2022年云计算应用重要威胁调查
发布时间:2022-08-04 14:37:09 所属栏目:云计算 来源:互联网
导读:云工作负载、供应链、边缘计算、物联网(IoT)以及区块链等新技术的流行和应用改变了云计算应用的安全格局。为了提高对云中威胁、漏洞和风险的认知,国际云安全联盟(CSA)不久前就当前云计算领域的应用安全问题展开研究,对700余名云计算技术行业专家进行了
|
云工作负载、供应链、边缘计算、物联网(IoT)以及区块链等新技术的流行和应用改变了云计算应用的安全格局。为了提高对云中威胁、漏洞和风险的认知,国际云安全联盟(CSA)不久前就当前云计算领域的应用安全问题展开研究,对700余名云计算技术行业专家进行了调研,并编写发布《云计算顶级威胁报告》。报告认为,以下11个方面的安全挑战正在成为阻碍云计算应用的关键性威胁。 威胁1 身份、凭据、访问权限 和密钥管理不善 身份、凭据、访问管理系统中一般包含了允许组织管理、监控和保护用户对关键资源进行访问的各类工具和策略,这些关键资源可能包括电子文件、计算机系统和物理资源,例如服务器机房或建筑物等。在此过程中,适当地维护和持续监控身份、凭据、访问管理系统至关重要。在身份和访问管理(IAM)中使用风险评分可增强安全态势。使用清晰的风险分配模型、持续的监控以及适当的行为隔离和细分有助于交叉检查(cross-check)IAM系统。 业务影响 如果身份、凭据、访问权限和密钥管理不善,可能会造成如下负面后果: • 业务系统访问缺乏合规性,员工对网络安全性漠不关心; • 关键业务数据被替换或损坏,未经授权或恶意用户的数据渗漏难以发现; • 丧失用户信任和业务营收; • 因严重安全事件响应和取证而产生额外的财务费用; • 勒索软件攻击和供应链中断。 安全事件 2019年1月- 7月,Capital One银行发生大规模数据泄露事件,该事件的诱因是Capital One在其AWS账户中的服务器执行任意用户发起请求。攻击者可以借助放置在公网上的服务器非法访问内网中的服务器,进而造成命令执行、数据泄露等危害。 防护要点 • 使用多因素身份验证; • 对云用户和身份使用严格的访问控制,特别是限制root账户的使用; • 根据业务需求和最小特权原则隔离和细分账户; • 采用程序化、集中式方法轮换密钥; • 及时删除未使用的凭据和访问特权。 威胁2 不安全的接口和API 组织为了给第三方开发人员和客户提供更好的数字体验,正在加速采用API。但随着API日趋普及,保护这些接口的安全性也变得至关重要。必须检查API和微服务是否存在由于错误配置、不良编码实践、缺乏身份验证和不当授权而导致的漏洞。这些漏洞可能会使接口易受攻击。 安全事件 2021年5月5日,居家健身品牌Peloton曝出API漏洞,不健全的用户身份验证和对象级授权会通过API暴露Peloton客户个人身份信息(PII)。这些数据包括详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。 防护要点 • 跟踪、配置和保护与API相关的攻击面; • 更新传统的控制和变更管理策略及方法,以跟上基于云的API增长和变化趋势; • 企业应采用自动化技术,持续监控异常API流量并近乎实时地修复漏洞; • 考虑采用开放的API框架,例如开放云计算接口(OCCI)或云基础架构管理接口(CIMI)。 威胁3 错误配置和变更控制不足 错误配置是指计算资产的不正确或不合理设置,使它们易受意外损坏或恶意活动的影响。常见的错误配置包括:不安全的数据存储元素或容器;过多的权限;保持默认凭据和配置设置不变;禁用标准安全控制;系统未打补丁;禁用日志记录或监控;不受限制地访问端口和服务;不安全地管理秘密;配置不当或缺乏配置验证。云资源配置错误是数据泄露的主要原因,可能导致资源删除或修改以及服务中断。 云环境中的不当变更控制可能会导致错误配置,并阻碍错误配置的修复。云环境和云计算方法与传统信息技术(IT)的不同之处在于它使更改更难以控制。传统的变更流程涉及多个角色和许可,因此需要数天或数周才能投入使用。云计算依靠自动化、角色扩展和访问来支持快速变更,这使得其很难控制变更。此外,使用多个云提供商会增加复杂性,每个提供商的独特功能几乎每天都在增强和扩展。这种动态环境需要一种敏捷和主动的变更控制和修复方法。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号