測、審計管理員活動也很重要。

CSA進一步解釋道，很容易將工作人員日常工作中的誤操作視為“惡意行為”，舉例來說有可能管理員有臨時拷貝包含敏感內容的用戶數據庫至可公開訪問的服務器行為。此舉會泄露更大的攻擊面，需要通過適當的內部訓練和管理制度來避免這樣的錯誤對云環境造成更嚴重的后果。

七、 APT寄生蟲

CSA形象的比喻高級可持續攻擊（APT）為“寄生”形式的攻擊，攻擊行為潛藏入系統占領一處“據點”，緩慢地、長時間小批量竊取數據和其他知識產權的內容。

由于APT攻擊通常在網絡邊界發生，且夾雜在正常的流量中難以識別。主流云服務商雖提供先進技術來防止APT攻擊滲透其基礎設施，但是顧客也需在其自己的內網系統中一樣，盡力檢測云環境存在的APT攻擊。

常見的突破點包括魚叉式攻擊、直接漏洞攻擊、USB驅動預裝病毒以及通過第三方網絡的跳板。CSA建議訓練雇員識別釣魚攻擊。

常見的IT安全意識培訓讓員工保持警惕以減少將APT攻擊帶人內部網絡之中，同時IT部門需要持續關注最新的先進攻擊手段。

八、數據永久丟失

隨著云計算的逐步成熟，因供應商失誤導致的數據丟失的事件報告逐步變得稀少，但是惡意攻擊者已經知道永久刪除云上數據來損害公司利益，同時云數據中心同任何設施一樣，同樣面臨著自然災害的隱患。云服務商建議通過異地容災備份機制來維護應用和數據作為加強保護措施。秉承業務連續性和災難恢復演練的最佳實踐，很有必要采用合理的備份機制。在云環境中日常數據備份和離線存儲的仍然至關重要。

防止數據永久丟失的責任并只由云服務商承擔，一旦客戶在數據上云之前對此進行加密操作，客戶必須妥善保管密鑰，否則一旦密鑰丟失，這些數據也將完全丟失。

審計策略經常規定組織應當保留一段時間的審查記錄和材料。丟失這些數據可能在監管方面產生嚴重的后果，最近頒布的歐盟數據保護法規也對數據破壞和個人數據泄露有適當的要求，需了解這些法規以避免犯錯。

九、積極性不足

CAS警告道：用戶機構組織在上云時并非完全了解云環境及其相關風險可能導致“大量的商業、金融、技術、法律和合規性風險”。當組織機構嘗試云遷移或者同其他公司在云上的一些合并動作時應當多加留意。例如：用戶如果沒有詳細檢查相關云業務合同將導致在數據丟失或者泄露時，不能及時清晰明確供應商應該承擔的責任。

如果公司開發團隊缺乏云相關的技能時就將應用部署在云上將導致未知運維和架構問題。CSA提醒上云客戶必須盡職盡責地去理解他們使用的云服務面臨的風險。

十、濫用云服務

云計算資源可以被黑色產業鏈利用進行譬如在攻擊時使用計算資源進行破解、運行ddos攻擊，發用垃圾郵件、發送釣魚郵件、發布惡意內容等。

云服務提供商需要識別這些濫用資源的行為，例如識別網絡流量中是否存在ddos攻擊，為客戶提供安全檢查工具去評估客戶云環境的安全度。客戶也應確保服務商提供了相應的檢查機制。雖然有時候客戶不會被這種類型的惡意軟件直接感染，但是濫用云服務的情況會對影響服務可用性和導致數據丟失。

十一、 DDOS攻擊

Ddos攻擊數年來時有發生，但是近年來由于對云服務的可用性造成影響而飽受關注。系統會因DSOS而運行緩慢或者服務響應超時。報告形容到：“遭受ddos攻擊時就像在高峰路段發生的堵車情況，你被卡在唯一的通道，但是你束手無策卻只能坐下耐心等待”。

Ddos攻擊在按需付費場景下會消耗處理大量的系統資源，客戶或許不得不對此支付高昂的費用。伴隨著常見的大流量式的ddos攻擊，客戶也需注意到另外一種攻擊面–在web和數據庫應用層面的ddos攻擊。

云服務提供商在處理ddos事件比客戶大都得心應手，關鍵在于提前演練計劃，在事件發生時降低事態，讓管理員處理這些事情也可以獲取到足夠的支持和資源。