在将业务转移到云端之前,组织需要了解可能面临的云安全挑战以及如何应对这些挑战。
所有云计算平台的主要承诺(如改进)IT效率、灵活性和可扩展性都面临着安全性的重大挑战。
许多组织无法定义云计算服务提供商(CSP)职责在哪里结束,他们的职责从哪里开始,可能会有更多的漏洞。云计算的可扩展性也增加了组织的潜在攻击范围。传统的安全控制措施通常不能满足云安全的需要。
云安全联盟为了帮助组织了解他们面临的云计算挑战(CSA)10年前成立了专业团队。由业内人士、架构师、开发人员和组织高级管理人员组成的调查团队确定了包含25种安全威胁的列表,然后由安全专家这些安全威胁进行排名,并将这些安全威胁简化到最常见的11种云计算安全挑战:
- 数据泄露;
- 配置错误和变更控制不足;
- 缺乏云安全架构和策略;
- 身份、凭证、访问和密钥管理不足;
- 帐户劫持;
- 内部威胁;
- 接口和不安全API;
- 控制平台薄弱;
- 元结构和应用程序结构失效;
- 云使用可见性有限;
- 云计算服务的滥用和恶意使用。
从那时起,云安全联盟(CSA)每两年发布一份调查报告。最近发布的一份名为“令人震惊的11个云计算更大威胁”报告详细说明了这些威胁以及确定谁的责任,或客户的责任,或云计算服务提供商(CSP)两者都有责任,并提供了帮助组织实施云计算安全保护的步骤。
云安全联盟(CSA)第五份调查报告显示了一些重大变化。值得注意的是,这11种主要安全威胁中有6种是新的。此外,这些威胁不是云计算服务提供商(CSP)所有责任都与客户或云计算服务提供商有关(CSP)与客户共同承担责任。
云安全联盟(CSA)全球研究副总裁John Yeoh表示:“我们注意到,主要趋势是增强组织对客户的控制。”他将这些变化归因于两件事:或组织云计算服务提供商(CSP)信任度显著提高,或者组织希望加强控制,更好地了解他们在云平台上能做什么,以及如何使用云服务来满足他们的具体安全要求。
在今年发布的调查报告中,根据对受访者的调查,以下是11种安全威胁和每种安全威胁的缓解措施:
1. 数据泄露
云安全联盟(CSA)调查报告显示,数据泄露仍然是云计算服务提供商(CSP)客户的责任仍然是2021年云安全更大的威胁。在过去的几年里,许多数据泄露都归因于云平台,其中最引人注目的事件之一是Capital One公司云计算配置错误。
数据泄露可能会使一些组织陷入困境,声誉受到不可逆转的损害,由于监管、法律责任、事件响应成本和市场价值的下降,财务困难。
云安全联盟(CSA)建议如下:
- 确定数据价值及其损失的影响;
- 加密保护数据;
- 经过充分测试,制定强有力的事件响应计划。
云安全联盟(CSA)云控制矩阵(CCM)规范包括以下内容:
- 执行数据输入输出完整性例程;
- 访问控制中应用最小特权原则;
- 建立安全删除和处理数据的政策和程序。
云安全联盟(CSA)云控制矩阵是云安全联盟(CSA)本指南是第四代文件,总结了各种云域及其主要目标。
云控制矩阵(CCM)提供按控制区和控制区ID每个列表对应于其控制规范、架构相关性、云交付模型(SaaS、PaaS和IaaS),以及标准和框架(如PCI DSS、NIST和FedRAMP)。
2.配置错误和变更控制不足
若资产设置不正确,则容易受到 *** 攻击。Capital One公司的安全漏洞可追溯到泄漏Amazon S3存储桶的Web防火墙配置错误的应用程序。除不安全存储外,权限过大和使用默认凭证也是数据漏洞的另外两个主要来源。
与此相关,无效的变更控制可能会导致云计算配置错误。在按需实时云计算环境中,变更控制应自动化,以支持快速变更。
客户的责任,错误的配置和变更控制是云安全威胁列表的新增内容。
云安全联盟(CSA)建议如下:
- 特别注意可以通过互联网访问的数据;
- 定义数据的业务价值及其损失的影响;
- 创建和维护强有力的事件响应计划。
云控制矩阵(CCM)规范包括以下内容:
- 确保外部合作伙伴遵守内部开发人员使用的变更管理、发布和测试程序;
- 风险评估按计划时间隔进行;
- 培训承包商、第三方用户和员工的安全意识。
3. 缺乏云安全架构和战略
许多组织在没有适当的架构和策略的情况下进入云。在迁移到云平台之前,客户必须了解他们面临的威胁,以及如何安全地迁移到云平台和共享责任模型。
这种威胁是清单中的新内容,主要是客户的责任。如果没有适当的计划,客户将很容易受到 *** 攻击,从而可能导致财务损失,声誉受损以及法律和合规性问题。
云安全联盟(CSA)的建议如下:
- 确保安全架构符合业务目标。
- 安全架构框架的开发和实施。
- 实施持续的安全监控程序。
云控制矩阵(CCM)包括以下内容:
- 确保风险评估政策包括更新政策、程序、标准和控制措施;
- 根据约定的服务水平和容量水平预期,IT治理和服务管理政策和程序,设计、开发和部署关键业务/影响客户的应用程序和API *** 和系统组件的设计和配置;
- 在虚拟实例中限制和监控信任和不信任连接之间的流量。
4. 身份、凭证、访问和密钥管理不足
大多数云安全威胁和一般 *** 安全威胁可以与身份和访问管理相匹配(IAM)问题是相关的。根据云安全联盟(CSA)由于以下原因:
- 凭证保护不正确;
- 缺乏自动加密钥、密码和证书轮换;
- IAM可扩展性挑战;
- 缺乏多因素身份验证;
- 弱密码。
对于顶级云安全挑战列表,新的标准身份和访问管理(IAM)使用云计算加剧了挑战。实施库存、跟踪、监控和管理所需的大量云计算账户包括:设置和取消配置问题、僵尸账户、过多的管理员账户和绕过身份和访问管理(IAM)控制用户,以及定义角色和特权所面临的挑战。
云安全联盟作为客户的责任(CSA)建议如下:
- 使用双因素身份验证;
- 严格执行云计算用户和身份的身份和访问管理(IAM)控制;
- 轮换密钥,删除未使用的凭证和访问权限,并采用集中编程密钥管理。
云控制矩阵(CCM)规范包括以下内容:
- 确定关键管理者,制定和维护关键管理政策;
- 分配、记录和传达执行雇佣终止或程序变更的角色和职责;
- 及时取消用户对数据和 *** 组件的访问(无论是撤销还是修改)。
5. 帐户劫持
云计算账户劫持是指对云计算环境运行、管理或维护至关重要的云计算账户的泄境的运行、管理或维护至关重要。如果这些高度特权和敏感的账户被破坏,可能会造成严重后果。
账户泄露可能导致数据泄露和服务中断,从 *** 钓鱼和凭证填充到薄弱或被盗凭证,再到编码不正确。
作为云计算服务提供商(CSP)云安全联盟责任,云安全联盟(CSA)建议如下:
- 记住,帐户劫持不仅仅是密码重置;
- 使用深度防御、身份和访问管理(IAM)控件。
云控制矩阵(CCM)规范包括以下内容:
- 建立、记录和采用统一的业务连续性计划;
- 将生产与非生产环境分开;
- 保持并定期更新合规联系人,准备与执法部门快速互动。
6. 内部威胁
与员工和组织 *** 中其他人员相关的风险不限于云平台。内部人员(包括现任员工、承包商和合作伙伴)可能导致数据丢失、系统关闭、客户信心下降和数据泄露,无论是疏忽还是故意。
组织必须解决客户责任、内部威胁、凭证问题、人为错误和云错误配置,涉及泄露或盗窃数据。
云安全联盟(CSA)建议如下:
- 安全意识培训;
- 云计算服务器修复配置错误;
- 限制对关键系统的访问。
云控制矩阵(CCM)规范包括以下内容:
- 在重新定位或传输硬件、软件或数据之前,需要授权;
- 授权并重新验证用户访问控制;
- 多租户应用、基础设施和 *** 分为其他租户。
7. 接口不安全API
客户通过云计算服务与云计算服务互动(CSP)的UI和API它是云计算环境中最开放的部分。任何云计算服务的安全都始于客户和云计算服务提供商的良好保护(CSP)的责任。
云计算服务提供商(CSP)客户必须努力使用云安全联盟,以确保集成安全(CSA)所谓云计算“前门”管理、监控和安全。威胁从上次报告中的第三大威胁下降到第七,但仍然很重要。
云安全联盟(CSA)建议如下:
- 确保API的安全性;
- 避免API密钥重用;
- 使用标准和开放API框架。
云控制矩阵(CCM)规范包括以下内容:
- 设计、开发、部署和测试按照行业领先标准进行API,并遵守适用的法律、法规和监督义务;
- 隔离和限制访问与组织信息系统交互的审计工具,防止数据泄露和篡改;
- 限制能够覆盖系统、对象、 *** 、虚拟机和应用程序控制的实用程序。
8. 控制平台薄弱
云计算控制平台作为2021年的客户责任和新责任,是组织使用的云计算管理控制台和接口的 *** 。云安全联盟(CSA)这意味着它还包括数据复制、迁移和存储。如果安全措施不当,损坏的控制平面可能会导致数据丢失、监管罚款等后果,以及损害品牌声誉和收入损失。
云安全联盟(CSA)建议如下:
- 云计算服务提供商需要云计算服务提供商(CSP)适当控制;
- 尽职调查确定潜在的云服务是否有足够的控制平台。
云控制矩阵(CCM)规范包括以下内容:
- 建立信息安全战略和程序,使其易于审查内部人员和外部业务关系;
- 基于 *** 的攻击,及时检测和响应深度防御措施;
- 制定标记、处理和保护数据和包含数据的对象的策略。
9. 元结构和应用程序
云安全联盟(CSA)元结构的定义是“协议和机制提供基础结构层与其他层之间的界面”,换句话说,是将技术联系起来,实现管理和配置的粘合剂。
元结构是云计算服务提供商(CSP)与客户的界限。这里有许多安全威胁:例如,云安全联盟(CSA)指出云计算服务提供商(CSP)的API云计算应用程序实施不当或客户使用不当。这种安全挑战可能导致服务中断和配置错误,导致财务和数据丢失。
应用程序结构被定义为“部署在云中的应用程序和构建其底层应用程序服务”。例如,新闻队列、人工分析或通知服务。
报告中的新威胁是客户和云计算服务提供商(CSP)共同责任。云安全联盟(CSA)建议如下:
- 云计算服务提供商(CSP)为解决客户缺乏透明度而提供可见性和公开缓解措施;
- 云计算服务提供商(CSP)为客户提供渗透测试和结果;
- 在云原生设计中,客户实现功能和控件。
云控制矩阵(CCM)规范包括以下内容:
- 制定和维护审计计划,解决业务流程中断问题;
- 对存储、使用和传输中的数据进行加密保护;
- 建立存储和管理身份信息的策略和过程。
10. 云计算可见性有限
长期以来,云计算的可见性一直是组织管理员关注的问题,但本报告中列出的云安全联盟(CSA)这是云安全挑战的新问题。云安全联盟(CSA)可见性有限将带来两个关键挑战:未经批准的应用程序,也称为影子IT,指员工使用IT部门不允许的应用程序。
批准的滥用是指未按预期使用IT批准的应用程序。例如,它包括有权使用该应用程序的用户和使用通过SQL注入或DNS未经授权的个人访问攻击获得的被盗凭证。
云安全联盟(CSA)这种有限的可见性导致缺乏治理、意识和安全性——所有这些都可能导致 *** 攻击、数据丢失和漏洞。
这是今年新上榜的安全威胁,也是云计算服务提供商(CSP)与客户的共同责任。云安全联盟(CSA)建议如下:
- 云计算可见性自上而下开发;
- 强制组织培训可接受的云使用策略;
- 要求云安全架构师或第三方风险管理人员对所有未经批准的云服务进行审批。
云控制矩阵(CCM)规范包括以下内容:
- 定期进行风险评估;
- 让所有人员认识到自己的合规性、安全性和职责;
- 数据流的清查、记录和维护。
11. 滥用和恶意使用云计算服务
就像云计算可以给组织带来很多好处一样,它也可以被威胁者恶意使用。合法恶意使用SaaS、PaaS和IaaS产品将影响个人、云计算客户和云计算服务提供商(CSP)。通过以下方式,组织容易滥用云计算服务:
- 分布式拒绝服务攻击;
- *** 钓鱼;
- 加密采矿;
- 点击欺诈;
- 暴力攻击;
- 恶意或盗版托管内容。
被破坏和滥用的云计算服务可能会导致成本支出,如加密货币损失或攻击者支付;组织在不知不觉中托管恶意软件;数据丢失等。
云安全联盟(CSA)建议云计算服务提供商提供云计算服务提供商(CSP)试着通过事件响应框架来检测和缓解攻击。云计算服务提供商(CSP)还应为客户提供监控云计算工作负荷和应用程序的工具和控制。
作为客户和云计算服务提供商(CSP)云安全联盟的共同责任(CSA)建议如下:
- 监控员工云计算的使用情况;
- 使用云计算数据丢失保护技术。
云控制矩阵(CCM)规范包括以下内容:
- 管理移动设备风险的技术措施;
- 为组织和用户拥有的端点(包括工作站、笔记本电脑和移动设备)定义配额和使用权限;
- 创建和维护批准的应用程序列表。