云安全的11个挑战及应对计划
发布时间:2021-10-22 18:56:04 所属栏目:云计算 来源:互联网
导读:组织将其业务迁移到云端之前,需要了解可能面临的云安全挑战,以及如何应对这些挑战。 所有云计算平台的主要承诺(例如提高IT效率、灵活性和可扩展性)都面临一个重大挑战:安全性。 许多组织无法界定云计算服务提供商(CSP)的职责在何处终止以及他们的职责从何
|
组织将其业务迁移到云端之前,需要了解可能面临的云安全挑战,以及如何应对这些挑战。
所有云计算平台的主要承诺(例如提高IT效率、灵活性和可扩展性)都面临一个重大挑战:安全性。
许多组织无法界定云计算服务提供商(CSP)的职责在何处终止以及他们的职责从何处开始,因此可能存在更多漏洞。云计算的扩展性也增加了组织的潜在攻击面。而使问题进一步复杂化的是,传统的安全控制措施通常无法满足云安全需求。
为了帮助组织了解他们面临的云计算挑战,云安全联盟(CSA)在10年前成立了一个专业团队。这个由行业人士、架构师、开发人员以及组织高管组成的调查团队确定了一个包含25种安全威胁的列表,然后由安全专家进行分析,并对这些安全威胁进行排名,并将这些安全威胁精简到11种最常见的云计算安全挑战:
(1)数据泄露;
(2)配置错误和变更控制不足;
(3)缺乏云安全架构和策略;
(4)身份、凭证、访问和密钥管理不足;
(5)帐户劫持;
(6)内部威胁;
(7)不安全的接口和API;
(8)控制平台薄弱;
(9)元结构和应用程序结构失效;
(10)有限的云使用可见性;
(11)滥用和恶意使用云计算服务。
从那时起,云安全联盟(CSA)每两年发布一份调查报告。而日前发布的一份名为“令人震惊的云计算的11个最大威胁”的报告,其中详细说明了这些威胁以及确定是谁的责任,或者是客户的责任,或者云计算服务提供商(CSP)的责任,还是两者都有责任,并提供了帮助组织实施云计算安全保护的步骤。
云安全联盟(CSA)发布的第五份调查报告显示了一些重大变化。值得注意的是,这11种主要安全威胁中有6种威胁是新出现的。此外,这些威胁并不是云计算服务提供商(CSP)的全部责任,而都与客户有关,或者是云计算服务提供商(CSP)和客户共同承担的责任。
云安全联盟(CSA)全球研究副总裁John Yeoh表示:“我们注意到,最主要的趋势是组织对客户的控制力有所增强。”他将发生的这些变化归因于两件事:或者组织对云计算服务提供商(CSP)信任度显著提高,或者组织希望加强控制并更好地了解他们在云平台中可以做些什么,以及如何使用云服务满足其特定的安全要求。
在今年发布的调查报告中,根据对受访者进行的调查,以下是按严重程度排列的11种安全威胁以及每种安全威胁的缓解措施:
1.数据泄露
云安全联盟(CSA)的这份调查报告表明,数据泄露仍然是云计算服务提供商(CSP)及其客户的责任,在2021年仍然是最大的云安全威胁。在过去几年中,许多数据泄露都归因于云平台,其中最引人注目的事件之一就是Capital One公司的云计算配置错误。
数据泄露可能会使一些组织陷入困境,声誉遭受不可逆转的损害,并且由于监管影响、法律责任、事件响应成本,以及市场价值下降而造成财务方面的困难。
云安全联盟(CSA)的建议如下:
确定数据价值及其损失的影响;
通过加密保护数据;
制定强有力的、经过充分测试的事件响应计划。
云安全联盟(CSA)的云控制矩阵(CCM)规范包括以下内容:
执行数据输入和输出完整性例程;
将最小特权原则应用于访问控制;
建立安全删除和处置数据的政策和程序。
云安全联盟(CSA)的云控制矩阵是云安全联盟(CSA)安全指南的支持文件,这份指南是第四代文档,概述了各种云域及其主要目标。
云控制矩阵(CCM)提供了按控制区域和控制ID分类的需求和控制的详细列表,每个列表对应于其控制规范、架构相关性、云交付模型(SaaS、PaaS和IaaS),以及标准和框架(如PCI DSS、NIST和FedRAMP)。
2.配置错误和变更控制不足
如果资产设置不正确,则很容易受到网络攻击。例如,Capital One公司的安全漏洞可以追溯到泄露Amazon S3存储桶的Web应用程序防火墙配置错误。除了不安全的存储之外,权限过大和使用默认凭据也是出现数据漏洞的另外两个主要来源。
与此相关的是,无效的变更控制可能会导致云计算配置错误。在按需实时云计算环境中,更改控制应该实现自动化以支持快速更改。
客户的责任,错误的配置和变更控制是云安全威胁列表的新增内容。
云安全联盟(CSA)的建议如下:
特别关注可通过互联网访问的数据;
定义数据的业务价值及其丢失的影响;
创建并维护强有力的事件响应计划。
云控制矩阵(CCM)规范包括以下内容:
确保外部合作伙伴遵守内部开发人员使用的变更管理、发布和测试程序;
按计划的时间间隔进行风险评估;
对承包商、第三方用户和员工进行安全意识培训。
3.缺乏云安全架构和策略
很多组织在没有适当的架构和策略的情况下进入云端。在迁移到云平台之前,客户必须了解他们所面临的威胁,如何安全地迁移到云平台以及共享责任模型的来龙去脉。
这种威胁是清单中的新内容,主要是客户的责任。如果没有适当的计划,客户将很容易受到网络攻击,从而可能导致财务损失,声誉受损以及法律和合规性问题。
云安全联盟(CSA)的建议如下:
确保安全架构符合业务目标。
开发和实施安全架构框架。
实施持续的安全监控程序。
云控制矩阵(CCM)包括以下内容:
确保风险评估政策包括更新政策、程序、标准和控制措施以保持相关性;
根据商定的服务级别和容量级别预期、IT治理以及服务管理政策和程序,设计、开发和部署业务关键型/影响客户的应用程序和API设计和配置以及网络和系统组件;
限制和监视网络环境和虚拟实例中受信任和不受信任连接之间的流量。
4.身份、凭证、访问和密钥管理不足
大多数云安全威胁以及一般的网络安全威胁都可以与身份和访问管理(IAM)问题相关联。根据云安全联盟(CSA)指南,这源于以下原因:
不正确的凭证保护;
缺乏自动的加密密钥、密码和证书轮换;
IAM可扩展性挑战;
缺少多因素身份验证;
弱密码。
对于顶级云安全挑战列表来说,新的标准身份和访问管理(IAM)挑战由于使用云计算而加剧。执行库存、跟踪、监视和管理所需的大量云计算帐户的方法包括:设置和取消配置问题、僵尸帐户、过多的管理员帐户和绕过身份和访问管理(IAM)控制的用户,以及定义角色和特权所面临的挑战。
作为客户的责任,云安全联盟(CSA)的建议如下:
使用双因素身份验证;
对云计算用户和身份实施严格的身份和访问管理(IAM)控制;
轮换密钥、删除未使用的凭据和访问权限,并采用集中式编程密钥管理。
云控制矩阵(CCM)规范包括以下内容:
确定关键管理者并制定和维护关键管理政策;
分配、记录和传达执行雇佣终止或程序变更的角色和职责;
及时取消供应(无论是撤销还是修改)用户对数据和网络组件的访问。
5.帐户劫持
云计算账户劫持是指对云计算环境的运行、管理或维护至关重要的云计算账户的泄露、意外泄露或其他泄露行为。这些高度特权和敏感的帐户如果被遭到破坏,可能会导致严重的后果。
从网络钓鱼和凭证填充到薄弱或被盗凭证,再到不正确的编码,账户泄露可能导致数据泄露和服务中断。
作为云计算服务提供商(CSP)和客户的责任,云安全联盟(CSA)的建议如下:
记住帐户劫持不仅仅是密码重置; (编辑:宿州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
