云計(jì)算伴隨著一個(gè)新的無(wú)邊界工作世界，促進(jìn)了信息的自由流動(dòng)和開放式協(xié)作。這使公司提高了工作效率，并使遠(yuǎn)程工作成為可能，尤其是在這種 Covid 大流行的情況下，使企業(yè)能夠確保業(yè)務(wù)連續(xù)性。雖然云環(huán)境為組織提供了巨大的好處，但它也為攻擊者利用提供了大量漏洞。在2020 年云安全報(bào)告中，對(duì)于云采用是否會(huì)提高企業(yè)安全性的評(píng)價(jià)褒貶不一。

45% 的受訪者表示云應(yīng)用程序和本地應(yīng)用程序的安全性相同。28% 的受訪者表示云應(yīng)用程序比本地應(yīng)用程序更安全，而 27% 的受訪者擔(dān)心云應(yīng)用程序不如本地應(yīng)用程序安全。

同一項(xiàng)調(diào)查強(qiáng)調(diào)，93% 的受訪者非常關(guān)注公共云安全。這些數(shù)據(jù)表明，企業(yè)認(rèn)識(shí)到云采用本質(zhì)上是安全的，但正在為安全使用它的責(zé)任而斗爭(zhēng)。在沒(méi)有意識(shí)到云安全風(fēng)險(xiǎn)的情況下利用云技術(shù)的公司面臨著無(wú)數(shù)的財(cái)務(wù)和技術(shù)風(fēng)險(xiǎn)。讓我們分解采用云技術(shù)帶來(lái)的主要安全風(fēng)險(xiǎn)和緩解這些風(fēng)險(xiǎn)的技巧。

1.未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)

這是云安全的最大風(fēng)險(xiǎn)。根據(jù)一份新的云安全聚焦報(bào)告，53% 的受訪者認(rèn)為通過(guò)不當(dāng)?shù)脑L問(wèn)控制和濫用員工憑證進(jìn)行未經(jīng)授權(quán)的訪問(wèn)是他們最大的云安全威脅。

未經(jīng)授權(quán)的訪問(wèn)涉及個(gè)人在沒(méi)有適當(dāng)權(quán)限的情況下訪問(wèn)企業(yè)數(shù)據(jù)、網(wǎng)絡(luò)、端點(diǎn)、設(shè)備或應(yīng)用程序。好消息是，可以通過(guò)結(jié)合訪問(wèn)管理策略的安全解決方案來(lái)解決訪問(wèn)控制不當(dāng)?shù)膯?wèn)題。Web 應(yīng)用程序防火墻允許基于 IP、國(guó)家、GEO 位置等阻止對(duì)云應(yīng)用程序的訪問(wèn)。它提供對(duì)應(yīng)用程序訪問(wèn)的完整跟蹤、監(jiān)控和報(bào)告，使企業(yè)能夠遵守?cái)?shù)據(jù)安全法規(guī)。

防止不良訪問(wèn)管理的提示

• 為所有用戶帳戶開發(fā)數(shù)據(jù)治理框架。所有用戶帳戶都應(yīng)直接連接到中央目錄服務(wù)，例如可以監(jiān)控和撤銷訪問(wèn)權(quán)限的 Active Directory。
• 您可以使用第三方安全工具定期從云服務(wù)環(huán)境中提取用戶、權(quán)限、組和角色的列表。然后您的安全團(tuán)隊(duì)可以對(duì)其進(jìn)行分類和分析。
• 您還應(yīng)該保留日志記錄和事件監(jiān)控機(jī)制，以檢測(cè)未經(jīng)授權(quán)的更改和異常活動(dòng)。

2.分布式拒絕服務(wù)（DDoS）攻擊

另一種最常見的云攻擊形式，證明是極具破壞性的。DDoS（分布式拒絕攻擊）是一種攻擊，它通過(guò)向合法用戶發(fā)送大量惡意連接請(qǐng)求來(lái)拒絕他們?cè)L問(wèn)在線服務(wù)。

解決云中 DDoS 攻擊的技巧

• 企業(yè) Internet 連接上的帶寬過(guò)多。你擁有的帶寬越多，黑客就必須做更多的事情來(lái)淹沒(méi)它的連接。
• 發(fā)現(xiàn)系統(tǒng)中的漏洞 – 使用Web 應(yīng)用程序掃描工具掃描您的網(wǎng)絡(luò)和系統(tǒng)以確定漏洞，以發(fā)現(xiàn)可被利用以執(zhí)行 DDoS 攻擊的漏洞。實(shí)施安全控制以修復(fù)檢測(cè)到的安全問(wèn)題。
• 保持備用 Internet 連接——具有單獨(dú) IP 地址池的備用連接提供備用路徑，以防主電路被請(qǐng)求淹沒(méi)。
• 配置 WAF 規(guī)則以過(guò)濾掉惡意 IP – 使用自定義規(guī)則配置 WAF 防火墻，以根據(jù)您的要求監(jiān)控和過(guò)濾流量。

3.云配置錯(cuò)誤

四分之三的云上企業(yè)正遭受某種云配置錯(cuò)誤的困擾，這會(huì)影響安全性。常見的弱點(diǎn)包括默認(rèn)密碼、不充分的訪問(wèn)限制、管理不當(dāng)?shù)臋?quán)限控制、非活動(dòng)數(shù)據(jù)加密等等。許多這些漏洞都是由內(nèi)部威脅和缺乏安全意識(shí)造成的。公司引入漏洞的另一種方式是嘗試通過(guò)設(shè)置更改或插件來(lái)個(gè)性化他們的云使用。這些臨時(shí)更改可能會(huì)導(dǎo)致配置漂移，從而產(chǎn)生可用性、管理和安全問(wèn)題。

克服云錯(cuò)誤配置錯(cuò)誤的技巧

• 了解您的云——了解您的云服務(wù)的所有服務(wù)、設(shè)置和權(quán)限，永遠(yuǎn)不要忘記利用集成安全功能的優(yōu)勢(shì)。
• 修改憑據(jù)和權(quán)限——徹底檢查默認(rèn)憑據(jù)并設(shè)置多因素身份驗(yàn)證以確保額外的安全層。
• 定期審核您的云資產(chǎn)——不要假設(shè)正確配置的云設(shè)置會(huì)長(zhǎng)期保持不變。適當(dāng)?shù)膶徍撕捅O(jiān)控可以幫助您識(shí)別錯(cuò)誤配置的跡象。
• 選擇正確的安全解決方案——像這樣的最佳云安全服務(wù)提供商可以提供完整的功能包，其中包括安全管理、威脅檢測(cè)和入侵防御。

4.數(shù)據(jù)泄露和數(shù)據(jù)泄露

當(dāng)今組織面臨的最大和最嚴(yán)重的云計(jì)算威脅是個(gè)人和敏感信息和數(shù)據(jù)的丟失——無(wú)論是無(wú)意的還是故意的。隨著越來(lái)越多的公司允許其員工使用個(gè)人設(shè)備工作而未實(shí)施穩(wěn)健的安全策略，數(shù)據(jù)泄露的風(fēng)險(xiǎn)也在增加。使用個(gè)人設(shè)備訪問(wèn) One Drive 或 Dropbox 等存儲(chǔ)服務(wù)會(huì)增加安全風(fēng)險(xiǎn)，尤其是在使用舊操作系統(tǒng)版本時(shí)。泄露敏感信息的另一種方式是內(nèi)部威脅。將敏感數(shù)據(jù)和密碼存儲(chǔ)在純文本文件中可能意味著如果攻擊者接觸到它，它很容易受到攻擊。尤其是在云中這是一個(gè)高風(fēng)險(xiǎn)，因?yàn)樗且粋€(gè)共享環(huán)境，云上的一個(gè)漏洞會(huì)導(dǎo)致整個(gè)環(huán)境受到損害，從而導(dǎo)致數(shù)據(jù)泄露和丟失。

避免數(shù)據(jù)泄露風(fēng)險(xiǎn)的提示

• 加密數(shù)據(jù)——敏感數(shù)據(jù)不應(yīng)該在沒(méi)有加密的情況下出現(xiàn)在你的云環(huán)境中。
• 更改密碼 - 將所有密碼存儲(chǔ)在更安全的地方。選擇密碼時(shí)要更聰明，并增加更改密碼的頻率。
• 設(shè)置權(quán)限——并非所有員工都需要對(duì)您的敏感文件具有相同級(jí)別的訪問(wèn)權(quán)限。根據(jù)“需要知道”的基礎(chǔ)分配權(quán)限，以防止錯(cuò)誤的人訪問(wèn)。
• 教育您的員工 – 培訓(xùn)您的員工以防止他們無(wú)意中泄露敏感信息。

5.不安全的 API

API 的采用對(duì)企業(yè)來(lái)說(shuō)是有利的，但對(duì)安全團(tuán)隊(duì)來(lái)說(shuō)卻是一場(chǎng)噩夢(mèng)。盡管 API 旨在簡(jiǎn)化云計(jì)算流程，但它們并不總是黑白分明的。有一個(gè)灰色區(qū)域，如果 API 不安全，黑客可能會(huì)利用私人詳細(xì)信息。API 安全性不足是云數(shù)據(jù)泄露的主要原因之一。Gartner預(yù)測(cè)，將來(lái)API 將成為網(wǎng)絡(luò)攻擊中最常用的載體。

API安全的最佳實(shí)踐

• 完善的認(rèn)證授權(quán)策略——API設(shè)計(jì)應(yīng)包括token、簽名、配額、加密、API網(wǎng)關(guān)等，確保API安全。
• Web 應(yīng)用程序防火墻 – 將基于 Web 的漏洞利用防御應(yīng)用于云中的 API
• 選擇標(biāo)準(zhǔn)的 API 框架——僅在設(shè)計(jì)時(shí)考慮安全性的 API 上進(jìn)行中繼。檢查其安全方面并確定它是否足夠安全以集成第 3 方應(yīng)用程序。

包起來(lái)

向云環(huán)境的轉(zhuǎn)變?yōu)楣咎峁┝朔浅Ｐ枰目蓴U(kuò)展性和靈活性，以在不穩(wěn)定的業(yè)務(wù)環(huán)境中保持競(jìng)爭(zhēng)力。同時(shí)請(qǐng)記住，如果您不利用安全最佳實(shí)踐，云遷移會(huì)使您的公司面臨安全漏洞。不要讓這種事發(fā)生在你身上。在第一次嘗試時(shí)要積極主動(dòng)地阻止它們！