如今，使用公有云服務(wù)可以為企業(yè)帶來很多好處，最直接的便是更快的業(yè)務(wù)部署，可觀的成本效益。然而隨著企業(yè)上云的推進(jìn)，公有云的安全問題也不容小覷，這是明確的大數(shù)據(jù)時代，但它不一定是保證大數(shù)據(jù)安全的時代。

隨著公共云利用率的快速增長，不可避免地導(dǎo)致更多的敏感內(nèi)容置于潛在風(fēng)險之中。但是，保護(hù)云端中企業(yè)數(shù)據(jù)安全的主要責(zé)任不在云服務(wù)提供商，而在于云客戶本身。

2017年6月，1.97億美國選民的泄露事件，震驚全球。數(shù)周后，600萬威瑞森用戶數(shù)據(jù)，被其第三方合作伙伴Nice系統(tǒng)曝光。一周后，該起事件塵埃未定之時，220萬道瓊斯客戶個人信息又遭泄露。

上述3起泄露事件有幾個共同點，它們都因公開可用的AWS S3 buckets而泄，但更重要的是，全部3起泄露事件都是客戶的人為失誤導(dǎo)致的。為了讓企業(yè)了解云安全問題，以便他們能夠就云采用策略做出明智的決策，小編整理了最新的《12大頂級云安全威脅報告》以及用好云的9條建議，供大家參考。

>>>>>十二大云安全威脅

1. 數(shù)據(jù)泄露

數(shù)據(jù)泄露可能是有針對性攻擊的主要目標(biāo)，也可能是人為錯誤、應(yīng)用程序漏洞或安全措施不佳所導(dǎo)致的后果。這可能涉及任何非公開發(fā)布的信息，其中包括個人健康信息、財務(wù)信息、個人身份信息（PII）、商業(yè)機(jī)密以及知識產(chǎn)權(quán)等。數(shù)據(jù)泄露的風(fēng)險并不是云計算所獨有的，但它始終是云計算用戶需要首要考慮的因素。

2. 身份、憑證和訪問管理不足

惡意行為者會通過偽裝成合法用戶、運營人員或開發(fā)人員來讀取、修改和刪除數(shù)據(jù)；獲取控制平臺和管理功能；在傳輸數(shù)據(jù)的過程中進(jìn)行窺探，或釋放看似來源于合法來源的惡意軟件。因此，身份認(rèn)證不足、憑證或密鑰管理不善都可能會導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問行為發(fā)生，由此可能對組織或最終用戶造成災(zāi)難性的損害。

3. 不安全的接口和應(yīng)用程序編程接口（API）

云服務(wù)提供商會公開一組客戶使用的軟件用戶界面（UI）或API來管理和與云服務(wù)進(jìn)行交互。其配置、管理和監(jiān)控都是通過這些接口來實現(xiàn)執(zhí)行的，一般來說，云服務(wù)的安全性和可用性也都取決于API的安全性。它們需要被設(shè)計用來防止意外和惡意的繞過安全協(xié)議的企圖。

4. 系統(tǒng)漏洞

系統(tǒng)漏洞是系統(tǒng)程序中存在的可用漏洞，利用這些漏洞，攻擊者能夠滲透進(jìn)系統(tǒng)，并竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。隨著云端多租戶形式的出現(xiàn)，來自不同組織的系統(tǒng)開始呈現(xiàn)彼此靠近的局面，且允許在同一平臺／云端的用戶都能夠訪問共享內(nèi)存和資源，這也導(dǎo)致了新的攻擊面的出現(xiàn)，擴(kuò)大了安全風(fēng)險。

5. 賬戶劫持

如果攻擊者獲得了對用戶憑證的訪問權(quán)限，他們就能夠竊聽用戶的活動和交易行為，操縱數(shù)據(jù)，返回偽造的信息并將客戶重定向到非法的釣魚站點中。由于憑證被盜，攻擊者經(jīng)?？梢栽L問云計算服務(wù)的關(guān)鍵區(qū)域，從而危及這些服務(wù)的機(jī)密性、完整性以及可用性。

6. 惡意的內(nèi)部人員

雖然內(nèi)部人員造成的威脅程度存在爭議，但不可否認(rèn)的是，內(nèi)部威脅確實是一種實實在在的威脅。一名懷有惡意企圖的內(nèi)部人員（如系統(tǒng)管理員），他們能夠訪問潛在的敏感信息，并且可以越來越多地訪問更重要的系統(tǒng)，并最終訪問到機(jī)密數(shù)據(jù)。

 

7. 高級持續(xù)性威脅（APT）

高級持續(xù)性威脅（APT）是一種寄生式的網(wǎng)絡(luò)攻擊形式，它通過滲透到目標(biāo)公司的IT基礎(chǔ)設(shè)施來建立立足點，并從中竊取數(shù)據(jù)。高級持續(xù)性威脅（APT）通常能夠適應(yīng)抵御它們的安全措施，并在目標(biāo)系統(tǒng)中“潛伏”很長一段時間。一旦準(zhǔn)備就緒（如收集到足夠的信息），高級持續(xù)性威脅（APT）就可以通過數(shù)據(jù)中心網(wǎng)絡(luò)橫向移動，并與正常的網(wǎng)絡(luò)流量相融合，以實現(xiàn)他們的最終目標(biāo)。

8. 數(shù)據(jù)丟失

存儲在云中的數(shù)據(jù)可能會因惡意攻擊以外的原因而丟失。云計算服務(wù)提供商的意外刪除行為、火災(zāi)或地震等物理災(zāi)難都可能會導(dǎo)致客戶數(shù)據(jù)的永久性丟失，除非云服務(wù)提供商或云計算用戶采取了適當(dāng)?shù)拇胧﹣韨浞輸?shù)據(jù)，遵循業(yè)務(wù)連續(xù)性的最佳實踐，否則將無法實現(xiàn)恢復(fù)。

9. 盡職調(diào)查不足

當(dāng)企業(yè)高管制定業(yè)務(wù)戰(zhàn)略時，必須充分考慮到云計算技術(shù)和服務(wù)提供商。在評估云技術(shù)和服務(wù)提供商時，制定一個良好的路線圖和盡職調(diào)查清單對于獲得最大的安全保障可謂至關(guān)重要。

10. 濫用和惡意使用云服務(wù)

云服務(wù)部署不充分，免費的云服務(wù)試用以及通過支付工具欺詐進(jìn)行的欺詐性賬戶登錄，將使云計算模式暴露于惡意攻擊之下。其中濫用云端資源的例子包括啟動分布式拒絕服務(wù)攻擊（DDoS）、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊等。

11. 拒絕服務(wù)（DoS）

拒絕服務(wù)（DoS）攻擊可以通過強(qiáng)制目標(biāo)云服務(wù)消耗過多的有限系統(tǒng)資源（如處理器能力，內(nèi)存，磁盤空間或網(wǎng)絡(luò)帶寬），來幫助攻擊者降低系統(tǒng)的運行速度，并使所有合法的用戶無法訪問服務(wù)。

12. 共享的技術(shù)漏洞

云計算服務(wù)提供商通過共享基礎(chǔ)架構(gòu)、平臺或應(yīng)用程序來擴(kuò)展其服務(wù)。云技術(shù)將“即服務(wù)”（as-a-service）產(chǎn)品劃分為多個產(chǎn)品，而不會大幅改變現(xiàn)成的硬件/軟件（有時以犧牲安全性為代價）。構(gòu)成支持云計算服務(wù)部署的底層組件，可能并未設(shè)計成為“多租戶”架構(gòu)或多客戶應(yīng)用程序提供強(qiáng)大的隔離性能。這可能會導(dǎo)致共享技術(shù)漏洞的出現(xiàn)，并可能在所有交付模式中被惡意攻擊者濫用。

波耐蒙研究所《2016數(shù)據(jù)泄露損失研究》報告指出，每起數(shù)據(jù)泄露的總損失是400萬美元，每一條包含有敏感或個人身份識別信息(PII)的被盜記錄帶來的損失是158美元。

這些損失便是公司企業(yè)必須選擇最佳安全實踐的原因，通常，這種實踐指的是云的利用。下列九條安全建議，可供公司企業(yè)使用基于云的技術(shù)時優(yōu)先考慮。

1. 為敏感文件列個清單

連自己有些什么都不知道，何談?wù)页鋈笔Я四男〇|西?保證文件的安全，意味著要做好標(biāo)記：哪些信息存儲在哪兒，存儲方式是什么，訪問方式有哪些等等。

2.最小化非必要數(shù)據(jù)存儲

只需要存儲僅夠公司正常運營所需的數(shù)據(jù)即可。老客戶的賬單信息和前雇員的社會安全號與現(xiàn)有業(yè)務(wù)運營無關(guān)，只會成為網(wǎng)絡(luò)小偷的潛在目標(biāo)。

3.確保主機(jī)托管有物理防護(hù)

信息是數(shù)字存儲的并不意味著就沒必要使用物理防護(hù)。服務(wù)器應(yīng)被保管在上鎖的安全的地點。所有數(shù)據(jù)應(yīng)在其他地方的額外服務(wù)器上有備份。

4.使用高級加密協(xié)議

為最大化數(shù)據(jù)的安全性，采取所有必要的電子安全預(yù)防措施是十分緊迫的。這包括在傳輸時和平時都利用防火墻和SSL/TLS協(xié)議對文件進(jìn)行高級加密。

5.用多因子身份驗證保證口令安全

一大批數(shù)據(jù)泄露都是口令使用疏忽的結(jié)果?？诹顟?yīng)是定制的，且包含有寬泛的配置選擇。建議采用多因子身份驗證結(jié)合多次嘗試不成功便鎖定賬戶的方式。

6.配置行為跟蹤以記錄訪問歷史日志

團(tuán)隊成員、同事、客戶、承包商，大量人員有可能對特定文件具有訪問權(quán)。如果每個訪問者都賦予編輯權(quán)限，那么非正確修改的風(fēng)險是避免不了的了。其他風(fēng)險還包括惡意清除、蓄意破壞和共享機(jī)密信息。

行為跟蹤功能可留下每個用戶訪問文件的相關(guān)信息，比如用戶身份、訪問時間、所做修改等。此類文件行為的總結(jié)可通過電子郵件或短信即時通報給管理員。

7.保證最小外部訪問授權(quán)

云的最佳益處之一(任何時候、任何地方都可進(jìn)行訪問)，同時也是其最大風(fēng)險之一?？紤]一下被賦予訪問文件權(quán)限的所有人，其中就可能有你連見都沒見過卻手握你最敏感數(shù)據(jù)訪問權(quán)的人。

無論何時對文件賦予外部訪問權(quán)，管理員都應(yīng)該根據(jù)賦權(quán)角色對權(quán)限和控制進(jìn)行定制。也就是說，每個人都應(yīng)基于該項目的位置和責(zé)任被賦予打開、瀏覽或編輯信息的權(quán)限。

8.限制公共WiFi的無線應(yīng)用

智能手機(jī)、平板和筆記本電腦讓在外辦公變得容易，同時也為安全疏忽開啟了方便之門。這些個人設(shè)備經(jīng)常被用于個人事務(wù)，意味著可能會帶來交叉影響，比如從一個設(shè)備向其他設(shè)備感染病毒或惡意軟件。

另外，如果無線設(shè)備被盜或遺失，公司信息就有可能落入他人之手，通信也有可能通過公共WiFi網(wǎng)絡(luò)被竊聽。

使用虛擬數(shù)據(jù)室可以抵消公私混用設(shè)備相關(guān)的大多數(shù)威脅。

9.培訓(xùn)并認(rèn)證員工

未經(jīng)合適的用戶培訓(xùn)就授予云訪問權(quán)這種事絕對不能發(fā)生。應(yīng)該花時間對新員工進(jìn)行云安全最佳實踐培訓(xùn)。