云安全威胁和责任

news2024/12/26 9:18:27

        云计算的共享特性和按需定制本质除了给企业带来效率上提升,也引入了新的安全威胁,有可能使企业得不偿失。 之前云安全联盟(CSA)的报告便指出,云服务天生就能使用户绕过公司范围内的安全策略,建立起自己的影子IT项目服务账户。 新的安全控制策略必须被引入。

云安全威胁

云安全威胁

描述

数据泄露

数据泄露可能是有针对性的攻击,也可能是人为错误,应用程序漏洞或者安全保护措施不佳的结果。这可能涉及任何不公开发布的信息,包括个人健康信息、财务信息,个人身份信息、商业秘密和知识产权等。由于不同的原因,公司基于云计算的数据可能对不同方有价值。数据泄露的风险并不是云计算所独有的,但它始终是云客户的首要考虑因素

凭证被盗和身份验证如同虚设

黑客伪装成合法用户,编辑或者开发人员进行读取、修改和删除数据,获取发布平台的管理功能;由于验证授权存在缺陷可能导致未经授权的数据访问,并可能对公司或者最终用户造成灾难性的伤害。

界面和API被黑

云服务商提供了一些软件管理或者API管理接口与云服务交互。通过供应、管理和监控接口来完成自动化操作,云服务的安全性和可用性均取决于API的安全性。它们需要被设计来防止意外和恶意的绕过策略。

系统漏洞利用

系统漏洞是黑客可用来渗透系统窃取数据,控制系统或中断服务操作的程序中可利用的漏洞。操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。随着云中多租户的出现,来自不同公司的系统互相寄生于宿主机,并且允许访问共享内存和资源,从而创建新的攻击面

账户劫持

帐户或者服务劫持并不是新的漏洞,但云计算为这一场景增添了新的威胁。如果黑客可以访问用户的验证数据,他们可以窃听操作和交易,操纵数据,返回伪造的信息并将客户重定向到非法的站点。账户或者服务可能成为黑客的新跳板。由于授权数据被盗,黑客可以访问云计算服务的关键区域,从而危及这些服务的机密性完整性和可用性。

网络钓鱼、诈骗、软件漏洞利用,依然是很成功的攻击方式。而云服务的出现,又为此类威胁增加了新的维度。因为攻击者可以利用云服务窃听用户活动、操纵交易、修改数据。利用云应用发起其他攻击也不无可能。

恶意内部人士(内鬼)

内部人员威胁拥有很多张面具:现员工或前雇员、系统管理员、承包商、商业合作伙伴....恶意行为可以从单纯的数据偷盗,到报复公司。在云环境下,恶意满满的内部人员可以破坏掉整个基础设施,或者操作篡改数据。安全性完全依赖于云服务提供商的系统,比如加密系统,是风险最大的。

企业的安全威胁,很大一部分在于来自内部的威胁。像系统管理员这样的角色可以访问数据库的数据或者潜在的敏感信息,并且可以越来越多的访问更重要的系统。仅依靠云服务提供商的系统,将面临的更大的挑战。

CSA建议:公司企业自己控制加密过程和密钥,分离职责,最小化用户权限。管理员活动的有效日志记录、监测和审计也是非常重要。

APT(高级持续性威胁)寄生虫

APT渗透进系统,建立起桥头堡,然后,在相当长一段时间内,源源不断地,悄悄地偷走数据和知识产权。跟寄生虫没什么差别

APT通常在整个网络内巡,混入正常流量中,因此他们很难被侦测到。主要云提供商应用高级技术阻止APT渗透进他们的基础设施,但客户也必须像在内部系统里进行的一样,勤于检测云账户中的APT活动。常见的切入点包括:鱼叉式网络钓鱼、直接攻击、U盘预载恶意软件和通过已经被黑的第三方网络。

CSA强烈建议公司企业培训用户识别各种网络钓鱼技巧。

永久的数据丢失

随着云服务的成熟,由于提供商失误导致的永久数据丢失已经极少见了。但恶意黑客已经会用永久删除云端数据来危害公司企业了,而且云数据中心跟其他任何设施一样对自然灾害无能为力。

云提供商建议多地分布式部署数据和应用以增强防护。足够的数据备份措施,坚守业务持续性和都是最基本的防永久数据丢失的方法。日常数据备份和离线存储在云环境下灾难恢复最佳实践,依然重要

预防数据丢失的责任并非全部压在云服务提供商肩头。如果客户在上传到云端之间先把数据加密,那保护好密钥的责任就落在客户自己身上了。一旦密钥丢失,数据丢失也就在所难免。

调查不足

家公司,若在没有完全理解云环境及其相关风险的情况下,就投入云服务的怀抱,那等在它前方的,比然是无数的商业、金融、技术、法律和合规风险。公司是否迁移到云环境,是否与另-家公司在云端合作,都需要进行尽职调查。没能仔细审查合同的公司,可能就不会注意到提供商在数据丢失或泄露时的责任条款。

在将APP部署到特定云时,如果公司开发团队缺乏对云技术的了解,运营和架构问题也会冒头。

CSA提醒公司企业:每订阅任何一个云服务,都必须进行全面细致的尽职调查,弄清他们承担的风险。

云服务滥用

云服务可能被用于支持违法活动,比如利用云计算资源破解密钥、发起分布式拒绝服务(DDoS)攻击、发送垃圾邮件和钓鱼邮件、托管恶意内容等。

提供商要能识别出滥用类型,例如通过检查流量来识别出DDoS攻击,还要为客户提供监测他们云环境健康的工具。客户要确保提供商拥有滥用报告机制。尽管客户可能不是恶意活动的直接猎云服务滥用依然可能造成服务可用性问题和数据丢失问题物,

拒绝服务(DoS)攻击

DoS攻击以及有很多年的历史了,但由于云计算,这种攻击方式枯木逢春了一因为它们通常会影响到可用性,系统响应会被大幅拖慢甚至直接超时,能给攻击者带来很好的攻击效果。遭受拒绝服务攻击,就像经历上下班交通拥堵;只有一条到达目的地的路,但除了坐等,毫无办法。

DoS攻击消耗大量的处理能力,最终都要由客户买单。尽管高流量的DDoS攻击如今更为常见公司企业仍然要留意非对称的、应用级的DoS攻击,保护好自己的Web服务器和数据库

共享技术,共享危险

共享技术中的漏洞给云计算带来了相当大的威胁。云服务提供商共享基础设施、平台和应用旦其中任何一个层级出现漏洞,每个人都会受到影响。一个漏洞或错误配置,就能导致整个提供商的云环境遭到破坏。

若一个内部组件被攻破,比如说一个管理程序、一个共享平台组件,或者一个应用,整个环境都会面临潜在的宕机或数据泄露风险。

CSA建议采用深度防御策略,包括在所有托管主机上应用多因子身份验证,启用基于主机和基于网络的入侵检测系统,应用最小特权、网络分段概念,实行共享资源补丁策略等

云安全责任概况

云服务已成业界主流,大多数公司多多少少都会留下一些云足迹。技术界所有事情几乎都一样安全问题总是在事发之后才被摆上台面。因此,既然公司企业现在都在跟云服务提供商合作,谁来保证云安全便成了潜在的冲突问题一般来讲,云计算中保护公司数据主要责任不在于服务提供商,而在于企业自身。当前许多企业正处在一个云安全过渡期,安全的重点正从供应商转向客户。很多企业开始认识到,花费大量时间来判断某个特定的云服务提供商是否“安全”,几乎得不到任何结果,因为主要责任在于使用者自身。

共同责任模型

laaS解决方案

在laaS中,云计算服务提供商管理设施、数据中心、网络接口、处理和管理程序云计算服务客户负责虚拟网络、虚拟机、操作系统、中间件、应用程序、界面和数据。

PaaS解决方案

通过PaaS模型,Kersten将虚拟网络、虚拟机、操作系统和中间件添加到云计算服务提供商的职责中。客户仍负责保护和管理应用程序、界面和数据。

SaaS解决方案

根据Kersten的说法,SaaS模式将除界面和数据之外的所有内容的责任移交给云计算服务提供商.

物理安全性

云中的数据仍然驻留在物理设备(即服务器、硬盘驱动器等IT设备)上。由于共同承担责任,客户和提供商都需要确保建筑物、计算设备和物理基础设施的安全。企业员工也是一个重要的考虑因素,因为社交工程已经成为网络犯罪分子的首选攻击方法。

"云计算服务提供商和云计算服务客户都有责任保护数据,”Kersten表示“同样重要的是要注意,个别安全管理任务的执行可以外包,但责任不能外包。验证安全要求得到满足的责任始终在客户身上。"

        云计算服务提供商和云计算服务客户共同承担责任,保护数据安全。在LaaS、PaaS和SaaS解决方案中,客户和提供商的责任有所不同。客户需要管理自己的应用程序、界面和数据,而提供商则管理基础设施、数据中心、网络接口、处理和管理程序等。同时,提供商和客户都有责任确保物理设备的安全,防止数据泄露和攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1024565.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

全面感知,智能预警!燃气感知云,守护城市“烟火气”

燃气安全如何保障?燃气企业如何精准运营?天翼物联基于感知云平台创新能力,提供燃气感知云服务,包括泛协议接入、感知云燃气平台、燃气感知数据治理、决策处置大屏四大服务,构建燃气行业感知神经系统新型数字化底座&…

Interceptor的使用场景:拦截请求中的租户信息,注入到租户上下文中

业务场景 在SaaS环境中,租户是最重要的隔离业务数据的属性了,在自己的项目体系环境中,租户id能保证有值。但有个特殊场景,某些特殊权限的账号需要修改指定租户的内容,也即前端会携带租户信息过来,并且内部涉…

【力扣-每日一题】2560. 打家劫舍 IV

class Solution { public:bool check(vector<int> &nums,int max_num,int k){//只需要计算可以偷的房间。在满足最大值为max_num下时&#xff0c;能偷的最多的房间&#xff0c;与k值比较//如果大于K&#xff0c;说明max_num还可以缩小//如果小于看&#xff0c;说明ma…

深入解析容器与虚拟化:技术、对比与生态

深入解析容器与虚拟化&#xff1a;技术、对比与生态 文章目录 深入解析容器与虚拟化&#xff1a;技术、对比与生态容器和虚拟化的基本概念和原理容器的定义和特点虚拟化的定义和特点 容器使用场景容器和虚拟机的对比虚拟化技术的四个特点容器实现虚拟化的原理常见容器引擎和容器…

【Ubuntu配置ssh和sftp与windows的xshell连接】

【Ubuntu配置ssh和sftp与windows的xshell连接】 一、Ubuntu配置ssh1、查看是否已经安装2、安装openssh server3、修改端口 修改Port后的参数4、重启ssh5、查看状态6、查看端口 二、windows连接 一、Ubuntu配置ssh 1、查看是否已经安装 dpkg -l | grep ssh2、安装openssh serv…

IntelliJ IDEA学习总结(3)—— IntelliJ IDEA 常用快捷键(带动图演示)

一、构建/编译 Ctrl + F9:构建项目 该快捷键,等同于菜单【Build】—>【Build Project】 执行该命令后,IntelliJ IDEA 会编译项目中所有类,并将编译结果输出到out目录中。IntelliJ IDEA 支持增量构建,会在上次构建的基础上,仅编译修改的类。 Ctrl + Shift + F9:重新编…

程序员戴什么样的眼睛比较好

眼镜https://baijiahao.baidu.com/s?id1770288495355869186&wfrspider&forpc

【JDK 8-集合框架】5.3 limit 和 sorted 函数

一、sorted 函数 二、limit 函数 三、实战 执行结果&#xff1a; 一、sorted 函数 对流进行自然排序&#xff0c;其中的元素必须实现Comparable 接口 sorted(Comparator<? super T>comparator) 用来自定义升降序 二、limit 函数 获取指定数量的元素 (limit(long …

《机器学习基石前四章复习》

【引言】 训练样本D和最终测试h的样本都是来自同一个数据分布&#xff0c;这是机器能够 学习的前提。另外&#xff0c;训练样本D应该足够大&#xff0c;且hypothesis set的个数是有限的&#xff0c;这样 根据霍夫丁不等式&#xff0c;才不会出现Bad Data&#xff0c;保证Ein≈…

2023年9月19日

2> 完成文本编辑器的保存工作 头文件 #ifndef MAINWINDOW_H #define MAINWINDOW_H#include <QFontDialog> #include <QMainWindow> #include <QFont> #include <QMessageBox> #include <QDebug> #include <QColorDialog> #include &l…

Flask框架-1-[群聊]: flask-socketio实现websocket的功能

一、项目结构 flask_websocket |---static |---js |---jquery-3.7.0.min.js |---socket.io_4.3.1.js |---templates |---home |---group_chat.html |---index.html |---app.py 1.1、python环境 python3.9.0 1.2、依赖包 Flask2.1.0 eventlet0.33.3 Flask-SocketIO5.3.4 1.…

温习JAVA

1.时间 作业题&#xff1a; 1.子串在字符串中出现的次数 import java.util.Scanner;/*** 分别在控制台输⼊字符串和⼦字符* 串&#xff0c;并计算字符串中⼦字符串出现的* 次数。indexOf(subs,n)*/ public class H5 {public static void main(String[] args) {Scanner scnew …

linux搭建单机ES,集成ik分词器,文本抽取,Kibana可视化平台

Elasticsearch单机&#xff08;Linux&#xff09; 准备工作 第一项&#xff1a; 创建运行Elasticsearch和Kibana专用的普通用户&#xff0c;因为 elasticsearch 和 kibana 不允许使用 root用户启动&#xff0c;所以需要创建新用户启动。 linux用root权限创建一个用户赋权即可…

BootStrap中的布局

1.BootStrap中的布局 2.BootStrap 中的媒体查询 // Extra small devices (portrait phones, less than 576px) media (max-width: 575px) { ... }// Small devices (landscape phones, 576px and up) media (min-width: 576px) and (max-width: 767px) { ... }// Medium dev…

38 | 统一测试数据平台

测试数据准备的 2.0 时代 在Java中可以利用Builder Pattern&#xff0c;创建数据时如对其中的某个或某几个参数有特定要求的话&#xff0c;可以通过“.withParameter()”的方式指定&#xff0c;而没有指定的参数将自动采用默认值。 UserBuilder.withCountry(“US”).withBuild…

深度学习-ONNX模型

ONNX&#xff08;Open Neural Network Exchange&#xff09;是一种开放的、跨平台的模型交换格式&#xff0c;旨在帮助机器学习开发人员轻松地在不同的深度学习框架之间共享模型。 ONNX是由Microsoft和Facebook合作推出的&#xff0c;它使得不同深度学习框架之间可以相互转换模…

036:vue导出页面生成pdf文件

第036个 查看专栏目录: VUE ------ element UI 专栏目标 在vue和element UI联合技术栈的操控下&#xff0c;本专栏提供行之有效的源代码示例和信息点介绍&#xff0c;做到灵活运用。 &#xff08;1&#xff09;提供vue2的一些基本操作&#xff1a;安装、引用&#xff0c;模板使…

Git:利用Git进行多人协作的场景模拟

文章目录 场景一场景二解决一些后续问题 场景一 Git是一个多人协作下完成的操作&#xff0c;因此Git是需要进行一些多人协作的场景的&#xff0c;那么这里就使用Linux和Windows两个平台进行模拟实现两个用户进行的协作 首先把仓库克隆到本地&#xff0c;再加入两个用户的信息…

软件设计模式系列之十——组合模式

1 模式的定义 组合模式是一种结构型设计模式&#xff0c;用于将对象组合成树形结构以表示部分-整体层次结构。这个模式允许客户端以一致的方式处理单个对象和对象组合&#xff0c;因此它将单个对象和组合对象视为可互换的。 组合模式允许你将对象组合成树状结构来表示"部…

AI写作宝-为什么要使用写作宝

写作一直是一项需要创造力和思考的任务&#xff0c;人工智能&#xff08;AI&#xff09;正逐渐成为我们写作过程中的一位新伙伴。AI写作宝等在线AI写作工具正日益普及&#xff0c;为我们提供了更多的写作选择和可能性。 AI写作宝&#xff1a;什么是它们&#xff0c;以及它们能做…