云安全是云時(shí)代企業(yè)數(shù)字化轉(zhuǎn)型面臨的較大挑戰(zhàn)之一。隨著云計(jì)算的快速普及，企業(yè)用戶往往認(rèn)為云安全的主要責(zé)任者是技術(shù)堆棧和實(shí)力更為雄厚的云服務(wù)商，這是一個(gè)常見的誤區(qū)，企業(yè)過于依賴云服務(wù)商正在給企業(yè)帶來更大的安全風(fēng)險(xiǎn)。

對(duì)于云安全，尤其是云端數(shù)據(jù)安全的主要責(zé)任者，Gartner，Inc.副總裁兼云安全負(fù)責(zé)人Jay Heiser直言不諱地指出：保護(hù)云中企業(yè)數(shù)據(jù)的主要責(zé)任不在于云服務(wù)提供商，而在于云客戶。Heiser表示：“我們正處于云安全過渡時(shí)期，防護(hù)的重任正在從提供商轉(zhuǎn)移到了客戶。”“如今，企業(yè)正在學(xué)習(xí)，花費(fèi)大量時(shí)間試圖確定某個(gè)特定云服務(wù)提供商是否‘安全’、是否物有所值?！?/p>

為了使企業(yè)對(duì)云安全問題有全新的認(rèn)識(shí)和了解，做出更有效的采購決策，云安全聯(lián)盟（CSA）上個(gè)月推出了最新版本的《云計(jì)算11大威脅報(bào)告》。

為了明確用戶最關(guān)注的云安全問題，CSA對(duì)行業(yè)安全專家進(jìn)行了一項(xiàng)調(diào)查，以就云計(jì)算中最重大的安全性問題收集專業(yè)意見。并針對(duì)Capital One、迪斯尼、道瓊斯、GitHub、特斯拉等九家知名企業(yè)展開云安全案例調(diào)研，深度發(fā)掘主要的云安全問題（按調(diào)查結(jié)果的嚴(yán)重性順序排列）：

1.數(shù)據(jù)泄露

數(shù)據(jù)泄露威脅在去年的調(diào)查中繼續(xù)保持第一的位置，也是最嚴(yán)重的云安全威脅。數(shù)據(jù)泄露行為可能會(huì)嚴(yán)重?fù)p害企業(yè)的聲譽(yù)和財(cái)務(wù)，還可能會(huì)導(dǎo)致知識(shí)產(chǎn)權(quán)（IP）損失和重大法律責(zé)任。

CSA關(guān)于數(shù)據(jù)泄露威脅的關(guān)鍵要點(diǎn)包括：

攻擊者渴望竊取數(shù)據(jù)，因此企業(yè)需要定義其數(shù)據(jù)的價(jià)值及其丟失的影響;

明確哪些人有權(quán)訪問數(shù)據(jù)是解決數(shù)據(jù)保護(hù)問題的關(guān)鍵;

可通過互聯(lián)網(wǎng)訪問的數(shù)據(jù)最容易受到錯(cuò)誤配置或漏洞利用的影響;

加密可以保護(hù)數(shù)據(jù)，但需要在性能和用戶體驗(yàn)之間進(jìn)行權(quán)衡;

企業(yè)需要可靠、經(jīng)過測試的事件響應(yīng)計(jì)劃，并將云服務(wù)提供商考慮在內(nèi)。

2.配置錯(cuò)誤和變更控制不足

這是CSA云安全威脅榜單中出現(xiàn)的新威脅，考慮到近年來越來越多的企業(yè)都因?yàn)槭韬龌蛞馔馔ㄟ^云公開泄露數(shù)據(jù)，該威脅上榜不足為奇。例如，報(bào)告中引用了Exactis事件，其中云服務(wù)商因配置錯(cuò)誤公開泄露了一個(gè)包含2.3億美國消費(fèi)者的個(gè)人數(shù)據(jù)的Elasticsearch數(shù)據(jù)庫。另外一個(gè)災(zāi)難性的錯(cuò)誤配置案例來自Level One Robitics，由于備份服務(wù)器配置錯(cuò)誤暴露了100多家制造公司的知識(shí)產(chǎn)權(quán)信息。

報(bào)告指出，讓企業(yè)擔(dān)心的不僅僅是數(shù)據(jù)丟失，還包括通過篡改或者刪除資料導(dǎo)致的業(yè)務(wù)停頓。報(bào)告將大多數(shù)配置錯(cuò)誤歸咎于變更控制實(shí)踐欠佳。

配置錯(cuò)誤和變更控制不充分的關(guān)鍵點(diǎn)包括：

云端資源的復(fù)雜性使其難以配置;

不要期望傳統(tǒng)的控制和變更管理方法在云中有效;

使用自動(dòng)化和技術(shù)，這些技術(shù)會(huì)連續(xù)掃描錯(cuò)誤配置的資源。

3.缺乏云安全架構(gòu)和策略

這是個(gè)云計(jì)算與生俱來的“古老”問題。對(duì)于很多企業(yè)來說，最大程度縮短將系統(tǒng)和數(shù)據(jù)遷移到云所需的時(shí)間的優(yōu)先級(jí)，要高于安全性。結(jié)果，企業(yè)往往會(huì)選擇并非針對(duì)其設(shè)計(jì)的云安全基礎(chǔ)架構(gòu)和云計(jì)算運(yùn)營策略。這一問題出現(xiàn)在2020年云安全威脅清單中表明，更多的企業(yè)開始意識(shí)到這是一個(gè)嚴(yán)重問題。

云安全架構(gòu)和策略的要點(diǎn)包括：

安全體系結(jié)構(gòu)需要與業(yè)務(wù)目標(biāo)保持一致;

開發(fā)和實(shí)施安全體系結(jié)構(gòu)框架;

保持威脅模型為最新;

部署持續(xù)監(jiān)控功能。

4.身份、憑證、訪問和密鑰管理不善

威脅清單中的另一個(gè)新威脅是對(duì)數(shù)據(jù)、系統(tǒng)和物理資源（如服務(wù)器機(jī)房和建筑物）的訪問管理和控制不足。報(bào)告指出，云計(jì)算環(huán)境中，企業(yè)需要改變與身份和訪問管理（IAM）有關(guān)的做法。報(bào)告認(rèn)為，不這樣做的后果可能導(dǎo)致安全事件和破壞，原因是：

憑證保護(hù)不力;

缺乏密碼密鑰，密碼和證書自動(dòng)輪換功能;

缺乏可擴(kuò)展性;

未能使用多因素身份驗(yàn)證;

未能使用強(qiáng)密碼。

身份、憑證、訪問和密鑰管理的關(guān)鍵要點(diǎn)包括：

安全賬戶，包括使用雙重身份驗(yàn)證;

對(duì)云用戶和身份使用嚴(yán)格的身份和訪問控制-特別是限制root賬戶的使用;

根據(jù)業(yè)務(wù)需求和最小特權(quán)原則隔離和細(xì)分賬戶、虛擬私有云和身份組;

采用程序化、集中式方法進(jìn)行密鑰輪換;

刪除未使用的憑據(jù)和訪問特權(quán)。

5.賬戶劫持

今年，賬戶劫持仍然是第五大云威脅。隨著網(wǎng)絡(luò)釣魚攻擊變得更加有效和更有針對(duì)性，攻擊者獲得高特權(quán)賬戶訪問權(quán)的風(fēng)險(xiǎn)非常大。網(wǎng)絡(luò)釣魚不是攻擊者獲取憑據(jù)的唯一方法。他們還可以通過入侵云服務(wù)等手段來竊取賬戶。

一旦攻擊者可以使用合法賬戶進(jìn)入系統(tǒng)，就可能造成嚴(yán)重破壞，包括盜竊或破壞重要數(shù)據(jù)，中止服務(wù)交付或財(cái)務(wù)欺詐。報(bào)告建議對(duì)用戶就賬戶劫持的危險(xiǎn)性和特征進(jìn)行安全意識(shí)教育培訓(xùn)，以最大程度地降低風(fēng)險(xiǎn)。

CSA關(guān)于賬戶劫持的主要建議包括：

賬戶憑證被盜時(shí)，不要只是重置密碼，要從源頭解決根本問題。

深度防御方法和強(qiáng)大的IAM控制是最好的防御方法。

6.內(nèi)部威脅

來自受信任內(nèi)部人員的威脅在云中與內(nèi)部系統(tǒng)一樣嚴(yán)重。內(nèi)部人員可以是現(xiàn)任或前任員工，承包商或可信賴的業(yè)務(wù)合作伙伴，以及無需突破公司安全防御即可訪問其系統(tǒng)的任何人。

內(nèi)部威脅者未必都是惡意的，很多員工疏忽可能會(huì)無意間使數(shù)據(jù)和系統(tǒng)面臨風(fēng)險(xiǎn)。根據(jù)Ponemon Institute的2018年內(nèi)部威脅成本研究，64%的內(nèi)部威脅事件是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯(cuò)誤的云服務(wù)器，在個(gè)人設(shè)備上存儲(chǔ)敏感數(shù)據(jù)或成為網(wǎng)絡(luò)釣魚電子郵件的受害者。

治理內(nèi)部威脅的關(guān)鍵要點(diǎn)包括：

對(duì)員工進(jìn)行充分的安全意識(shí)和行為準(zhǔn)則的培訓(xùn)和教育，以保護(hù)數(shù)據(jù)和系統(tǒng)。使安全意識(shí)教育常態(tài)化，成為一個(gè)持續(xù)的過程;

定期審核和修復(fù)配置錯(cuò)誤的云服務(wù)器;

限制對(duì)關(guān)鍵系統(tǒng)的訪問。

7.不安全的接口和API

“不安全的接口和API”從去年的第三名跌至第七名。在2018年，F(xiàn)acebook經(jīng)歷了一次嚴(yán)重的數(shù)據(jù)泄露事件，影響了超過5000萬個(gè)賬戶，問題的根源就是新服務(wù)View中不安全的API。尤其是當(dāng)與用戶界面相關(guān)聯(lián)時(shí)，API漏洞往往是攻擊者竊取用戶或員工憑據(jù)的熱門途徑。

報(bào)告指出，企業(yè)需要清醒地認(rèn)識(shí)到，API和用戶界面是系統(tǒng)中最容易暴露的部分，應(yīng)當(dāng)通過安全設(shè)計(jì)方法來強(qiáng)化其安全性。

參考閱讀：糟糕的UX設(shè)計(jì)也是一種安全威脅

治理不安全的接口和API的關(guān)鍵點(diǎn)：

采用良好的API做法，例如監(jiān)督庫存、測試、審計(jì)和異常活動(dòng)保護(hù)等項(xiàng)目;

保護(hù)API密鑰并避免重用;

考慮采用開放的API框架，例如開放云計(jì)算接口（OCCI）或云基礎(chǔ)架構(gòu)管理接口（CIMI）。

8.控制面薄弱

控制平面涵蓋了數(shù)據(jù)復(fù)制、遷移和存儲(chǔ)的過程。根據(jù)CSA的說法，如果負(fù)責(zé)這些過程的人員無法完全控制數(shù)據(jù)基礎(chǔ)架構(gòu)的邏輯、安全性和驗(yàn)證，則控制平面將很薄弱。相關(guān)人員需要了解安全配置，數(shù)據(jù)流向以及體系結(jié)構(gòu)盲點(diǎn)或弱點(diǎn)。否則可能會(huì)導(dǎo)致數(shù)據(jù)泄漏、數(shù)據(jù)不可用或數(shù)據(jù)損壞。

關(guān)于弱控制面的主要建議包括：

確保云服務(wù)提供商提供履行法律和法定義務(wù)所需的安全控制;

進(jìn)行盡職調(diào)查以確保云服務(wù)提供商擁有足夠的控制平面。

9.元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障

云服務(wù)商的元結(jié)構(gòu)（Metastructure）保存了如何保護(hù)其系統(tǒng)的安全性信息，并可通過API調(diào)用。CSA將元結(jié)構(gòu)稱為云服務(wù)提供商/客戶的“分界線”。這些API可幫助客戶檢測未經(jīng)授權(quán)的訪問，同時(shí)也包含高度敏感的信息，例如日志或?qū)徍讼到y(tǒng)數(shù)據(jù)。

這條分界線也是潛在的故障點(diǎn)，可能使攻擊者能夠訪問數(shù)據(jù)或破壞云客戶。糟糕的API實(shí)施通常是導(dǎo)致漏洞的原因。CSA指出，不成熟的云服務(wù)提供商可能不知道如何正確地向其客戶提供API。

另一方面，客戶也可能不了解如何正確實(shí)施云應(yīng)用程序。當(dāng)他們連接并非為云環(huán)境設(shè)計(jì)的應(yīng)用程序時(shí)，尤其如此。

防范元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失敗的關(guān)鍵要點(diǎn)包括：

確保云服務(wù)提供商提供可見性并公開緩解措施;

在云原生設(shè)計(jì)中實(shí)施適當(dāng)?shù)墓δ芎涂丶?

確保云服務(wù)提供商進(jìn)行滲透測試并向客戶提供結(jié)果。

10.云資源使用的可見性差

安全專業(yè)人員普遍抱怨云環(huán)境導(dǎo)致他們看不到檢測和防止惡意活動(dòng)所需的許多數(shù)據(jù)。CSA將這種可見性挑戰(zhàn)分為兩類：未經(jīng)批準(zhǔn)的應(yīng)用程序使用和未經(jīng)批準(zhǔn)的應(yīng)用程序?yàn)E用。

未經(jīng)批準(zhǔn)的應(yīng)用程序本質(zhì)上是影子IT，即員工未經(jīng)IT或安全或技術(shù)支持或許可使用的應(yīng)用程序。任何不符合公司安全性準(zhǔn)則的應(yīng)用程序都可能會(huì)招致安全團(tuán)隊(duì)未意識(shí)到的風(fēng)險(xiǎn)。

經(jīng)許可的應(yīng)用程序?yàn)E用包含很多場景，可能是授權(quán)的人員使用批準(zhǔn)的應(yīng)用程序，也可能是外部攻擊者使用被盜的憑據(jù)。安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)能夠通過檢測非常規(guī)行為來區(qū)分有效用戶和無效用戶。

提高云安全資源可見性的要點(diǎn)：

人員、流程和技術(shù)各個(gè)環(huán)節(jié)都注重云可見性的提升;

在公司范圍內(nèi)對(duì)云資源使用策略進(jìn)行強(qiáng)制性培訓(xùn);

讓云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員查看所有未經(jīng)批準(zhǔn)的云服務(wù);

投資云訪問安全代理（CASB）或軟件定義的網(wǎng)關(guān)（SDG）來分析出站活動(dòng);

投資Web應(yīng)用程序防火墻以分析入站連接;

在整個(gè)組織中實(shí)施零信任模型。

11.濫用和惡意使用云服務(wù)

攻擊者越來越多地使用合法的云服務(wù)來從事非法活動(dòng)。例如，他們可能使用云服務(wù)在GitHub之類的網(wǎng)站上托管偽裝的惡意軟件，發(fā)起DDoS攻擊，分發(fā)網(wǎng)絡(luò)釣魚電子郵件、挖掘數(shù)字貨幣、執(zhí)行自動(dòng)點(diǎn)擊欺詐或?qū)嵤┍┝粢愿`取憑據(jù)。

CSA表示，云服務(wù)提供商應(yīng)有適當(dāng)?shù)木徑獯胧?，以防止和發(fā)現(xiàn)濫用行為，例如付款工具欺詐或?yàn)E用云服務(wù)。對(duì)于云提供商而言，擁有適當(dāng)?shù)氖录憫?yīng)框架以應(yīng)對(duì)濫用并允許客戶報(bào)告濫用也很重要。
責(zé)任編輯：YYX