云安全是云時代企業數字化轉型面臨的較大挑戰之一。隨著云計算的快速普及，企業用戶往往認為云安全的主要責任者是技術堆棧和實力更為雄厚的云服務商，這是一個常見的誤區，企業過于依賴云服務商正在給企業帶來更大的安全風險。

[[347402]]

對于云安全，尤其是云端數據安全的主要責任者，Gartner，Inc.副總裁兼云安全負責人Jay Heiser直言不諱地指出：保護云中企業數據的主要責任不在于云服務提供商，而在于云客戶。Heiser表示：“我們正處于云安全過渡時期，防護的重任正在從提供商轉移到了客戶。”“如今，企業正在學習，花費大量時間試圖確定某個特定云服務提供商是否‘安全’、是否物有所值。”

為了使企業對云安全問題有全新的認識和了解，做出更有效的采購決策，云安全聯盟(CSA)上個月推出了最新版本的《云計算11大威脅報告》。

為了明確用戶最關注的云安全問題，CSA對行業安全專家進行了一項調查，以就云計算中最重大的安全性問題收集專業意見。并針對Capital One、迪斯尼、道瓊斯、GitHub、特斯拉等九家知名企業展開云安全案例調研，深度發掘主要的云安全問題(按調查結果的嚴重性順序排列)：

1.數據泄露

數據泄露威脅在去年的調查中繼續保持第一的位置，也是最嚴重的云安全威脅。數據泄露行為可能會嚴重損害企業的聲譽和財務，還可能會導致知識產權(IP)損失和重大法律責任。

CSA關于數據泄露威脅的關鍵要點包括：

• 攻擊者渴望竊取數據，因此企業需要定義其數據的價值及其丟失的影響;
• 明確哪些人有權訪問數據是解決數據保護問題的關鍵;
• 可通過互聯網訪問的數據最容易受到錯誤配置或漏洞利用的影響;
• 加密可以保護數據，但需要在性能和用戶體驗之間進行權衡;
• 企業需要可靠、經過測試的事件響應計劃，并將云服務提供商考慮在內。

2.配置錯誤和變更控制不足

這是CSA云安全威脅榜單中出現的新威脅，考慮到近年來越來越多的企業都因為疏忽或意外通過云公開泄露數據，該威脅上榜不足為奇。例如，報告中引用了Exactis事件，其中云服務商因配置錯誤公開泄露了一個包含2.3億美國消費者的個人數據的Elasticsearch數據庫。另外一個災難性的錯誤配置案例來自Level One Robitics，由于備份服務器配置錯誤暴露了100多家制造公司的知識產權信息。

報告指出，讓企業擔心的不僅僅是數據丟失，還包括通過篡改或者刪除資料導致的業務停頓。報告將大多數配置錯誤歸咎于變更控制實踐欠佳。

配置錯誤和變更控制不充分的關鍵點包括：

• 云端資源的復雜性使其難以配置;
• 不要期望傳統的控制和變更管理方法在云中有效;
• 使用自動化和技術，這些技術會連續掃描錯誤配置的資源。

3.缺乏云安全架構和策略

這是個云計算與生俱來的“古老”問題。對于很多企業來說，最大程度縮短將系統和數據遷移到云所需的時間的優先級，要高于安全性。結果，企業往往會選擇并非針對其設計的云安全基礎架構和云計算運營策略。這一問題出現在2020年云安全威脅清單中表明，更多的企業開始意識到這是一個嚴重問題。

云安全架構和策略的要點包括：

• 安全體系結構需要與業務目標保持一致;
• 開發和實施安全體系結構框架;
• 保持威脅模型為最新;
• 部署持續監控功能。

4.身份、憑證、訪問和密鑰管理不善

威脅清單中的另一個新威脅是對數據、系統和物理資源(如服務器機房和建筑物)的訪問管理和控制不足。報告指出，云計算環境中，企業需要改變與身份和訪問管理(IAM)有關的做法。報告認為，不這樣做的后果可能導致安全事件和破壞，原因是：

• 憑證保護不力;
• 缺乏密碼密鑰，密碼和證書自動輪換功能;
• 缺乏可擴展性;
• 未能使用多因素身份驗證;
• 未能使用強密碼。

身份、憑證、訪問和密鑰管理的關鍵要點包括：

• 安全賬戶，包括使用雙重身份驗證;
• 對云用戶和身份使用嚴格的身份和訪問控制-特別是限制root賬戶的使用;
• 根據業務需求和最小特權原則隔離和細分賬戶、虛擬私有云和身份組;
• 采用程序化、集中式方法進行密鑰輪換;
• 刪除未使用的憑據和訪問特權。

5.賬戶劫持

今年，賬戶劫持仍然是第五大云威脅。隨著網絡釣魚攻擊變得更加有效和更有針對性，攻擊者獲得高特權賬戶訪問權的風險非常大。網絡釣魚不是攻擊者獲取憑據的唯一方法。他們還可以通過入侵云服務等手段來竊取賬戶。

一旦攻擊者可以使用合法賬戶進入系統，就可能造成嚴重破壞，包括盜竊或破壞重要數據，中止服務交付或財務欺詐。報告建議對用戶就賬戶劫持的危險性和特征進行安全意識教育培訓，以最大程度地降低風險。

CSA關于賬戶劫持的主要建議包括：

• 賬戶憑證被盜時，不要只是重置密碼，要從源頭解決根本問題。
• 深度防御方法和強大的IAM控制是最好的防御方法。

6.內部威脅

來自受信任內部人員的威脅在云中與內部系統一樣嚴重。內部人員可以是現任或前任員工，承包商或可信賴的業務合作伙伴，以及無需突破公司安全防御即可訪問其系統的任何人。

內部威脅者未必都是惡意的，很多員工疏忽可能會無意間使數據和系統面臨風險。根據Ponemon Institute的2018年內部威脅成本研究，64%的內部威脅事件是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的云服務器，在個人設備上存儲敏感數據或成為網絡釣魚電子郵件的受害者。

治理內部威脅的關鍵要點包括：

• 對員工進行充分的安全意識和行為準則的培訓和教育，以保護數據和系統。使安全意識教育常態化，成為一個持續的過程;
• 定期審核和修復配置錯誤的云服務器;
• 限制對關鍵系統的訪問。

7.不安全的接口和API

“不安全的接口和API”從去年的第三名跌至第七名。在2018年，Facebook經歷了一次嚴重的數據泄露事件，影響了超過5000萬個賬戶，問題的根源就是新服務View中不安全的API。尤其是當與用戶界面相關聯時，API漏洞往往是攻擊者竊取用戶或員工憑據的熱門途徑。

報告指出，企業需要清醒地認識到，API和用戶界面是系統中最容易暴露的部分，應當通過安全設計方法來強化其安全性。

參考閱讀：糟糕的UX設計也是一種安全威脅

治理不安全的接口和API的關鍵點：

• 采用良好的API做法，例如監督庫存、測試、審計和異?；顒颖Ｗo等項目;
• 保護API密鑰并避免重用;
• 考慮采用開放的API框架，例如開放云計算接口(OCCI)或云基礎架構管理接口(CIMI)。

8.控制面薄弱

控制平面涵蓋了數據復制、遷移和存儲的過程。根據CSA的說法，如果負責這些過程的人員無法完全控制數據基礎架構的邏輯、安全性和驗證，則控制平面將很薄弱。相關人員需要了解安全配置，數據流向以及體系結構盲點或弱點。否則可能會導致數據泄漏、數據不可用或數據損壞。

關于弱控制面的主要建議包括：

• 確保云服務提供商提供履行法律和法定義務所需的安全控制;
• 進行盡職調查以確保云服務提供商擁有足夠的控制平面。

9.元結構和應用程序結構故障

云服務商的元結構(Metastructure)保存了如何保護其系統的安全性信息，并可通過API調用。CSA將元結構稱為云服務提供商/客戶的“分界線”。這些API可幫助客戶檢測未經授權的訪問，同時也包含高度敏感的信息，例如日志或審核系統數據。

這條分界線也是潛在的故障點，可能使攻擊者能夠訪問數據或破壞云客戶。糟糕的API實施通常是導致漏洞的原因。CSA指出，不成熟的云服務提供商可能不知道如何正確地向其客戶提供API。

另一方面，客戶也可能不了解如何正確實施云應用程序。當他們連接并非為云環境設計的應用程序時，尤其如此。

防范元結構和應用程序結構失敗的關鍵要點包括：

• 確保云服務提供商提供可見性并公開緩解措施;
• 在云原生設計中實施適當的功能和控件;
• 確保云服務提供商進行滲透測試并向客戶提供結果。

10.云資源使用的可見性差

安全專業人員普遍抱怨云環境導致他們看不到檢測和防止惡意活動所需的許多數據。CSA將這種可見性挑戰分為兩類：未經批準的應用程序使用和未經批準的應用程序濫用。

未經批準的應用程序本質上是影子IT，即員工未經IT或安全或技術支持或許可使用的應用程序。任何不符合公司安全性準則的應用程序都可能會招致安全團隊未意識到的風險。

經許可的應用程序濫用包含很多場景，可能是授權的人員使用批準的應用程序，也可能是外部攻擊者使用被盜的憑據。安全團隊應當能夠通過檢測非常規行為來區分有效用戶和無效用戶。

提高云安全資源可見性的要點：

• 人員、流程和技術各個環節都注重云可見性的提升;
• 在公司范圍內對云資源使用策略進行強制性培訓;
• 讓云安全架構師或第三方風險管理人員查看所有未經批準的云服務;
• 投資云訪問安全代理(CASB)或軟件定義的網關(SDG)來分析出站活動;
• 投資Web應用程序防火墻以分析入站連接;
• 在整個組織中實施零信任模型。

11.濫用和惡意使用云服務

攻擊者越來越多地使用合法的云服務來從事非法活動。例如，他們可能使用云服務在GitHub之類的網站上托管偽裝的惡意軟件，發起DDoS攻擊，分發網絡釣魚電子郵件、挖掘數字貨幣、執行自動點擊欺詐或實施暴力攻擊以竊取憑據。

CSA表示，云服務提供商應有適當的緩解措施，以防止和發現濫用行為，例如付款工具欺詐或濫用云服務。對于云提供商而言，擁有適當的事件響應框架以應對濫用并允許客戶報告濫用也很重要。

CSA關于云服務濫用的主要建議包括：

• 監控員工的云服務濫用情況;
• 使用云數據丟失防護(DLP)解決方案來監視和停止數據泄露。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】