云安全的11個(gè)網(wǎng)絡(luò)挑戰(zhàn)和解決措施

組織將其業(yè)務(wù)遷移到云端之前，需要了解可能面臨的云安全挑戰(zhàn)，以及如何應(yīng)對(duì)這些挑戰(zhàn)。

所有云計(jì)算平臺(tái)的主要承諾（例如提高IT效率、靈活性和可擴(kuò)展性）都面臨一個(gè)重大挑戰(zhàn)：安全性。

許多組織無(wú)法界定云計(jì)算服務(wù)提供商（CSP）的職責(zé)在何處終止以及他們的職責(zé)從何處開(kāi)始，因此可能存在更多漏洞。云計(jì)算的擴(kuò)展性也增加了組織的潛在攻擊面。而使問(wèn)題進(jìn)一步復(fù)雜化的是，傳統(tǒng)的安全控制措施通常無(wú)法滿(mǎn)足云安全需求。

為了幫助組織了解他們面臨的云計(jì)算挑戰(zhàn)，云安全聯(lián)盟（CSA）在10年前成立了一個(gè)專(zhuān)業(yè)團(tuán)隊(duì)。這個(gè)由行業(yè)人士、架構(gòu)師、開(kāi)發(fā)人員以及組織高管組成的調(diào)查團(tuán)隊(duì)確定了一個(gè)包含25種安全威脅的列表，然后由安全專(zhuān)家進(jìn)行分析，并對(duì)這些安全威脅進(jìn)行排名，并將這些安全威脅精簡(jiǎn)到11種最常見(jiàn)的云計(jì)算安全挑戰(zhàn)：

數(shù)據(jù)泄露;

配置錯(cuò)誤和變更控制不足;

缺乏云安全架構(gòu)和策略;

身份、憑證、訪問(wèn)和密鑰管理不足;

帳戶(hù)劫持;

內(nèi)部威脅;

不安全的接口和API;

控制平臺(tái)薄弱;

元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失效;

有限的云使用可見(jiàn)性;

濫用和惡意使用云計(jì)算服務(wù)。

從那時(shí)起，云安全聯(lián)盟（CSA）每?jī)赡臧l(fā)布一份調(diào)查報(bào)告。而日前發(fā)布的一份名為“令人震驚的云計(jì)算的11個(gè)最大威脅”的報(bào)告，其中詳細(xì)說(shuō)明了這些威脅以及確定是誰(shuí)的責(zé)任，或者是客戶(hù)的責(zé)任，或者云計(jì)算服務(wù)提供商（CSP）的責(zé)任，還是兩者都有責(zé)任，并提供了幫助組織實(shí)施云計(jì)算安全保護(hù)的步驟。

云安全聯(lián)盟（CSA）發(fā)布的第五份調(diào)查報(bào)告顯示了一些重大變化。值得注意的是，這11種主要安全威脅中有6種威脅是新出現(xiàn)的。此外，這些威脅并不是云計(jì)算服務(wù)提供商（CSP）的全部責(zé)任，而都與客戶(hù)有關(guān)，或者是云計(jì)算服務(wù)提供商（CSP）和客戶(hù)共同承擔(dān)的責(zé)任。

云安全聯(lián)盟（CSA）全球研究副總裁John Yeoh表示：“我們注意到，最主要的趨勢(shì)是組織對(duì)客戶(hù)的控制力有所增強(qiáng)?！彼麑l(fā)生的這些變化歸因于兩件事：或者組織對(duì)云計(jì)算服務(wù)提供商（CSP）信任度顯著提高，或者組織希望加強(qiáng)控制并更好地了解他們?cè)谠破脚_(tái)中可以做些什么，以及如何使用云服務(wù)滿(mǎn)足其特定的安全要求。

在今年發(fā)布的調(diào)查報(bào)告中，根據(jù)對(duì)受訪者進(jìn)行的調(diào)查，以下是按嚴(yán)重程度排列的11種安全威脅以及每種安全威脅的緩解措施：

1. 數(shù)據(jù)泄露

云安全聯(lián)盟（CSA）的這份調(diào)查報(bào)告表明，數(shù)據(jù)泄露仍然是云計(jì)算服務(wù)提供商（CSP）及其客戶(hù)的責(zé)任，在2021年仍然是最大的云安全威脅。在過(guò)去幾年中，許多數(shù)據(jù)泄露都?xì)w因于云平臺(tái)，其中最引人注目的事件之一就是Capital One公司的云計(jì)算配置錯(cuò)誤。

數(shù)據(jù)泄露可能會(huì)使一些組織陷入困境，聲譽(yù)遭受不可逆轉(zhuǎn)的損害，并且由于監(jiān)管影響、法律責(zé)任、事件響應(yīng)成本，以及市場(chǎng)價(jià)值下降而造成財(cái)務(wù)方面的困難。

云安全聯(lián)盟（CSA）的建議如下：

確定數(shù)據(jù)價(jià)值及其損失的影響;

通過(guò)加密保護(hù)數(shù)據(jù);

制定強(qiáng)有力的、經(jīng)過(guò)充分測(cè)試的事件響應(yīng)計(jì)劃。

云安全聯(lián)盟（CSA）的云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

執(zhí)行數(shù)據(jù)輸入和輸出完整性例程;

將最小特權(quán)原則應(yīng)用于訪問(wèn)控制;

建立安全刪除和處置數(shù)據(jù)的政策和程序。

云安全聯(lián)盟（CSA）的云控制矩陣是云安全聯(lián)盟（CSA）安全指南的支持文件，這份指南是第四代文檔，概述了各種云域及其主要目標(biāo)。

云控制矩陣（CCM）提供了按控制區(qū)域和控制ID分類(lèi)的需求和控制的詳細(xì)列表，每個(gè)列表對(duì)應(yīng)于其控制規(guī)范、架構(gòu)相關(guān)性、云交付模型（SaaS、PaaS和IaaS），以及標(biāo)準(zhǔn)和框架（如PCI DSS、NIST和FedRAMP）。

2. 配置錯(cuò)誤和變更控制不足

如果資產(chǎn)設(shè)置不正確，則很容易受到網(wǎng)絡(luò)攻擊。例如，Capital One公司的安全漏洞可以追溯到泄露Amazon S3存儲(chǔ)桶的Web應(yīng)用程序防火墻配置錯(cuò)誤。除了不安全的存儲(chǔ)之外，權(quán)限過(guò)大和使用默認(rèn)憑據(jù)也是出現(xiàn)數(shù)據(jù)漏洞的另外兩個(gè)主要來(lái)源。

與此相關(guān)的是，無(wú)效的變更控制可能會(huì)導(dǎo)致云計(jì)算配置錯(cuò)誤。在按需實(shí)時(shí)云計(jì)算環(huán)境中，更改控制應(yīng)該實(shí)現(xiàn)自動(dòng)化以支持快速更改。

客戶(hù)的責(zé)任，錯(cuò)誤的配置和變更控制是云安全威脅列表的新增內(nèi)容。

云安全聯(lián)盟（CSA）的建議如下：

特別關(guān)注可通過(guò)互聯(lián)網(wǎng)訪問(wèn)的數(shù)據(jù);

定義數(shù)據(jù)的業(yè)務(wù)價(jià)值及其丟失的影響;

創(chuàng)建并維護(hù)強(qiáng)有力的事件響應(yīng)計(jì)劃。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

確保外部合作伙伴遵守內(nèi)部開(kāi)發(fā)人員使用的變更管理、發(fā)布和測(cè)試程序;

按計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估;

對(duì)承包商、第三方用戶(hù)和員工進(jìn)行安全意識(shí)培訓(xùn)。

3. 缺乏云安全架構(gòu)和策略

很多組織在沒(méi)有適當(dāng)?shù)募軜?gòu)和策略的情況下進(jìn)入云端。在遷移到云平臺(tái)之前，客戶(hù)必須了解他們所面臨的威脅，如何安全地遷移到云平臺(tái)以及共享責(zé)任模型的來(lái)龍去脈。

這種威脅是清單中的新內(nèi)容，主要是客戶(hù)的責(zé)任。如果沒(méi)有適當(dāng)?shù)挠?jì)劃，客戶(hù)將很容易受到網(wǎng)絡(luò)攻擊，從而可能導(dǎo)致財(cái)務(wù)損失，聲譽(yù)受損以及法律和合規(guī)性問(wèn)題。

云安全聯(lián)盟（CSA）的建議如下：

確保安全架構(gòu)符合業(yè)務(wù)目標(biāo)。

開(kāi)發(fā)和實(shí)施安全架構(gòu)框架。

實(shí)施持續(xù)的安全監(jiān)控程序。

云控制矩陣（CCM）包括以下內(nèi)容：

確保風(fēng)險(xiǎn)評(píng)估政策包括更新政策、程序、標(biāo)準(zhǔn)和控制措施以保持相關(guān)性;

根據(jù)商定的服務(wù)級(jí)別和容量級(jí)別預(yù)期、IT治理以及服務(wù)管理政策和程序，設(shè)計(jì)、開(kāi)發(fā)和部署業(yè)務(wù)關(guān)鍵型/影響客戶(hù)的應(yīng)用程序和API設(shè)計(jì)和配置以及網(wǎng)絡(luò)和系統(tǒng)組件;

限制和監(jiān)視網(wǎng)絡(luò)環(huán)境和虛擬實(shí)例中受信任和不受信任連接之間的流量。

4. 身份、憑證、訪問(wèn)和密鑰管理不足

大多數(shù)云安全威脅以及一般的網(wǎng)絡(luò)安全威脅都可以與身份和訪問(wèn)管理（IAM）問(wèn)題相關(guān)聯(lián)。根據(jù)云安全聯(lián)盟（CSA）指南，這源于以下原因：

不正確的憑證保護(hù);

缺乏自動(dòng)的加密密鑰、密碼和證書(shū)輪換;

IAM可擴(kuò)展性挑戰(zhàn);

缺少多因素身份驗(yàn)證;

弱密碼。

對(duì)于頂級(jí)云安全挑戰(zhàn)列表來(lái)說(shuō)，新的標(biāo)準(zhǔn)身份和訪問(wèn)管理（IAM）挑戰(zhàn)由于使用云計(jì)算而加劇。執(zhí)行庫(kù)存、跟蹤、監(jiān)視和管理所需的大量云計(jì)算帳戶(hù)的方法包括：設(shè)置和取消配置問(wèn)題、僵尸帳戶(hù)、過(guò)多的管理員帳戶(hù)和繞過(guò)身份和訪問(wèn)管理（IAM）控制的用戶(hù)，以及定義角色和特權(quán)所面臨的挑戰(zhàn)。

作為客戶(hù)的責(zé)任，云安全聯(lián)盟（CSA）的建議如下：

使用雙因素身份驗(yàn)證;

對(duì)云計(jì)算用戶(hù)和身份實(shí)施嚴(yán)格的身份和訪問(wèn)管理（IAM）控制;

輪換密鑰、刪除未使用的憑據(jù)和訪問(wèn)權(quán)限，并采用集中式編程密鑰管理。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

確定關(guān)鍵管理者并制定和維護(hù)關(guān)鍵管理政策;

分配、記錄和傳達(dá)執(zhí)行雇傭終止或程序變更的角色和職責(zé);

及時(shí)取消供應(yīng)（無(wú)論是撤銷(xiāo)還是修改）用戶(hù)對(duì)數(shù)據(jù)和網(wǎng)絡(luò)組件的訪問(wèn)。

5. 帳戶(hù)劫持

云計(jì)算賬戶(hù)劫持是指對(duì)云計(jì)算環(huán)境的運(yùn)行、管理或維護(hù)至關(guān)重要的云計(jì)算賬戶(hù)的泄露、意外泄露或其他泄露行為。這些高度特權(quán)和敏感的帳戶(hù)如果被遭到破壞，可能會(huì)導(dǎo)致嚴(yán)重的后果。

從網(wǎng)絡(luò)釣魚(yú)和憑證填充到薄弱或被盜憑證，再到不正確的編碼，賬戶(hù)泄露可能導(dǎo)致數(shù)據(jù)泄露和服務(wù)中斷。

作為云計(jì)算服務(wù)提供商（CSP）和客戶(hù)的責(zé)任，云安全聯(lián)盟（CSA）的建議如下：

記住帳戶(hù)劫持不僅僅是密碼重置;

使用縱深防御、身份和訪問(wèn)管理（IAM）控件。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

建立、記錄和采用統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃;

將生產(chǎn)和非生產(chǎn)環(huán)境分開(kāi);

保持并定期更新合規(guī)聯(lián)絡(luò)人，以準(zhǔn)備需要迅速與執(zhí)法部門(mén)互動(dòng)。

6. 內(nèi)部威脅

與員工和組織網(wǎng)絡(luò)內(nèi)其他人員相關(guān)的風(fēng)險(xiǎn)不僅限于云平臺(tái)。無(wú)論是疏忽還是有意，內(nèi)部人員（包括現(xiàn)任和前任員工、承包商和合作伙伴）都可能導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)停機(jī)、客戶(hù)信心降低和數(shù)據(jù)泄露。

組織必須解決客戶(hù)的責(zé)任、涉及泄露或被盜數(shù)據(jù)的內(nèi)部威脅、憑證問(wèn)題、人為錯(cuò)誤和云錯(cuò)誤配置。

云安全聯(lián)盟（CSA）的建議如下：

進(jìn)行安全意識(shí)培訓(xùn);

修復(fù)配置錯(cuò)誤的云計(jì)算服務(wù)器;

限制對(duì)關(guān)鍵系統(tǒng)的訪問(wèn)。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

在重新定位或傳輸硬件、軟件或數(shù)據(jù)之前需要授權(quán);

按計(jì)劃的時(shí)間間隔授權(quán)和重新驗(yàn)證用戶(hù)訪問(wèn)控制;

分割其他租戶(hù)的多租戶(hù)應(yīng)用、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。

7. 不安全的接口和API

客戶(hù)通過(guò)其與云計(jì)算服務(wù)進(jìn)行交互的云計(jì)算服務(wù)提供商（CSP）的UI和API是云計(jì)算環(huán)境中最公開(kāi)的部分。任何云計(jì)算服務(wù)的安全性都始于對(duì)它們的良好保護(hù)，這是客戶(hù)和云計(jì)算服務(wù)提供商（CSP）的責(zé)任。

云計(jì)算服務(wù)提供商（CSP）必須確保已經(jīng)集成安全性，客戶(hù)必須努力使用云安全聯(lián)盟（CSA）所謂的云計(jì)算“前門(mén)”來(lái)管理、監(jiān)視和安全。該威脅已從上次報(bào)告中的第三大威脅下降到第七，但仍然很重要。

云安全聯(lián)盟（CSA）的建議如下：

確保API的安全性;

避免API密鑰重用;

使用標(biāo)準(zhǔn)和開(kāi)放的API框架。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

根據(jù)行業(yè)領(lǐng)先標(biāo)準(zhǔn)設(shè)計(jì)、開(kāi)發(fā)、部署和測(cè)試API，并遵守適用的法律、法規(guī)和監(jiān)管義務(wù);

隔離和限制對(duì)與組織信息系統(tǒng)交互的審核工具的訪問(wèn)，以防止數(shù)據(jù)泄露和篡改;

限制能夠覆蓋系統(tǒng)、對(duì)象、網(wǎng)絡(luò)、虛擬機(jī)和應(yīng)用程序控制的實(shí)用程序。

8. 控制平臺(tái)薄弱

作為客戶(hù)的責(zé)任和2021年的新職責(zé)，云計(jì)算控制平臺(tái)是組織使用的云計(jì)算管理控制臺(tái)和接口的集合。云安全聯(lián)盟（CSA）表示，它還包括數(shù)據(jù)復(fù)制、遷移和存儲(chǔ)。如果安全措施不當(dāng)，被破壞的控制平面可能會(huì)導(dǎo)致數(shù)據(jù)丟失、監(jiān)管罰款和其他后果，以及品牌聲譽(yù)受損，從而導(dǎo)致收入損失。

云安全聯(lián)盟（CSA）的建議如下：

要求云計(jì)算服務(wù)提供商（CSP）進(jìn)行適當(dāng)?shù)目刂?

進(jìn)行盡職調(diào)查以確定潛在的云服務(wù)是否具有足夠的控制平臺(tái)。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

建立信息安全策略和程序并使其易于內(nèi)部人員和外部業(yè)務(wù)關(guān)系審查;

實(shí)施和應(yīng)用深度防御措施，以及時(shí)檢測(cè)和響應(yīng)基于網(wǎng)絡(luò)的攻擊;

制定策略，對(duì)數(shù)據(jù)和包含數(shù)據(jù)的對(duì)象進(jìn)行標(biāo)記、處理和保護(hù)。

9. 元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失效

由云安全聯(lián)盟（CSA）定義的元結(jié)構(gòu)是“提供基礎(chǔ)結(jié)構(gòu)層和其他層之間接口的協(xié)議和機(jī)制”，換句話(huà)說(shuō)，就是將技術(shù)聯(lián)系起來(lái)并實(shí)現(xiàn)管理和配置的粘合劑。

元結(jié)構(gòu)是云計(jì)算服務(wù)提供商（CSP）與客戶(hù)之間的分界線。這里存在許多安全威脅：例如，云安全聯(lián)盟（CSA）指出云計(jì)算服務(wù)提供商（CSP）的API實(shí)施不佳或客戶(hù)使用的云計(jì)算應(yīng)用程序不當(dāng)。此類(lèi)安全挑戰(zhàn)可能導(dǎo)致服務(wù)中斷和配置錯(cuò)誤，并造成財(cái)務(wù)和數(shù)據(jù)丟失的后果。

該應(yīng)用程序結(jié)構(gòu)被定義為“部署在云中的應(yīng)用程序以及用于構(gòu)建它們的底層應(yīng)用程序服務(wù)”。例如消息隊(duì)列、人工分析或通知服務(wù)。

報(bào)告中的新威脅是客戶(hù)和云計(jì)算服務(wù)提供商（CSP）共同的責(zé)任。云安全聯(lián)盟（CSA）的建議如下：

云計(jì)算服務(wù)提供商（CSP）提供可見(jiàn)性，并公開(kāi)緩解措施以解決其客戶(hù)缺乏透明度的問(wèn)題;

云計(jì)算服務(wù)提供商（CSP）進(jìn)行滲透測(cè)試并向客戶(hù)提供結(jié)果;

客戶(hù)在云原生設(shè)計(jì)中實(shí)現(xiàn)功能和控件。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

制定和維護(hù)審計(jì)計(jì)劃以解決業(yè)務(wù)流程中斷問(wèn)題;

實(shí)施加密以保護(hù)存儲(chǔ)、使用中和傳輸中的數(shù)據(jù);

建立存儲(chǔ)和管理身份信息的策略和過(guò)程。

10. 云計(jì)算使用可見(jiàn)性有限

長(zhǎng)期以來(lái)，云計(jì)算使用可見(jiàn)性一直是組織管理員關(guān)注的問(wèn)題，但對(duì)于這份報(bào)告列出的云安全聯(lián)盟（CSA）的云安全挑戰(zhàn)來(lái)說(shuō)，這是一個(gè)新問(wèn)題。云安全聯(lián)盟（CSA）認(rèn)為，可見(jiàn)性有限會(huì)帶來(lái)兩個(gè)關(guān)鍵挑戰(zhàn)：未經(jīng)批準(zhǔn)的應(yīng)用程序使用，也稱(chēng)為影子IT，是指員工使用IT部門(mén)不允許的應(yīng)用程序。

批準(zhǔn)的應(yīng)用濫用是指未按預(yù)期使用經(jīng)過(guò)IT批準(zhǔn)的應(yīng)用。例如，這包括有權(quán)使用該應(yīng)用程序的用戶(hù)，以及使用通過(guò)SQL注入或DNS攻擊獲得的被盜憑據(jù)訪問(wèn)該應(yīng)用程序的未經(jīng)授權(quán)的個(gè)人。

云安全聯(lián)盟（CSA）表示，這種有限的可見(jiàn)性導(dǎo)致缺乏治理、意識(shí)和安全——所有這些都可能導(dǎo)致網(wǎng)絡(luò)攻擊、數(shù)據(jù)丟失和漏洞。

這是今年新上榜的安全威脅，是云計(jì)算服務(wù)提供商（CSP）和客戶(hù)的共同責(zé)任。云安全聯(lián)盟（CSA）的建議如下：

自上而下開(kāi)發(fā)云計(jì)算可見(jiàn)性;

強(qiáng)制執(zhí)行有關(guān)可接受的云使用策略的組織培訓(xùn);

要求所有未經(jīng)批準(zhǔn)的云服務(wù)均由云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員進(jìn)行審核和批準(zhǔn)。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

定期進(jìn)行風(fēng)險(xiǎn)評(píng)估;

使所有人員意識(shí)到他們的合規(guī)性、安全性角色和職責(zé);

進(jìn)行清查、記錄和維護(hù)數(shù)據(jù)流。

11. 濫用和惡意使用云計(jì)算服務(wù)

正如云計(jì)算可以為組織帶來(lái)很多好處一樣，它也可以被威脅者惡意利用。惡意使用合法的SaaS、PaaS和IaaS產(chǎn)品會(huì)影響個(gè)人、云計(jì)算客戶(hù)和云計(jì)算服務(wù)提供商（CSP）。組織容易通過(guò)以下方式濫用云計(jì)算服務(wù)：

分布式拒絕服務(wù)攻擊;

網(wǎng)絡(luò)釣魚(yú);

加密采礦;

點(diǎn)擊欺詐;

暴力攻擊;

托管的惡意或盜版內(nèi)容。

遭到破壞和濫用的云計(jì)算服務(wù)可能導(dǎo)致費(fèi)用支出，例如，加密貨幣的損失或攻擊者付款;組織在不知不覺(jué)中托管惡意軟件的情況;數(shù)據(jù)丟失等。

云安全聯(lián)盟（CSA）建議云計(jì)算服務(wù)提供商（CSP）努力通過(guò)事件響應(yīng)框架來(lái)檢測(cè)和緩解這種攻擊。云計(jì)算服務(wù)提供商（CSP）還應(yīng)該提供客戶(hù)可以用來(lái)監(jiān)視云計(jì)算工作負(fù)載和應(yīng)用程序的工具和控制。

作為客戶(hù)和云計(jì)算服務(wù)提供商（CSP）的共同責(zé)任，云安全聯(lián)盟（CSA）的建議如下：

監(jiān)控員工云計(jì)算的使用情況;

使用云計(jì)算數(shù)據(jù)丟失防護(hù)技術(shù)。

云控制矩陣（CCM）規(guī)范包括以下內(nèi)容：

采取技術(shù)措施來(lái)管理移動(dòng)設(shè)備風(fēng)險(xiǎn);

為組織和用戶(hù)擁有的端點(diǎn)（包括工作站、筆記本電腦和移動(dòng)設(shè)備）定義配額和使用權(quán)限;

創(chuàng)建和維護(hù)批準(zhǔn)的應(yīng)用程序的列表。
責(zé)編AJX