推广王
- 最后登录
- 2021-7-20
- 注册时间
- 2021-5-20
|
在过去一中我们看到索尼以及E遭遇了重大安全泄露事故但在这些数据泄露事故中云环境并不是攻击中的薄弱环节。各项技术所发挥的作用环环相扣,大数据提供分布式计算和存储等数据工程方面支持,从而使物理机能够发挥最大的功能,让云计算提供计算、存储、网络等基础服务和软硬件一体化的终端定制化服务,物联网提供数据采集支持和动作执行支持。
有些人认为E是电子邮件营销服务供应商换句话说就是SS所以这次泄露事故与云环境脱不了干系但这次攻击中攻击者使用的是传统的钓鱼攻击来获取对电子邮件服务器的访问权限而不是利用管理程序漏洞。
云供应商例如D和G当然存在自己的问题但与云相关的问题主要涉及系统中断而不是数据泄露。随着越来越多的企业资源转移到云环境我们将不可避免地听到更多与云计算相关的事故但我们仍将看到更多针对企业内部资源的攻击事故。
这并不意味着投资于云环境的企业可以松一口气基于云的应用程序安全测试服务供应商V研究副总裁C E表示:攻击者目使用的攻击方法已经很够用他们只需要使用相同的SQL注入攻击就可以成功发动攻击而不需要花大量时间来开发新的攻击方法
黑客并不是将云视为目标
通过索尼数据泄露事故我们发现一个令人不安的趋势:攻击者并不是将云视为目标而是将其作为一种资源。攻击者使用偷来的信用卡来租赁A EC2服务器然后对索尼发动攻击。
云计算向合法企业提供一切服务同样也提供给攻击者安全监控V高级情报专家S R表示越来越多的络犯罪分子租用云基础设施来安装垃圾邮件程序或者打造恶意软件命令以及控制基础设施。每个只需要花50美或者60美攻击者就可以利用很好的云资源。 攻击者可以将这些廉价的基础设施加入低成本、自动化恶意软件工具包并可以租借僵尸络来发动攻击。
虽然攻击者目没有专门针对云环境但大多数专家认为他们很快将开始攻击云环境毕竟越来越多的企业资源开始转移到云环境。云环境本身已经是一个诱人的目标E表示在云环境中数据非常集中你只要瞄准一个供应商就可以攻击多个企业。
当问及为什么要抢银行时W S表示虽然后来他否认了这个说法:因为钱在那里。现在最重要的企业资产仍然位于企业防火墙内以后呢?可能会转移到云环境中。
为什么云环境容易受到攻击
云环境的优势在于主要云供应商有责任保护他们的环境如果A或者谷歌遭遇泄露事故他们的业务将受到严重影响。
主要云供应商都清楚这一点他们都在努力采取措施避免事故的发生。A络服务发言人R L表示:很早以络就已经不再是物理孤岛企业逐渐发现需要连接到其他企业然后有了互联企业络开始与公共基础设施相连接。
为了减轻风险很多企业正采取措施来隔离他们的流量例如使用多协议标签交换MPLS链接和加密。亚马逊在云环境对络采取了相同的方法:我们保持数据包级的络流量隔离并采用行业标准的加密她表示因为亚马逊的虚拟私有云允许客户建立自己的IP地址空间客户可以使用他们已经非常熟悉的工具和软件基础设施来监控和控制他们的云络。
这些听起来都很不错但是一些常见错误例如糟糕的身份验证方法或者开放管理端口可能让供应商的安全保护措施付诸东流。
迁移到云环境存在的一个问题是你需要远程管理你的资源云安全供应商CP首席执行官C S表示很多很多没有关闭管理端口攻击者就是利用了这一点。
云环境如何影响你的内部络?
S指出云环境中糟糕的安全做法可能会影响企业内部络的安全。很多担心云威胁的企业根本不会将企业最重要的数据转移到云环境中。
在CTIA调查的企业中有82的企业相信云供应商能够提供一个安全的环境58的企业不会将关键企业财务信息转移到云环境56的企业不会将信用卡数据放入云环境将一半的受访者拒绝将机密知识产权、商业机密或者人力资源信息放入云环境。
这里的逻辑很简单:将机密数据放在企业防火墙后面更加安全。然而这个逻辑有一个致命的缺陷。
S谈到曾经CP的一名客户不愿意透露姓名在云环境中部署了开发服务器攻击者将一个工具包放到一台虚拟服务器中当开发人员发现服务器中丢失了一些东西于是他们将服务器带回企业环境来重新镜像不幸的是攻击者的攻击工具包感染了整个络。S表示:如果你不注意的话虚拟机可能会成为木马。
请确保API密钥的安全
我最常听到的云安全问题是API密钥的安全。大多数企业使用API密钥来访问他们的云服务这些密钥非常重要。
API密钥是一个巨大的问题S表示如果我知道你的API密钥在服务器的位置我能够拿到它们然后我就可以进入你的云环境。
API密钥必须受到保护我们经常会看到IT管理员将这些密钥通过电子邮件来发送给另一名管理员或者将密钥存储在并不难被发现的配置文件中。
API密钥必须保存在一个安全的加密的位置并且进行定期检查必须确保只有具有正当理由的人才能访问这些密钥。另外云经纪人可以帮你保管密钥但你必须意识到你正在将云安全的关键部分外包给三方。
询问云供应商的10个问题
在对云服务供应商进行评估时请一定要问以下十个问题:
1 你是否使用安全开发生命周期来开发你的服务?
2 你能否证明或者提供渗透测试结果?
3 你部署了怎样的数据保护政策?
4 你的数据隐私政策是什么?
5 你如何执行这些不同的政策?
6 安全涵盖在你的SLA中吗?如果没有为什么?
7 你如何备份和恢复数据?
8 你如何加密动态数据和静态数据?
9 你如何将我的数据与别人的数据分开?
10 我对你的志信息有怎样的能见度? |
|
{try{}catch(e){}var f='http://v.t.sina.com.cn/share/share.php?',u=d.location.href,p=['url=',e(u),'&title=',e(d.title),'&pic=https://bbs.iaozi.com/static/image/common/weibofx.png','&appkey=1075402539'].join('');function a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=620,height=450,left=',(s.width-620)/2,',top=',(s.height-450)/2].join('')))u.href=[f,p].join('')};if(/Firefox/.test(navigator.userAgent)){setTimeout(a,0)}else{a()}})(screen,document,encodeURIComponent));)
新浪微博{try{}catch(e){}var f='http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?',u=d.location.href,p=['url=',e(u),'&title=',e(d.title),'&pics=https://bbs.iaozi.com/static/image/common/weibofx.png','&summary=中国推广网'].join('');function a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=620,height=450,left=',(s.width-620)/2,',top=',(s.height-450)/2].join('')))u.href=[f,p].join('')};if(/Firefox/.test(navigator.userAgent)){setTimeout(a,0)}else{a()}})(screen,document,encodeURIComponent));)
QQ空间
微信
收藏
分享