云计算有个特性:资源共享。它带来的问题就是安全问题。
例如:
云计算中心本身安全不安全?
如何获得安全的云服务?
云计算为改善安全能做出什么贡献?
等等问题,都是云安全的热点话题。
特别是:SaaS的提供商。例如,在云计算中,用户在某些方面失去了对资源的控制。就必须重新评估用户自身的安全模式。
定义
和云计算的定义一样,关于云安全也没有统一的定义,但基本上都差不多。
总而言之,云安全就是保护基于云的应用程序、数据和虚拟基础架构的完整性。它适用于所有云部署模型(公共云、私有云、混合云),以及所有类型的基于云的服务(IaaS、PaaS、SaaS)。
一般来说,基于云的服务,云提供商负责保护底层基础架构,客户就是负责保护云中的应用程序和数据。
其中,“云安全(Cloud Security)”计划:融合了并行处理、网格计算、未知病毒行为判断等的新兴技术和概念。
中国云安全的发展历程
- 2008年,开始兴起
- 2014年,很多公司加入到这个领域。同时,2014年阿里云等公有云厂商,正式上线云安全服务。这个行业逐渐进入快速发展阶段。
- 到2018年,初创公司 & 公有云安全厂商,他们之间的竞争和合作关系逐步形成。云安全已成为当前IT基础设施建设,尤其是云服务企业,是他们发展过程中高度重视的领域。
云安全威胁
云安全联盟(Cloud Security Alliance)整理出了11项云安全威胁:
1. 数据泄露
2014上半年,各大行业网站数据泄露的比例:
从图中可以看出,医疗卫生、生活房产和论坛社区,占据了数据泄露的前三名。
数据泄露:敏感、受保护或机密信息,在被未经授权的情况下,被发布、查看、窃取或使用。
数据泄露可能是蓄意攻击导致的。也可能是人为错误、应用程序漏洞,或者安全措施不足的结果。
数据泄露的信息,可能包括:个人健康信息、财务信息、个人可识别信息(PII)、商业秘密和知识产权。
数据泄露的负面后果,可能包括:
1. 影响到客户或合作伙伴的声誉和信任
2. 作为企业,会丢失应对竞争对手的知识产权,可能影响产品发布
3. 监管影响:可能导致的财务损失
4. 品牌影响:导致市场价值减少
5. 导致法律和合同责任
6. 产生额外的财务花销
例子:
Time hop应用程序:由于云计算环境的破坏,导致数据泄露,影响了 2100 万用户。他们的社交媒体访问令牌也遭到破坏。
Uber :在 2016 年底,他们的亚马逊(AWS)账户遭到黑客攻击,全球 5700 万用户的个人信息受到损害。
2. 凭证被盗和身份验证
安全威胁可能是由于:身份验证不严格、弱密码、凭证管理松散等等的结果。
在企业里面,可能面临的问题就是身份管理。比如:有些员工的职能改变或离职时,忘了撤销用户的权限,会导致数据泄露。
多因子身份验证系统,比如一次性密码、基于手机的身份验证等等,可以有效地保护云服务。
业务影响
比如,冒充合法用户的恶意行为者可以:
读取、窃取、更新、删除数据
监听传输中的数据
发布恶意软件
总的来说,身份、凭证管理不足,会导致对数据的「未经授权」的访问。
例子
会计公司 Deloitte德勤 :在 2017 年 9 月 25 日,由于身份,凭据和访问管理薄弱,受到了重大数据泄露。原因就是:管理员邮件帐户安全性差。这个帐户,只需要一个密码就可以登录, 不用两步验证。这个攻击者从 2016 年 10 月/ 11 月开始,一直控制着公司的服务器。
黑客可以看到:20万名员工,用微软云服务的发送的电子邮件。除邮件外,黑客还可以看到用户名,密码,Internet 协议(IP)地址,企业架构图等等。
还有一个例子:黑客从 GitHub 上,获取了云服务凭据(凭证被盗),劫持了一个账户来开采虚拟货币。
3. 界面和API被黑
现在,云服务和云应用都提供API(应用编程接口)。
IT团队用界面和 API:管理云服务(比如:服务开通、管理、配置和监测)。所以,云服务的安全,也依赖于API的安全性。
弱界面和有漏洞的API:会让企业面临很多安全问题。攻击者可以通过App的各种API接口,入侵云平台服务器。设计不良的 API 也可能会被滥用,然后导致数据泄露。
API 和 UI 通常是系统中最开放的部分,所以,在设计时要考虑到安全问题。
涉及到不安全 API 的案列
Facebook 在: 2018 年 9 月 28 日,出现了一个影响超过 5000 万个账户的重大数据泄露的事件。就是在2017年,一个「凭证窃取漏洞」被引入到Facebook 代码中。
Facebook当时说,不知道有什么信息被盗,也不知道有多少其他的用户会受到影响。
4. 系统漏洞
随着云计算中,多租户的出现,系统漏洞的问题也在增大。企业共享数据库,也催生出了很多新的攻击方式。
修复系统漏洞的花费,相比于其他IT支出,要少一些。
5. 账户劫持
在云环境中,风险最高的帐户是云服务或订阅账户。网络钓鱼攻击、系统入侵、登录凭据被盗等,都可能会危害这些帐户。
这些潜在的威胁,可能会导致云环境的严重中断,例如:数据和资产丢失,系统入侵等。
帐户劫持:意味着完全的失控:失去对帐户、服务和内部数据的控制。
这种失控的后果很严重。可能会出现严重的运营和业务中断。
和账户劫持有关的事件:
2014 年 6 月,代码托管服务公司 Code Spaces 的 AWS 账户,里面的管理控制台被入侵。这家企业在资产遭到破坏后,被迫关闭。
2009 年,众多亚马逊系统被劫持,运行宙斯僵尸网络病毒。
6. 恶意内部人士
企业里员工的恶意行为:比如,数据偷盗,报复公司等等。
和外部威胁不同,内部人员不需要穿透防火墙、虚拟专用网络(vpn)和其他外围安全防御。内部人员可以直接访问网络,计算机系统和敏感数据。
内部威胁比你想象的更普遍。《Netwrix 2018 云安全报告》显示,58%的公司,把安全漏洞归咎于内部人员。大多数安全事故,都是由内部人员疏忽引起的。
和内部威胁相关的例子:
2018年,特斯拉收到了恶意内部人员的威胁。原因是:没有得到晋升而不满。
他的破坏行动,包括:使用虚假户名,对特斯拉生产操作系统中的代码进行更改,向第三方输出:大量高度敏感的数据。
2018 年 6月, 印度旁遮普国家银行(Punjab National Bank),出现了一件18 亿美元的内部欺诈事件。
这家银行的一名员工,用密码,未经授权访问 SWIFT :银行间交易系统,操作资金交易。这个事件:是一个钻石商人策划的,目的:从供应商那里购买钻石。
7. APT (高级持续性威胁)寄生虫
APT:是一种复杂的、持续的网络攻击,包含三个要素:高级、长期、威胁。
高级:执行攻击,需要比传统攻击拥有更高的定制程度和复杂程度,需要花费大量时间和资源来研究确定系统内部的漏洞;
长期:为了达到特定目的。过程中“放长线”,持续监控目标,对目标保有长期的访问权;
威胁:人为参与策划的攻击。攻击目标是高价值的组织,攻击一旦得手,往往会给攻击目标造成巨大的影响。
APT很难被侦测到。云提供商:会用高级技术,阻止APT渗透进他们的基础设施。
客户也要经常检测云账户中的APT活动。
8. 永久的数据丢失
比如:恶意黑客,会永久删除云端数据,来危害用户。
所以,你要分布式部署数据和应用,增强防护。
数据备份措施和灾难恢复:是最基本的防止永久数据丢失的方法。
9.云服务滥用
云服务可能会被用于支持违法活动。
搭建在云服务中的恶意软件,看起来是非常可信的。因为,他们使用了云服务商的域名。
另外,基于云的恶意软件,可以利用共享工具来进行传播。
其他滥用云资源的例子
比如:
• 启动DDoS攻击(分布式拒绝服务)
• 垃圾邮件,钓鱼邮件攻击
• 电子挖矿
• 大规模自动化点击犯罪
• 对账号服务器进行暴力攻击
• 存储恶意或盗版内容
解决云服务滥用的办法
云服务提供商,检测支付漏洞,和云服务的滥用。
云服务提供商,要对这些滥用资源的行为进行识别,及时报告给客户。
业务影响
比如,一旦攻击者,成功入侵客户的云基础设施管理平台,攻击者可以利用云服务来做非法事情,而且客户还需要对此买单。
比如:黑客进行电子货币挖矿, 那客户还需一直为此而买单。
云服务滥用的案例
2016年,有个恶意软件叫做CloudSquirrel:它利用钓鱼邮件的方式,来传播恶意软件。
让受害者打开貌似重要的链接(比如发票)。一旦打开,CloudSquirrel就会让受害者自动下载额外的加密恶意软件Java包。
目的:是窃取 Outlook 通讯录中的用户数据。
10、拒绝服务(DoS)攻击
拒绝服务攻击:对网络、网站进行的网络攻击。
目的:限制合法用户的访问。
通常是通过使用虚假的系统请求,使目标站点过载,阻止合法用户访问它。
在web上,流行的一种常见类型的DoS攻击称为:分布式拒绝服务(DDoS)攻击,DDoS依靠「很多」的受感染的计算机,同时阻止访问。
DoS攻击:通常,会影响可用性:系统响应会被拖慢,甚至直接超时。
11.共享技术,共享危险
共享技术里面的漏洞,也会给云计算带来比较大的威胁。
云服务里面的:共享基础设施、平台和应用,都可能会出现漏洞。
扫一扫
190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
