云計算繼續改變組織使用、存儲和共享數據、應用程序和工作負載的方式。它還帶來了一系列新的安全威脅和挑戰。隨著如此多的數據進入云端，特別是進入公共云服務，這些資源成為網絡攻擊者的主要目標。

 

調研機構Gartner公司副總裁兼云計算安全負責人Jay Heiser表示，“公共云的使用量正在快速增長，因此不可避免地會導致更多的敏感內容可能存在風險。”

 

Heiser說，“與許多人的想法相反，保護組織在云中數據的主要責任不在于服務提供商，而在于采用云計算的用戶自身。現在人們正處在云安全過渡期，其安全重點將從云計算提供商轉移到用戶。很多組織正花費大量時間來了解某個特定的云服務提供商是否安全，但其調查幾乎沒有任何回報。”

 

為了向企業提供有關云安全問題的最新情況，以便他們能夠就云采用策略做出明智的決策，云計算安全聯盟(CSA)發布了最新版本的“云計算安全的12個頂級威脅”的行業洞察報告。

 

該報告反映了云計算安全聯盟(CSA)的安全專家目前對云中最重要的安全問題的共識。雖然云中存在許多安全問題，但云計算安全聯盟(CSA)表示，這個列表主要關注12個與云計算的共享、按需特性相關的問題。其后續發布的《云計算的最大威脅：深度挖掘》報告探討了12種威脅中的案例研究。

 

為了確定人們最關注的問題，云計算安全聯盟(CSA)對行業專家進行了一項調查，以匯總有關云計算中最主要的安全問題的專業意見。以下是組織面臨的一些主要的云計算安全問題(按調查結果的嚴重程度排列)：

 

1.數據泄露

 

云計算安全聯盟(CSA)表示，數據泄露是網絡攻擊者和黑客的主要目標，也可能只是人為錯誤、應用程序漏洞或糟糕的安全實踐的結果。它可能涉及任何非公開信息，包括個人健康信息、財務信息、個人身份信息、商業秘密和知識產權。由于不同的原因，企業基于云計算的數據可能對不同的參與方具有價值。數據泄露的風險并非云計算所獨有，但它始終是云計算用戶最關心的問題。

 

這個深度挖掘報告引用了2012年LinkedIn公司的用戶密碼泄露作為一個主要的例子。網絡攻擊者能夠竊取LinkedIn公司密碼數據庫的1.67億個密碼，因為該公司并沒有進行加密。應對這種漏洞的關鍵點是，企業應始終對包含用戶憑據的數據庫進行哈希加密處理，并實施適當的日志記錄和行為異常分析。

 

2. 身份、憑證和訪問管理不足

 

云計算安全聯盟(CSA)表示，偽裝成合法用戶、運營商或開發商的網絡攻擊者可以讀取、修改、刪除數據;發布控制平臺和管理功能;窺探傳輸中的數據或發布源于合法來源的惡意軟件。因此，身份、憑證或密鑰管理不足會導致對數據的未經授權訪問，并可能對組織或最終用戶造成災難性損害。

 

根據這份深度挖掘報告，訪問管理不足的一個例子是發現MongoDB數據庫的不受保護的默認安裝。這種默認實現使端口始終處于開放狀態，允許訪問而無需身份驗證。該報告建議在所有周邊設置預防性控制，并且組織掃描托管、共享和公共環境中的漏洞。

 

3.不安全的接口和應用程序編程接口(API)

 

云計算提供商公開了一組客戶用來管理云服務并與之交互的軟件用戶界面(UI)或API。云計算安全聯盟(CSA)表示，配置、管理和監控都是通過這些接口執行的，一般云計算服務的安全性和可用性取決于API的安全性。它們需要設計成防止意外和惡意企圖規避政策。

 

4.系統漏洞

 

系統漏洞是可利用程序中的漏洞，網絡攻擊者可以利用這些漏洞滲透系統以竊取數據、控制系統或中斷服務操作。云計算安全聯盟(CSA)表示，操作系統組件中的漏洞使所有服務和數據的安全性面臨重大風險。隨著云計算中多租戶的出現，來自不同組織的系統彼此靠近，并允許訪問共享內存和資源，從而創建了新的攻擊面。

 

5.帳戶劫持

 

云計算安全聯盟(CSA)指出，帳戶劫持或服務劫持并不是什么新鮮事，但云計算服務給環境帶來了新的威脅。如果網絡攻擊者獲得了對用戶憑證的訪問權，他們可以竊聽活動和事務、操縱數據、返回偽造信息，并將客戶機重定向到非法站點。帳戶或服務實例可能成為攻擊者的新基礎。有了被盜的憑證，攻擊者通常可以訪問云計算服務的關鍵區域，從而降低這些服務的機密性、完整性、可用性。

 

深度挖掘報告中的一個例子：Dirty Cow公司的高級持續威脅(APT)小組能夠通過弱審查或社交工程接管現有賬戶來獲得系統的Root級控制。該報告建議了關于訪問權限的必要知識，需要訪問的政策以及關于帳戶接管策略的社交工程培訓。

 

6.惡意內部人士

 

云計算安全聯盟(CSA)表示，雖然威脅程度尚未引起很大的關注，但內部威脅是一個真正的威脅。惡意內部人員(如系統管理員)可以訪問潛在的敏感信息，并且可以對更關鍵的系統和最終的數據進行更高級別的訪問。而只依靠云計算服務提供商來提高安全性的系統風險更大。

 

該報告引用了Zynga公司一名心懷不滿的員工進行內部攻擊的例子，該員工從Zynga公司下載并泄露了機密業務的數據。當時該公司沒有實施嚴格的防損控制措施。深度挖掘報告建議實施數據丟失防護(DLP)控制，并建立安全和隱私意識計劃，以改進對可疑活動的識別和報告。

 

7.高級持續威脅(APT)

 

高級持續威脅(APT)是一種寄生形式的網絡攻擊，可以滲透到系統中并在目標組織的IT基礎設施中建立立足點，從而竊取數據。高級持續威脅(APT)在很長一段時間內暗地追尋目標，通常會適應防備他們的安全措施。云計算安全聯盟(CSA)表示，一旦到位，高級持續威脅(APT)可以橫向移動，通過數據中心網絡并融入正常的網絡流量，以實現其目標。

 

8.數據丟失

 

云計算安全聯盟(CSA)表示，存儲在云中的數據可能會因惡意攻擊以外的原因而丟失。云計算服務提供商意外刪除或火災或地震等物理災難可導致客戶數據永久丟失，除非提供商或云計算消費者采取適當措施備份數據，遵循業務連續性的災難恢復最佳實踐。

 

9.盡職調查不足

 

云計算安全聯盟(CSA)表示，當企業高管制定業務戰略時，必須考慮云計算技術和服務提供商。在評估技術和提供商時，制定良好的路線圖和盡職調查清單對于最大的成功機會至關重要。那些急于采用云計算技術，并選擇提供商而不進行盡職調查的組織會面臨許多風險。

 

10.濫用和惡意使用云服務

 

云計算安全聯盟(CSA)表示，云安全服務部署、免費云服務試驗，以及通過支付工具欺詐性帳戶注冊的安全性較差，使云計算模型遭受惡意攻擊。網絡攻擊者可能會利用云計算資源針對用戶、組織或其他云計算提供商進行攻擊。濫用基于云計算的資源的例子包括發起分布式拒絕服務攻擊、垃圾電子郵件和釣魚活動。

 

11.拒絕服務(DoS)

 

拒絕服務(DoS)攻擊旨在防止服務用戶訪問其數據或應用程序。通過強制目標云服務消耗過多的有限系統資源(如處理器功率、內存、磁盤空間或網絡帶寬)，攻擊者可能會導致系統速度降低，并使所有合法服務用戶無法訪問服務。

 

DNS提供商Dyn公司是深度挖掘報告中提到遭遇DoS攻擊的一個關鍵示例。外部組織可以使用Mirai惡意軟件驅使物聯網設備在Dyn上啟動分布式拒絕服務(DDoS)。他們之所以攻擊成功，是因為受損的物聯網設備使用了默認憑據。該報告建議分析異常的網絡流量，并審查和測試業務連續性計劃。

 

12.共享技術漏洞

 

云計算安全聯盟(CSA)指出，云計算服務提供商通過共享基礎設施、平臺或應用程序來實現其服務的可擴展性。云計算技術將“即服務”產品區分開來，而無需大幅度改變現成的硬件/軟件，有時會犧牲安全性。構成支持云計算服務部署的基礎設施組件可能沒有設計成為能夠為多租戶架構或多客戶應用程序提供強大的隔離屬性。這可能導致共享的技術漏洞，這些漏洞可能會在所有交付模型中被利用。

 

深度挖掘報告中的一個例子是CloudBleed漏洞，其中外部惡意參與者可以利用其軟件中的漏洞從安全服務提供商CloudFlare竊取API密鑰、密碼和其他憑據。報告建議對所有敏感數據進行加密，并根據敏感級別對數據進行分段。

 

 

在2018年1月，研究人員揭示了大多數現代微處理器中常見的設計特征，它可以允許使用惡意Javascript代碼從內存中讀取內容，包括加密數據。此問題的兩個變體稱為Meltdown和Spectre，會影響從智能手機到服務器的所有設備。因此將它們添加到這個云計算威脅列表中。

 

Spectre和Meltdown都允許進行側通道攻擊，因為它們突破了應用程序之間的隔離。能夠通過非特權登錄訪問系統的攻擊者可以從內核讀取信息，或者如果攻擊者是訪問者虛擬機(VM)上的Root用戶，則可以讀取主機內核。

 

這對云計算服務提供商來說是一個大問題。雖然提供了一些補丁，但它們只會使實施攻擊變得更加困難。此外，修補補丁也可能會降低性能，因此某些組織可能會選擇不修補系統。CERT 咨詢公司建議更換所有受到影響的處理器。

 

到目前為止，還沒有已知的漏洞利用了Meltdown或Spectre這兩個缺陷，但專家們認為它們可能會很快得到利用，云計算提供商防范它們的最佳建議是確保所有最新的漏洞都已修補。客戶應該要求了解其云計算提供商如何應對Meltdown和Spectre的信息。