Bob Violino

越來越多的數(shù)據(jù)和應(yīng)用程序正在向云端遷移，轉(zhuǎn)型同時也帶來了一些特殊的信息安全挑戰(zhàn)。以下是企業(yè)在使用云服務(wù)時面臨的12個頂級云安全威脅。

云計算正在持續(xù)改變著企業(yè)使用、存儲和共享數(shù)據(jù)、應(yīng)用程序和工作負(fù)載的方式。與此同時，這也帶來了許多新的安全威脅和挑戰(zhàn)。這么多數(shù)據(jù)進(jìn)入云端，特別是公有云服務(wù)，那么這些資源自然也就成為了不法分子的目標(biāo)。

市場研究機(jī)構(gòu)Gartner的副總裁兼云安全負(fù)責(zé)人Jay Heiser表示，“公有云的使用量正在快速增長，因此不可避免地會有大量敏感內(nèi)容暴露在風(fēng)險當(dāng)中。”

與許多人的想法正好相反，保護(hù)云端上的企業(yè)數(shù)據(jù)的主要責(zé)任不在于服務(wù)提供商，而在于云服務(wù)的客戶。Heiser稱：“我們正處于云安全過渡期，重點(diǎn)正從提供商轉(zhuǎn)移到客戶身上。企業(yè)正在花費(fèi)大量時間來弄清楚云服務(wù)提供商是否‘安全，但是他們幾乎沒有得到任何答案?！?/p>

為了讓企業(yè)了解云安全的最新動態(tài)，讓他們在云部署策略上做出明智的決策，云安全聯(lián)盟（CSA）已經(jīng)發(fā)布了最新版本的《十二大云計算頂級威脅：行業(yè)洞察報告》。

該報告反映了目前CSA社區(qū)中的安全專家對最重要的云安全問題的一些共識。雖然云端存在許多安全問題，但是該報告僅列出了按需要使用共享云計算所存在的12個重大問題。后續(xù)發(fā)布的《云計算頂級威脅：深度觀察》列出了關(guān)于這12種威脅的案例研究。

為了確定最重要的威脅，CSA對行業(yè)專家進(jìn)行了一項調(diào)查，以匯總對最重要的云計算安全問題的專業(yè)意見。以下是最重要的云安全問題（嚴(yán)重程度根據(jù)調(diào)查結(jié)果排序）：

1.數(shù)據(jù)泄露

CSA表示，數(shù)據(jù)泄露可能是有針對性的攻擊所追求的結(jié)果，或者僅僅是人為錯誤、應(yīng)用程序漏洞或安全措施不佳所導(dǎo)致的。其可能涉及任何無意被公布的信息，如個人健康信息、財務(wù)信息、個人身份信息、商業(yè)機(jī)密和知識產(chǎn)權(quán)。一個企業(yè)的云端數(shù)據(jù)可能因不同的原因?qū)Σ煌膶ο缶哂胁煌膬r值。數(shù)據(jù)泄露的風(fēng)險并非云計算所獨(dú)有，但它們始終是云客戶最關(guān)注的問題。

《深度觀察》報告將2012年LinkedIn因密碼被竊導(dǎo)致發(fā)生數(shù)據(jù)泄露作為了一個重要案例。由于LinkedIn沒有對密碼數(shù)據(jù)庫進(jìn)行加密，導(dǎo)致攻擊者竊取了1.67億個密碼。該報告指出，這種漏洞的關(guān)鍵要點(diǎn)是，企業(yè)應(yīng)始終對包含用戶憑據(jù)的數(shù)據(jù)庫進(jìn)行加密處理，同時采取適當(dāng)?shù)娜罩居涗浐托袨楫惓７治觥?/p>

2.身份、憑證和訪問管理不當(dāng)

CSA表示，偽裝成合法用戶、操作員或開發(fā)人員的不法分子可以讀取、修改和刪除數(shù)據(jù)，發(fā)布控制平面和管理功能，窺探傳輸中的數(shù)據(jù)或發(fā)布貌似合法來源的惡意軟件。因此，身份、憑證或密鑰管理不當(dāng)可能會導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問，并可能對組織機(jī)構(gòu)或最終用戶造成災(zāi)難性損害。

《深度觀察》報告稱，訪問管理不當(dāng)?shù)囊粋€例證是MongoDB數(shù)據(jù)庫的默認(rèn)安裝存在風(fēng)險。該默認(rèn)安裝會打開一個無需身份驗(yàn)證即可允許訪問的端口。報告建議在所有周邊設(shè)置預(yù)防性控制，同時掃描托管的和共享的公共環(huán)境中的漏洞。

3.不安全的接口和應(yīng)用程序編程接口（API）

云服務(wù)提供商都會公開一組供客戶用來管理云服務(wù)并與之交互的軟件用戶界面（UI）或API。CSA表示，配置、管理和監(jiān)控都是通過這些接口執(zhí)行的，一般云服務(wù)的安全性和可用性取決于API的安全性。它們需要能夠防止意外的和惡意的政策規(guī)避操作。

4.系統(tǒng)漏洞

系統(tǒng)漏洞是程序中可利用的漏洞，攻擊者可以利用這些漏洞滲透到系統(tǒng)中竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。CSA表示，操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險。隨著云端中多租戶的出現(xiàn)，不同企業(yè)的系統(tǒng)彼此相鄰，并且可以訪問共享內(nèi)存和資源，從而為攻擊者創(chuàng)建了新的攻擊面。

5.賬戶劫持

CSA指出，賬戶或服務(wù)劫持并不新鮮，但是云服務(wù)的出現(xiàn)帶來了新的威脅。如果攻擊者獲得了用戶憑據(jù)的訪問權(quán)限，他們就可以監(jiān)控活動和交易、操縱數(shù)據(jù)、返回偽造信息并將客戶端重定向到非法網(wǎng)站。賬戶或服務(wù)實(shí)例可能成為攻擊者的新跳板。憑借竊取的憑據(jù)，攻擊者通?？梢栽L問云計算服務(wù)的關(guān)鍵區(qū)域，從而破壞這些服務(wù)的機(jī)密性、完整性和可用性。

《深度觀察》報告列舉了一個例子。Dirty Cow高級持續(xù)威脅（APT）小組能夠通過弱審查或社會工程接管現(xiàn)有賬戶來獲得系統(tǒng)的root 級控制。該報告建議對訪問權(quán)限執(zhí)行“需要知道”和“需要訪問”政策，并對賬戶接管策略有針對性地展開社會工程培訓(xùn)。

6.不懷好意的內(nèi)部人士

CSA表示，雖然內(nèi)部威脅的威脅程度還存在爭論，但這種威脅是實(shí)實(shí)在在的威脅。不懷好意的內(nèi)部人員（如系統(tǒng)管理員）有可能會訪問敏感信息，并可以對更關(guān)鍵的系統(tǒng)和最終的數(shù)據(jù)進(jìn)行更高級別的訪問。系統(tǒng)如果僅依靠云服務(wù)提供商的安全性，那么將存在巨大的風(fēng)險。

該報告舉了一名心懷不滿的Zynga員工的例子。該員工從公司下載并泄露了機(jī)密業(yè)務(wù)數(shù)據(jù)。當(dāng)時整個公司沒有制定相關(guān)的防丟失控制措施?！渡疃扔^察》報告建議實(shí)施數(shù)據(jù)丟失防護(hù)（DLP）控制，并制定安全和隱私意識計劃，以改進(jìn)對可疑活動的識別和報告。

7.高級持續(xù)威脅（APT）

APT是一種寄生式的網(wǎng)絡(luò)攻擊，它通過向系統(tǒng)滲透以在目標(biāo)公司的IT基礎(chǔ)設(shè)施中建立根據(jù)地，然后竊取數(shù)據(jù)。APT在很長一段時間內(nèi)會悄悄地追蹤他們的目標(biāo)，以適應(yīng)旨在防御它們的安全措施。CSA表示，一旦到位，APT可以橫向移動通過數(shù)據(jù)中心網(wǎng)絡(luò)并融入正常的網(wǎng)絡(luò)流量當(dāng)中，以實(shí)現(xiàn)其目標(biāo)。

8.數(shù)據(jù)丟失

CSA表示，存儲在云端上的數(shù)據(jù)可能會因惡意攻擊以外的原因而丟失。云服務(wù)提供商的意外刪除，火災(zāi)、地震等物理災(zāi)難可導(dǎo)致客戶數(shù)據(jù)永久丟失，除非提供商或云消費(fèi)者遵循業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的最佳實(shí)踐，采取適當(dāng)措施備份這些數(shù)據(jù)。

9.盡職調(diào)查不徹底

CSA表示，當(dāng)高管們制定業(yè)務(wù)戰(zhàn)略時，必須要考慮云技術(shù)和服務(wù)提供商。在評估技術(shù)和提供商時，制定完善的路線圖和盡職調(diào)查清單對于取得全面成功至關(guān)重要。急于采用云技術(shù)并選擇提供商而不進(jìn)行盡職調(diào)查的公司將會面臨許多風(fēng)險。

10.濫用和惡意使用云服務(wù)

CSA表示，不安全的云服務(wù)部署、免費(fèi)的云服務(wù)試用以及欺詐性注冊的賬戶將使云計算模型遭受惡意攻擊。不法分子可能會利用云計算資源來鎖定用戶、組織機(jī)構(gòu)或其他云提供商。濫用云資源的例子包括啟動分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。

11.拒絕服務(wù)（DoS）

DoS攻擊旨在阻止使用服務(wù)的用戶訪問其數(shù)據(jù)或應(yīng)用程序。通過強(qiáng)迫遭到攻擊的云服務(wù)過度消耗有限的系統(tǒng)資源（如處理器能力、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬），攻擊者能夠降低系統(tǒng)處理速度，并使所有合法的服務(wù)用戶無法訪問服務(wù)。

《深度觀察》在DoS攻擊中以DNS提供商Dyn為例舉例稱，一個外部組織使用Mirai惡意軟件利用他們控制的物聯(lián)網(wǎng)設(shè)備，對Dyn發(fā)動了分布式拒絕服務(wù)（DDoS）攻擊。攻擊者之所以成功，是因?yàn)槭軗p的物聯(lián)網(wǎng)設(shè)備使用了默認(rèn)憑據(jù)。報告建議分析異常的網(wǎng)絡(luò)流量，并審查和測試業(yè)務(wù)連續(xù)性計劃。

12.共享技術(shù)漏洞

CSA指出，云服務(wù)提供商通過共享基礎(chǔ)架構(gòu)、平臺或應(yīng)用程序提供可擴(kuò)展的服務(wù)。云技術(shù)帶來的“……即服務(wù)”解決方案有時是以犧牲安全性為代價的，盡管其優(yōu)勢是不會顯著改變現(xiàn)成的軟硬件。支持云服務(wù)部署的基礎(chǔ)設(shè)施的基本組件可能在設(shè)計時并沒有為多租戶架構(gòu)或多客戶應(yīng)用程序提供強(qiáng)大的隔離功能。這導(dǎo)致出現(xiàn)了共享技術(shù)漏洞，這些漏洞可能會在所有交付模型中被利用。

《深度觀察》在報告中列舉了Cloudbleed漏洞。外部的不法分子利用軟件中的漏洞從安全服務(wù)提供商Cloudflare那里竊取了API密鑰、密碼和其他憑據(jù)。該報告建議應(yīng)對所有敏感數(shù)據(jù)進(jìn)行加密，并根據(jù)敏感度級別對數(shù)據(jù)進(jìn)行隔離。

其他云威脅：Meltdown（熔斷）和Spectre（幽靈）

2018年1月，研究人員公布了大多數(shù)現(xiàn)代微處理器中的一個普遍的設(shè)計漏洞，該漏洞允許惡意的Javascript代碼從內(nèi)存中讀取內(nèi)容，包括加密數(shù)據(jù)。這一漏洞有兩個變體，分別被稱為Meltdown（熔斷）和Spectre（幽靈），它們能夠影響從智能手機(jī)到服務(wù)器的所有設(shè)備。正是由于這一原因，我們將它們也添加到了這個云威脅列表之中。

Spectre和Meltdown允許旁路攻擊，因?yàn)樗鼈兇蚱屏藨?yīng)用程序之間的原有隔離。能夠通過非特權(quán)登錄訪問系統(tǒng)的攻擊者可以從內(nèi)核讀取信息，或者如果攻擊者是客戶虛擬機(jī)（VM）上的root用戶，那么他們則可以讀取主機(jī)內(nèi)核。

這對云服務(wù)提供商來說是一個嚴(yán)重的問題。雖然已經(jīng)有了補(bǔ)丁，但也只是讓攻擊者變得難以發(fā)動攻擊而已。與此同時，由于補(bǔ)丁程序可能會降低性能，因此一些企業(yè)可能會選擇不修補(bǔ)系統(tǒng)?！队嬎銠C(jī)安全應(yīng)急響應(yīng)組建議報告》（CERT Advisory）建議更換所有受影響的處理器，但是如果還沒有相應(yīng)的替代品，那么這一建議根本無法做到。

迄今為止，雖然還沒有利用Meltdown或Spectre漏洞的威脅被曝光，但是專家們認(rèn)為這種威脅可能很快就會出來。云提供商防范它們的最佳建議是確保所有最新的補(bǔ)丁都已到位?？蛻魬?yīng)要求其云提供商提供如何響應(yīng)Meltdown和Spectre的相關(guān)信息。

本文作者Bob Violino為Computerworld、CIO、CSO、InfoWorld和Network World網(wǎng)站的特約撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3043030/the-dirty-dozen-12-top-cloud-security-threats.html