雲安全挑戰是什麼?

已發表: 2020-09-17

Check Point 和 Cyber​​security Insiders 發布了他們的 2020 年全球雲安全報告,其中重點放在了業務安全系統在保護其公共雲系統中的數據和工作負載方面面臨的雲安全挑戰。

根據該報告,75% 的受訪者表示他們“高度關注”公共雲安全,因為這仍然是他們面臨的一大挑戰。

另請閱讀:什麼是雲安全?)

雲安全面臨的挑戰

  1. 數據滲透/洩露

    當前影響 2020 年雲安全的雲計算安全問題和挑戰之一是數據洩露問題。 數據洩露有幾個後果,其中一些包括:

    • 導致財務費用的事件取證和響應
    • 法律和合同後果
    • 由於所有列出的原因,對品牌的負面影響可能導致商業市場價值的降低
    • 監管影響可能造成的金錢損失
    • 將知識產權 (IP) 輸給競爭對手,這可能會影響產品的發布。
    • 它會影響品牌聲譽和客戶或合作夥伴對業務的信任。

  2. 不正確的配置和不適當的變更控制

    這是 2020 年雲技術面臨的另一個最普遍的雲安全挑戰。例如,配置錯誤的 AWS Simple Storage Service (S3) 雲存儲桶在 2017 年洩露了約 1.23 億個美國家庭的準確和敏感數據。

    該數據集歸 Experian 所有,這是一家徵信機構,負責將數據出售給名為 Alteryx 的在線營銷和數據分析組織。 Alteryx 公開了該文件。 這種事件可能會產生致命的後果。

  3. 雲安全結構和策略不可用

    在世界各地,一些企業正在將部分 IT 基礎架構遷移到公共雲。 這種遷移的一個主要問題是整合足夠的安全結構來應對網絡威脅。

    然而,挑戰在於大多數企業仍然發現幾乎不可能實施這一過程。 當企業假設雲遷移是一項“易於執行”的任務,只需將其當前的 IT 系統和安全架構遷移到雲環境時,數據集就容易受到多種攻擊。 另一個促成因素也是缺乏對共享安全角色模型的理解。

  4. 訪問權限、憑據、身份和密鑰管理不足

    雲計算帶來了與身份和訪問管理 (IAM) 相關的典型內部系統管理實踐的一些變化。 儘管這些並不是真正的新雲安全挑戰,但在基於雲的環境中工作時它們是更重要的挑戰。

    這是因為雲計算對身份、憑證和訪問管理有很大的影響。 在私有云和公共雲環境中,CSP 和雲用戶都需要在不損害安全性的情況下管理 IAM。

  5. 劫持賬戶

    帳戶劫持是一個問題,其特點是惡意攻擊者訪問和濫用包含極其敏感或私人詳細信息的帳戶。 通常,雲環境中威脅最大的帳戶是訂閱或云服務帳戶。

    由於憑據被盜、利用基於雲的系統和網絡釣魚攻擊,這些帳戶很容易受到損害。

  6. 內部漏洞

    根據 2018 年 Netwrix 雲安全報告,58% 的組織表示內部人員是安全漏洞的原因。 因此,大多數安全事件都是由內部疏忽造成的。

    Ponemon Institute 的 2018 年內部威脅成本研究報告表明,報告的內部事件中有 13% 是由憑證盜竊引起的,23% 與內部犯罪分子有關,高達 64% 是由於員工或承包商的疏忽造成的。

    一些引用的常見情況是:員工或其他內部員工成為網絡釣魚電子郵件的受害者,導致對企業資產的惡意攻擊,員工將私人公司數據保存在自己安全性差的個人系統或設備上,以及配置不當的雲服務器.

  7. 安全性較差的接口和 API

    為了使消費者能夠管理和利用雲系統,雲計算提供商發布了一組軟件用戶界面 (UI) 和 API。 這些 API 決定了整個雲服務器服務的安全性和可用性。

    從訪問管理和身份驗證到活動控制和加密,這些接口必須設計用於防止惡意和意外嘗試滲透安全策略。 不安全的 API 的影響可能是濫用,或者更糟糕的是數據集的破壞。

    許多重大數據洩露事件是由被黑客入侵、暴露或損壞的 API 引起的。 從本質上講,公司必須了解互聯網上這些接口的設計和呈現特徵的安全特性。

  8. 低效的控制平面

    從數據平台到雲環境的過渡為創建足夠的數據存儲和保護協議帶來了一些問題。 現在,用戶創建用於復制、遷移和存儲數據的新流程非常重要。

    如果用戶使用多雲,這個過程會變得更加複雜。 這些問題應該由控制平面來解決。 這是因為它提供了完整性和安全性,可以補充數據平面,從而帶來數據的穩定性和運行時間。

    低效的控制平面表明負責人(無論是 DevOps 工程師還是系統架構師)都無法完全控制數據基礎架構的驗證、安全性和邏輯。

    在這種情況下,主要利益相關者不知道數據如何流動、安全配置以及結構薄弱點和盲點的位置/區域。 由於雲安全方面的這些挑戰,公司可能會遇到數據洩漏、不可用或損壞的情況。

  9. 應用結構和元結構錯誤

    雲服務提供商時不時地披露成功集成和保護其係統所需的流程和安全協議。 在大多數情況下,這些信息是通過 API 調用披露的,並且保護被集成到 CSP 的元結構中。

    元結構被視為分界的客戶線/CSP,也稱為水線。 在這個模型中,幾個級別的特點是錯誤的可能性。 例如,CSP 不適當的 API 集成使攻擊者更容易通過中斷完整性、機密性和服務可用性來阻礙雲客戶。

  10. 雲使用的可見性受限

    受限的雲使用可見性是公司無法可視化和分析組織內使用的雲服務的安全性或惡意性的結果。 這個概念有兩個主要的雲安全挑戰。

    首先是未經批准的應用程序使用。 當員工在沒有企業 IT 和安全部門的特定授權的情況下使用雲工具和應用程序時,就會發生這種情況。 因此,這導致了一種稱為影子 IT 的自助模式。

    當不安全的雲服務活動不符合公司準則時,尤其是在與敏感的公司數據集成時,這是有風險的。 根據 Gartner 的預測,到 2020 年,企業中所有成功的安全滲透中有 1/3 將由影子 IT 系統和資源驅動。

    其次,是受制裁的應用程序濫用。 公司通常很難分析已批准的應用程序是如何被使用受制裁應用程序的內部人員利用的。

    大多數情況下,這種利用是在沒有組織的特定許可的情況下發生的,或者是由針對服務的外部威脅代理通過域名系統 (DNS) 攻擊、結構化查詢語言 (SQL) 注入、憑據盜竊等方法進行的。

  11. 雲服務的濫用和犯罪使用

    惡意攻擊者可能會利用雲計算資源來攻擊雲提供商以及其他用戶或組織。 惡意行為者也有可能在雲服務上託管惡意軟件。

    託管在雲服務上的惡意軟件似乎具有更高的合法性,因為該惡意軟件利用了 CSP 的域。 此外,基於雲的惡意軟件可以利用諸如攻擊向量之類的雲共享資源來進行更多的自我傳播。

  12. 混合雲的增長超過了維護它的能力

    根據一項調查,大約 60% 的受訪者確定或強烈確定雲中業務服務的推出已經超出了他們及時有效維護的能力。 這個數字自報導以來保持不變。 這意味著在這方面沒有任何進展。 隨著公共雲採用率的提高,可以肯定地得出結論,已經失去了基礎。

  13. 拒絕服務 (DOS) 攻擊

    DoS 攻擊的主要目標是禁用系統、網絡或機器,使其目標用戶無法訪問。 Ripple 和比特幣等加密貨幣的發展和增長使得 DoS 攻擊更容易發生。

    通過使用加密貨幣,網絡犯罪分子不再必須獲得所需的技能或控制殭屍網絡。 他們需要做的就是通過這些資金選項聘請另一名黑客代表他們執行工作。

  14. 供應商鎖定

    在安全功能方面,“供應商鎖定”被確定為風險因素。 對於雲服務,僅限於一種兼容的安全解決方案選擇是非常嚴格的。 這樣做的影響可能是安全性的低投資回報率。

    這是因為鎖定的供應商不需要與其他供應商競爭。 他們與您的公司在一起,因為如果您想要一項功能性服務而不是從頭開始,那麼您是他們的唯一選擇。

    因此,在選擇基於雲的服務時,您有必要確定從特定服務提供商轉移到另一家服務提供商的效果如何。 在選擇雲計算服務之前考慮某些因素以避免供應商鎖定(對於您的雲服務本身或您的安全解決方案)是相關的。 考慮以下因素:

    • 雲服務是否為各種服務和安全功能提供多種接口/集成?
    • 雲服務提供商是否提供導出工具來幫助遷移到另一個系統?
    • 最後,您的數據是否以易於導出的格式存儲到新系統?

  15. 警報和通知

    對安全風險的認識和充分溝通是網絡安全以及雲安全的一個重要方面。 一個徹底的安全解決方案必須能夠在其感知到安全威脅時立即提醒相應的網站或應用程序管理員。

    如果沒有清晰和及時的溝通,適當的實體將無法快速緩解威脅並採取適當的措施將威脅降至最低。

最後的想法

總之,儘管上面討論的所有問題都對雲安全構成威脅,但它們並非不可克服。 通過適當的方法、技術和合作夥伴,企業可以克服雲安全挑戰,並開始享受雲技術的豐富優勢。

其他有用的資源:

自動化雲安全和合規的好處

創建雲安全策略指南

如何發現和管理安全和雲風險