权威发布:云安全最大威胁及解决办法

【.com独家翻译】云安全联盟(Cloud Security Alliance,CSA)发布了第一份云计算安全风险简明报告,有意与CSA发布的更冗长的“关键区域安全指南”(下载地址:http://cloudsecurityalliance.org/csaguide.pdf)成对出现,对于报告中列出的最大威胁,CSA将长达76页的安全指南浓缩为7个最常见,危害程度最大的威胁,根据这些威胁的描述,CSA也提出了一些策略,尽可能减少损失。用户也应该检查云服务供应商是否有每项威胁对应的解决方案。

CSA是一个由来自不同科技公司的安全专家和研究人员组成的组织。 

[[9159]] 
图1  云安全威胁一直就没有停止过

威胁名单:

威胁1:滥用和恶意使用云计算

威胁2:不安全的接口和API

威胁3:不怀好意的内部人员

威胁4:基础设施共享问题威胁5:数据丢失或泄漏

威胁6:帐户或服务劫持

威胁7:未知的风险

威胁1:滥用和恶意使用云计算

网络犯罪开始倾向于窃取银行卡密码和信用卡卡号,恶意软件如Zeus和InfoStealing木马将会在云中变得更强大,垃圾邮件发送者和恶意代码作者可以利用云服务中的匿名注册和云服务模式进行网络犯罪。

解决办法:严格设计首次注册和验证过程,实施信用卡欺诈行为监控和协调,监控公共黑名单,查看你自己的网络是否被列为垃圾邮件和恶意软件来源而被阻止。

威胁2:不安全的接口和API

不安全的API通常是想回收旧代码提高开发速度的结果,质量和安全都得不到保障,API上的第三方插件也可能引入更多的复杂性和更多的风险。

解决办法:了解API关联的依赖链,除加密传输外,确保实施强大的访问控制。

威胁3:不怀好意的内部人员

这是一个众所周知的威胁,当一个人渗透到组织中,从组织内部发起攻击时,危害程度更大,如果公司使用了云服务,威胁将会进一步放大,随着云服务的不断壮大,留给服务供应商做后台检查的时间的越来越少。

解决办法:放慢脚步,做更彻底的检查,由HR在合同上明确雇员的法律责任,在违反安全规定造成安全事故时有权送交司法机关。

威胁4:基础设施共享问题

IaaS供应商使用共享的,非隔离的基础设施,当一个攻击者得逞时,全部服务器都向攻击者敞开了大门,即使使用了hypervisor,有些客户机操作系统也能够获得基础平台不受控制的访问权。

解决办法:开发一个强大的分区和防御策略,IaaS供应商必须监控环境是否有未经授权的修改和活动。

威胁5:数据丢失或泄漏

云中不断增长的数据交互放大了数据丢失的风险,因为没有适当的安全控制和数据监控,很难监控和控制所发生的事情,这增加了错放上下文记录,丢失编码键和意外删除数据的可能。

解决办法:有一个定义良好,组织得当的密钥生成、存储、管理和销毁策略。

威胁6:帐户或服务劫持

许多常见的攻击方法仍然可以从攻击者获得可重用的凭据,在云环境中,如果攻击者能够获得你的凭据,他们可以看到你的活动,处理的数据,并给云服务供应商客户端导致问题。

解决办法:禁止用户和服务之间凭据共享,利用强大的双因子认证技术,主动检查是否有未经授权的活动。

威胁7:未知的风险

未知的安全漏洞是云中真正的危险,软件版本、安全实践、代码更新、漏洞研究和入侵企图都是消除安全风险的重要因素。了解这个领域需要做更多的工作和调查,做好这方面的工作就成功了一半。

解决办法:认清你的安全现状,为客户提供最大程度的透明性,让他们知道如何配置系统或及时为托管的软件打上补丁。

【.COM 独家翻译,转载请注明出处及作者!】

【编辑推荐】

  1. 瑞星推出云安全计划新版卡卡成反木马核心
  2. 两亿种病毒肆虐网络趋势问计“云安全”

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/127713.html<

(0)
管理的头像管理
上一篇2025-02-24 19:35
下一篇 2025-02-24 19:36

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注