越來越多企業(yè)數(shù)據(jù)和應用程序正在轉(zhuǎn)向于云計算,這造成了云上面臨更多的安全挑戰(zhàn)�����。以下是使用云服務時�����,所要面對的12個頂級安全威脅�。
云計算不斷改變企業(yè)在使用、存儲和共享數(shù)據(jù)的方式��,并改善著應用程序和網(wǎng)絡負載的方式����。它還引入了一系列新的安全威脅和挑戰(zhàn)。有了許多的數(shù)據(jù)接入云計算���,特別是接入公共云服務���,這些資源自然會成為黑客的目標。
安全專家認為:公有云利用量快速增長��,不可避免的會導致更多的潛在的風險��。
與許多人認為的相反���,云計算中保護公司數(shù)據(jù)主要責任不在于服務提供商�,而在于企業(yè)自身�。當前許多企業(yè)正處在一個云安全過渡期��,安全的重點正從供應商轉(zhuǎn)向客戶�����。而企業(yè)花費大量時間來判斷某個特定的云服務提供商是否'安全'����,幾乎沒有任何意義可言�����。
為了讓更多的企業(yè)了解云安全問題�����,以便他們能夠就云計算采取做出更明智的決策�����,某安全機構(gòu)對其行業(yè)進行了一次深入的調(diào)查����,就云計算中最嚴重的安全問題給出專業(yè)的意見。以下是最重要的云安全問題�����。(按照調(diào)查結(jié)果的嚴重程序排列):
1����、數(shù)據(jù)泄露
數(shù)據(jù)泄露可能是有針對性的攻擊,也可能是人為錯誤�,應用程序漏洞或者安全保護措施不佳的結(jié)果。這可能涉及任何不公開發(fā)布的信息�����,包括個人健康信息�、財務信息,個人身份信息��、商業(yè)秘密和知識產(chǎn)權(quán)等��。由于不同的原因��,公司基于云計算的數(shù)據(jù)可能對不同方有價值���。數(shù)據(jù)泄露的風險并不是云計算所獨有的�,但它始終是云客戶的首要考慮因素��。
2、驗證授權(quán)存在缺陷
黑客偽裝成合法用戶���,編輯或者開發(fā)人員進行讀取�����、修改和刪除數(shù)據(jù)�;獲取發(fā)布平臺的管理功能���;由于驗證授權(quán)存在缺陷可能導致未經(jīng)授權(quán)的數(shù)據(jù)訪問�����,并可能對公司或者最終用戶造成災難性的傷害��。
3�、不安全的接口和可編程SDK
云服務商提供了一些軟件管理或者API管理接口與云服務交互����。通過供應、管理和監(jiān)控接口來完成自動化操作�����,云服務的安全性和可用性均取決于API的安全性。它們需要被設計來防止意外和惡意的繞過策略����。
4�、系統(tǒng)漏洞
系統(tǒng)漏洞是黑客可用來滲透系統(tǒng)竊取數(shù)據(jù),控制系統(tǒng)或中斷服務操作的程序中可利用的漏洞��。操作系統(tǒng)組件中的漏洞使得所有服務和數(shù)據(jù)的安全性都面臨重大風險���。隨著云中多租戶的出現(xiàn)�����,來自不同公司的系統(tǒng)互相寄生于宿主機�,并且允許訪問共享內(nèi)存和資源����,從而創(chuàng)建新的攻擊面。
5�����、帳戶劫持
帳戶或者服務劫持并不是新的漏洞���,但云計算為這一場景增添了新的威脅�。如果黑客可以訪問用戶的驗證數(shù)據(jù),他們可以竊聽操作和交易���,操縱數(shù)據(jù)����,返回偽造的信息并將客戶重定向到非法的站點�。賬戶或者服務可能成為黑客的新跳板。由于授權(quán)數(shù)據(jù)被盜�����,黑客可以訪問云計算服務的關鍵區(qū)域���,從而危及這些服務的機密性完整性和可用性��。
6��、內(nèi)鬼
企業(yè)的安全威脅�,很大一部分在于來自內(nèi)部的威脅����。像系統(tǒng)管理員這樣的角色可以訪問數(shù)據(jù)庫的數(shù)據(jù)或者潛在的敏感信息�����,并且可以越來越多的訪問更重要的系統(tǒng)�����。僅依靠云服務提供商的系統(tǒng),將面臨的更大的挑戰(zhàn)�。
7、高級持續(xù)性威脅(APT)
APT就像一種寄生蟲的網(wǎng)絡攻擊方式,它滲透到目標公司IT基礎設施步步為營滲透更多系統(tǒng)�,從中竊取敏感數(shù)據(jù)。APT在很長一段時間內(nèi)悄悄接近自己的目標�,經(jīng)常適應和抵御目標的安全措施。
8��、數(shù)據(jù)丟失
存儲在云中的數(shù)據(jù)可能因惡意攻擊以外的原因而丟失���。云服務提供商的意外刪除或者火災或者地震等物理災難可能導致客戶數(shù)據(jù)永久丟失����,除非提供商或者云客戶采取適當措施來備份數(shù)據(jù)�,遵循業(yè)務連續(xù)性的最佳實踐,符合災難恢復要求。
9���、技術(shù)調(diào)研不足
當公司高層制定業(yè)務戰(zhàn)略時��,必須考慮云技術(shù)和服務提供商����。在評估技術(shù)和提供商時����,制定一個好的路線圖和技術(shù)調(diào)研清單對于獲得最大的成功機會到頭重要。急于采用云計算并選擇提供商而沒有執(zhí)行深入的技術(shù)調(diào)研���,可能會面臨諸多的技術(shù)風險��。
10��、濫用云服務
云服務部署考慮不周全�,免費的云服務試用或者測試數(shù)據(jù)沒有刪除�����,暴露在黑客攻擊范圍內(nèi)��。黑客可能會利用云計算資源來定位用戶,公司或者其他云提供商�。濫用云端資源且不加以保護,將極易被攻擊����。
11、拒絕服務
DoS攻擊旨在防止服務的用戶訪問數(shù)據(jù)或者應用程序��。通過強制消耗云服務過多的有限系統(tǒng)資源���,如處理器能力�、內(nèi)存���、磁盤空間或網(wǎng)絡帶寬,攻擊者可能會導致系統(tǒng)速度下降�����,并使用所有合法的服務用戶無法正常使用���。
12��、共享技術(shù)漏洞
云服務提供商通過共享基礎架構(gòu)���,平臺或者應用程序來擴展其服務��。云技術(shù)將'云計算即服務'產(chǎn)品劃分幾個部分�,而不會大幅變成硬件或者軟件��。有時會以犧牲安全為代價�。構(gòu)成支持云服務部署的底層組件可能并未沒有設計為多租房架構(gòu)或者多客戶應用程序提供強大的安全隔離。這可能會導致共享的技術(shù)漏洞��,可能在所有使用過程中被利用����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
