云计算面临的11大安全威胁

云安全是云时代企业数字化转型面临的最大挑战之一。随着云计算的快速普及，企业用户往往认为云安全的主要责任者是技术堆栈和实力更为雄厚的云服务商，这是一个常见的误区，企业过于依赖云服务商正在给企业带来更大的安全风险。

对于云安全，尤其是云端数据安全的主要责任者，Gartner，Inc.副总裁兼云安全负责人Jay Heiser直言不讳地指出：保护云中企业数据的主要责任不在于云服务提供商，而在于云客户。Heiser表示：“我们正处于云安全过渡时期，防护的重任正在从提供商转移到了客户。”“如今，企业正在学习，花费大量时间试图确定某个特定云服务提供商是否‘安全’、是否物有所值。”

为了使企业对云安全问题有全新的认识和了解，做出更有效的采购决策，云安全联盟（CSA）上个月推出了最新版本的《云计算11大威胁报告》。

为了明确用户最关注的云安全问题，CSA对行业安全专家进行了一项调查，以就云计算中最重大的安全性问题收集专业意见。并针对Capital One、迪斯尼、道琼斯、GitHub、特斯拉等九家知名企业展开云安全案例调研，深度发掘主要的云安全问题（按调查结果的严重性顺序排列）：

01

数据泄露

数据泄露威胁在去年的调查中继续保持第一的位置，也是最严重的云安全威胁。数据泄露行为可能会严重损害企业的声誉和财务，还可能会导致知识产权（IP）损失和重大法律责任。

CSA关于数据泄露威胁的关键要点包括：

• 攻击者渴望窃取数据，因此企业需要定义其数据的价值及其丢失的影响；

• 明确哪些人有权访问数据是解决数据保护问题的关键；

• 可通过互联网访问的数据最容易受到错误配置或漏洞利用的影响；

• 加密可以保护数据，但需要在性能和用户体验之间进行权衡；

• 企业需要可靠、经过测试的事件响应计划，并将云服务提供商考虑在内。

02

配置错误和变更控制不足

这是CSA云安全威胁榜单中出现的新威胁，考虑到近年来越来越多的企业都因为疏忽或意外通过云公开泄露数据，该威胁上榜不足为奇。例如，报告中引用了Exactis事件，其中云服务商因配置错误公开泄露了一个包含2.3亿美国消费者的个人数据的Elasticsearch数据库。另外一个灾难性的错误配置案例来自Level One Robitics，由于备份服务器配置错误暴露了100多家制造公司的知识产权信息。

报告指出，让企业担心的不仅仅是数据丢失，还包括通过篡改或者删除资料导致的业务停顿。报告将大多数配置错误归咎于变更控制实践欠佳。

配置错误和变更控制不充分的关键点包括：

• 云端资源的复杂性使其难以配置；

• 不要期望传统的控制和变更管理方法在云中有效；

• 使用自动化和技术，这些技术会连续扫描错误配置的资源。

03

缺乏云安全架构和策略

这是个云计算与生俱来的“古老”问题。对于很多企业来说，最大程度缩短将系统和数据迁移到云所需的时间的优先级，要高于安全性。结果，企业往往会选择并非针对其设计的云安全基础架构和云计算运营策略。这一问题出现在2020年云安全威胁清单中表明，更多的企业开始意识到这是一个严重问题。

云安全架构和策略的要点包括：

• 安全体系结构需要与业务目标保持一致；

• 开发和实施安全体系结构框架；

• 保持威胁模型为最新；

• 部署持续监控功能。

04

身份、凭证、访问和密钥管理不善

威胁清单中的另一个新威胁是对数据、系统和物理资源（如服务器机房和建筑物）的访问管理和控制不足。报告指出，云计算环境中，企业需要改变与身份和访问管理（IAM）有关的做法。报告认为，不这样做的后果可能导致安全事件和破坏，原因是：

• 凭证保护不力；

• 缺乏密码密钥，密码和证书自动轮换功能；

• 缺乏可扩展性；

• 未能使用多因素身份验证；

• 未能使用强密码。

身份、凭证、访问和密钥管理的关键要点包括：

• 安全账户，包括使用双重身份验证；

• 对云用户和身份使用严格的身份和访问控制-特别是限制root账户的使用；

• 根据业务需求和最小特权原则隔离和细分账户、虚拟私有云和身份组；

• 采用程序化、集中式方法进行密钥轮换；

• 删除未使用的凭据和访问特权。

05

账户劫持

今年，账户劫持仍然是第五大云威胁。随着网络钓鱼攻击变得更加有效和更有针对性，攻击者获得高特权账户访问权的风险非常大。网络钓鱼不是攻击者获取凭据的唯一方法。他们还可以通过入侵云服务等手段来窃取账户。

一旦攻击者可以使用合法账户进入系统，就可能造成严重破坏，包括盗窃或破坏重要数据，中止服务交付或财务欺诈。报告建议对用户就账户劫持的危险性和特征进行安全意识教育培训，以最大程度地降低风险。

CSA关于账户劫持的主要建议包括：

• 账户凭证被盗时，不要只是重置密码，要从源头解决根本问题。

• 深度防御方法和强大的IAM控制是最好的防御方法。

06

内部威胁

来自受信任内部人员的威胁在云中与内部系统一样严重。内部人员可以是现任或前任员工，承包商或可信赖的业务合作伙伴，以及无需突破公司安全防御即可访问其系统的任何人。

内部威胁者未必都是恶意的，很多员工疏忽可能会无意间使数据和系统面临风险。根据Ponemon Institute的2018年内部威胁成本研究，64%的内部威胁事件是由于员工或承包商的疏忽所致。这种疏忽可能包括配置错误的云服务器，在个人设备上存储敏感数据或成为网络钓鱼电子邮件的受害者。

治理内部威胁的关键要点包括：

• 对员工进行充分的安全意识和行为准则的培训和教育，以保护数据和系统。使安全意识教育常态化，成为一个持续的过程；

• 定期审核和修复配置错误的云服务器；

• 限制对关键系统的访问。

07

不安全的接口和API

“不安全的接口和API”从去年的第三名跌至第七名。在2018年，Facebook经历了一次严重的数据泄露事件，影响了超过5000万个账户，问题的根源就是新服务View中不安全的API。尤其是当与用户界面相关联时，API漏洞往往是攻击者窃取用户或员工凭据的热门途径。

报告指出，企业需要清醒地认识到，API和用户界面是系统中最容易暴露的部分，应当通过安全设计方法来强化其安全性。

参考阅读：

治理不安全的接口和API的关键点：

• 采用良好的API做法，例如监督库存、测试、审计和异常活动保护等项目；

• 保护API密钥并避免重用；

• 考虑采用开放的API框架，例如开放云计算接口（OCCI）或云基础架构管理接口（CIMI）。

08

控制面薄弱

控制平面涵盖了数据复制、迁移和存储的过程。根据CSA的说法，如果负责这些过程的人员无法完全控制数据基础架构的逻辑、安全性和验证，则控制平面将很薄弱。相关人员需要了解安全配置，数据流向以及体系结构盲点或弱点。否则可能会导致数据泄漏、数据不可用或数据损坏。

关于弱控制面的主要建议包括：

• 确保云服务提供商提供履行法律和法定义务所需的安全控制；

• 进行尽职调查以确保云服务提供商拥有足够的控制平面。

09

元结构和应用程序结构故障

云服务商的元结构（Metastructure）保存了如何保护其系统的安全性信息，并可通过API调用。CSA将元结构称为云服务提供商/客户的“分界线”。这些API可帮助客户检测未经授权的访问，同时也包含高度敏感的信息，例如日志或审核系统数据。

这条分界线也是潜在的故障点，可能使攻击者能够访问数据或破坏云客户。糟糕的API实施通常是导致漏洞的原因。CSA指出，不成熟的云服务提供商可能不知道如何正确地向其客户提供API。

另一方面，客户也可能不了解如何正确实施云应用程序。当他们连接并非为云环境设计的应用程序时，尤其如此。

防范元结构和应用程序结构失败的关键要点包括：

• 确保云服务提供商提供可见性并公开缓解措施；

• 在云原生设计中实施适当的功能和控件；

• 确保云服务提供商进行渗透测试并向客户提供结果。

10

云资源使用的可见性差

安全专业人员普遍抱怨云环境导致他们看不到检测和防止恶意活动所需的许多数据。CSA将这种可见性挑战分为两类：未经批准的应用程序使用和未经批准的应用程序滥用。

未经批准的应用程序本质上是影子IT，即员工未经IT或安全或技术支持或许可使用的应用程序。任何不符合公司安全性准则的应用程序都可能会招致安全团队未意识到的风险。

经许可的应用程序滥用包含很多场景，可能是授权的人员使用批准的应用程序，也可能是外部攻击者使用被盗的凭据。安全团队应当能够通过检测非常规行为来区分有效用户和无效用户。

提高云安全资源可见性的要点：

• 人员、流程和技术各个环节都注重云可见性的提升；

• 在公司范围内对云资源使用策略进行强制性培训；

• 让云安全架构师或第三方风险管理人员查看所有未经批准的云服务；

• 投资云访问安全代理（CASB）或软件定义的网关（SDG）来分析出站活动；

• 投资Web应用程序防火墙以分析入站连接；

• 在整个组织中实施零信任模型。

11

滥用和恶意使用云服务

攻击者越来越多地使用合法的云服务来从事非法活动。例如，他们可能使用云服务在GitHub之类的网站上托管伪装的恶意软件，发起DDoS攻击，分发网络钓鱼电子邮件、挖掘数字货币、执行自动点击欺诈或实施暴力攻击以窃取凭据。

CSA表示，云服务提供商应有适当的缓解措施，以防止和发现滥用行为，例如付款工具欺诈或滥用云服务。对于云提供商而言，拥有适当的事件响应框架以应对滥用并允许客户报告滥用也很重要。

CSA关于云服务滥用的主要建议包括：

• 监控员工的云服务滥用情况；

• 使用云数据丢失防护（DLP）解决方案来监视和停止数据泄露。