云安全的11个网络挑战和解决措施

在将业务转移到云之前，组织需要了解他们可能面临的云安全挑战以及如何应对这些挑战。
所有云计算平台的主要承诺，如提高信息技术效率、灵活性和可扩展性，都面临着一个重大挑战：安全性。
许多组织无法定义云计算服务提供商(CSP)的责任在哪里结束，他们的责任在哪里开始，因此可能会有更多的漏洞。云计算的可扩展性也增加了组织的潜在攻击面。使问题进一步复杂化的是，传统的安全控制措施已经不能满足云安全的要求。
为了帮助组织了解他们面临的云计算挑战，CSA在10年前成立了一个专业团队。由行业专业人士、架构师、开发人员和组织管理人员组成的研究团队确定了25种安全威胁的列表，由安全专家进行了分析，对这些安全威胁进行了排名，并将这些安全威胁归纳为11种最常见的云计算安全挑战：
数据泄露；
配置错误和变更控制不足；
缺乏云安全架构和策略；
身份、凭证、访问和密钥管理不足；8.控制平台薄弱
作为客户的责任和2021年的新责任，云计算控制平台是组织使用的云计算管理控制台和界面的集合。根据CSA，它还包括数据复制、迁移和存储。如果安全措施不当，受损的控制平面可能会导致数据丢失、监管罚款等后果，以及品牌声誉受损，造成收入损失。
云安全联盟的建议如下：
要求云计算服务提供商进行适当的控制；
进行尽职调查，确定潜在云服务是否有足够的控制平台。
云控制矩阵(CCM)规范包括以下内容：
建立信息安全政策和程序，并使其便于内部人员和外部业务关系审查；
实施和应用深度防御措施，及时检测和应对网络攻击；
制定策略来标记、处理和保护数据以及包含数据的对象。
9.元结构和应用程序结构失败
云安全联盟(CSA)定义的元结构是“提供基础设施层和其他层之间接口的协议和机制”，换句话说，它是连接技术和实现管理和配置的粘合剂。
元结构是云计算服务提供商和客户之间的分界线。这里有很多安全威胁：比如云安全联盟(CSA)指出云计算服务提供商(CSP)的API执行不力或者客户使用的云计算应用程序不合适。这种安全挑战可能会导致服务中断和配置错误，以及财务和数据损失。
应用程序结构被定义为“部署在云中的应用程序以及用于构建它们的底层应用程序服务”。例如消息队列、手动分析或通知服务。
报告中的新威胁是客户和云计算服务提供商的共同责任。云安全联盟的建议如下：
云计算服务提供商提供可见性并披露缓解措施，以解决其客户缺乏透明度的问题；
云计算服务提供商(CSP)进行渗透测试，并向客户提供结果；
客户在云原生设计中实现功能和控制。
云控制矩阵(CCM)规范包括以下内容：
制定并维护审计计划，解决业务流程中断问题；
实施加密以保护存储、使用和传输中的数据；
建立存储和管理身份信息的策略和程序。
10.云计算能见度有限
长期以来，云计算使用情况的可见性一直是组织管理员关注的问题，但对于本报告中列出的CSA的云安全挑战来说，这是一个新问题。根据CSA的说法，有限的可见性带来了两个关键挑战：未经授权的应用程序使用，也称为影子IT，是指员工使用信息技术部门不允许的应用程序。
批准的应用程序滥用是指未能按预期使用信息技术批准的应用程序。例如，这包括有权访问应用程序的用户，以及使用通过SQL注入或DNS攻击获得的被盗凭据来访问应用程序的未经授权的个人。
CSA认为，这种有限的可见性导致缺乏治理、意识和安全性，所有这些都可能导致网络攻击、数据丢失和漏洞。
这是今年名单上的新安全威胁，也是云计算服务提供商和客户的共同责任。云安全联盟的建议如下：
从上到下提高云计算的知名度；
对可接受的云使用策略进行组织培训；
所有未经批准的云服务都需要经过云安全架构师或第三方风险经理的审查和批准。
云控制矩阵(CCM)规范包括以下内容：
定期进行风险评估；
让所有人员了解他们的合规性、安全角色和责任；
清点、记录和维护数据流。
11.滥用和恶意使用云计算服务
正如云计算可以给组织带来许多好处一样，它也可能被恶意利用进行威胁。恶意使用合法的SaaS、部分授权许可协议和内部授权许可协议产品将影响个人、云计算的客户和云计算的服务提供商。组织倾向于通过以下方式滥用云计算服务：
分布式拒绝服务攻击；
钓鱼；
渗透开采；
点击欺诈；
暴力袭击；
托管恶意或盗版内容。
损坏和滥用云计算服务可能导致费用，如丢失加密货币或攻击者付款；组织在不知情的情况下托管恶意软件的情况；数据丢失等。
云安全联盟(CSA)建议云计算服务提供商(CSP)尽最大努力通过事件响应框架检测和减轻此类攻击。云计算服务提供商(CSP)还应提供客户可以用来监控云计算工作负载和应用程序的工具和控制。
作为客户和云计算服务提供商的共同责任，云安全联盟的建议如下：
监控员工云计算；的使用情况
使用云计算数据丢失预防技术。
云控制矩阵(CCM)规范包括以下内容：
采取技术措施管理移动设备的风险；
为组织和用户拥有的终端(包括工作站、笔记本电脑和移动设备)定义配额并使用权限；
创建并维护已批准的应用程序列表。
账户劫持；
内部威胁；
不安全的接口和APIs
控制平台薄弱；
元结构和应用结构失效；
云使用的可见性有限；
滥用和恶意使用云计算服务。
此后，云安全联盟(CSA)每两年发布一份调查报告。几天前发布的一份名为“令人震惊的云计算的11大威胁”的报告详细解释了这些威胁，并确定了谁应该负责，是客户的责任，还是云计算服务提供商(CSP)的责任，或者两者兼有，并提供了帮助组织实施云计算安全保护的步骤。
CSA发布的第五份调查报告显示了一些重大变化。值得注意的是，11个主要安全威胁中有6个正在出现。此外，这些威胁并不是云计算服务提供商(CSP)的全部责任，而是与客户相关，或者由云计算服务提供商(CSP)和客户共同承担。
云安全联盟(CSA)全球研究副总裁约翰约赫(JohnYeoh)表示：“我们注意到，最重要的趋势是，组织已经加强了对客户的控制。”他将这些变化归因于两件事：要么是组织对云计算服务提供商(CSP)的信任显著增加，要么是组织希望加强控制，更好地了解他们可以在云平台上做什么，以及如何使用云服务来满足其特定的安全需求。
在今年发布的调查报告中，根据受访者进行的调查，以下是11种安全威胁以及针对每种安全威胁的缓解措施：
1.数据泄露
根据CSA的调查报告，数据泄漏仍然是云计算服务提供商(CSP)及其客户的责任，并将在2021年继续成为最大的云安全威胁。在过去的几年里，许多数据泄漏都归咎于云平台，其中最引人注目的事件之一是CapitalOne对云计算的错误配置。
数据泄露可能会导致一些组织陷入困境，声誉遭受不可逆转的损害，并因监管影响、法律责任、事件响应成本和市值下降而造成财务困难。
云安全联盟的建议如下：
确定数据的价值及其损失的影响；
通过加密保护数据；
制定一个强大且经过良好测试的事故响应计划。
CSA的云控制矩阵(CCM)规范包括以下内容：
执行数据输入和输出完整性例程；
将最小特权原则应用于访问控制；
建立安全删除和处理数据的政策和程序。
CSA的云控制矩阵是CSA安全指南的支撑文档，是第四代文档，总结了各种云域及其主要目标。
云控制矩阵(CCM)提供了按控制区域和控制id分类的需求和控制的详细列表，每个列表对应于其控制规范、架构依赖、云交付模型(SaaS、PaaS和IaaS)以及标准和框架(如PCIDSS、NIST和FedRAMP)。
2.配置错误和变更控制不足
如果资产设置不正确，它们很容易受到网络攻击。比如CapitalOne公司的安全漏洞，可以追溯到泄露AmazonS3 bucket的Web应用防火墙的错误配置。除了不安全的存储之外，过大的权限和使用默认凭据是数据漏洞的另外两个主要来源。
与此相关，无效的变更控制可能导致云计算配置错误。在按需实时云计算环境中，变更控制应该自动化，以支持快速变更。
客户责任、错误配置和变更控制是云安全威胁列表中的新内容。
云安全联盟(CSA)的建议如下：
特别注意通过互联网获取的数据；
定义数据的业务价值及其损失的影响；
创建并维护一个强有力的事故响应计划。
云控制矩阵(CCM)规范包括以下内容：
确保外部合作伙伴遵守内部开发人员使用的变更管理、发布和测试程序；
按计划的时间间隔进行风险评估；
承包商、第三方用户和员工的安全意识培训。3.缺乏云安全架构和策略
许多组织在没有适当的体系结构和策略的情况下进入云。在迁移到云平台之前，客户必须了解他们面临的威胁、如何安全地迁移到云平台以及共同责任模式的来龙去脉。
这种威胁是列表中的新内容，主要是客户的责任。如果没有适当的规划，客户将容易受到网络攻击，这可能导致财务损失、声誉损害以及法律和合规性问题。
云安全联盟的建议如下：
确保安全架构符合业务目标。
开发和实施安全架构框架。
实施持续的安全监控程序。
云控制矩阵(CCM)包括以下内容：
确保政策风险评估包括更新政策，程序、标准和控制措施，以保持相关性；
根据商定的服务级别和容量级别预期、信息技术治理和服务管理政策和程序，设计、开发和部署业务关键/影响客户的应用程序和应用编程接口设计和配置以及网络和系统组件；
限制和监控网络环境和虚拟实例中可信和不可信连接之间的流量。
4.身份、凭证、访问和密钥管理不足
大多数云安全威胁和一般网络安全威胁都与身份和访问管理(IAM)问题相关联。根据云安全联盟(CSA)指南，这是由于以下原因：
证书保护不正确；
缺少自动加密密钥、密码和证书轮换；
IAM可扩展性挑战；
缺少多因素身份验证；
弱密码。
对于顶级云安全挑战列表，新的标准身份和访问管理(IAM)挑战通过使用云计算得到加强。执行库存，跟踪、监控和管理大量云计算帐户的方法包括设置和取消配置问题、僵尸帐户、过多的管理员帐户和绕过身份和访问管理(IAM)控制的用户，以及定义角色和权限的挑战。
作为客户的责任，云安全联盟(CSA)的建议如下：
使用双因素身份验证；
对云计算用户和身份实施严格的身份和访问管理控制；
轮换密钥、删除未使用的凭证和访问权限，并采用集中式编程密钥管理。
云控制矩阵(CCM)规范包括以下内容：
确定关键经理，发展和维护政策；的关键管理
分配、记录和传达终止雇佣或程序变更的角色和职责；
及时取消用户对数据和网络组件的访问权限。
5.账户劫持
云计算账户劫持是指对云计算环境的运营、管理或维护至关重要的云计算账户泄漏、意外泄漏或其他泄漏。如果这些高度特权和敏感的账户被销毁，可能会导致严重的后果。
从网络钓鱼和填制凭证到薄弱或被盗的凭证到编码不正确，账户泄漏可能导致数据泄漏和服务中断。
作为云计算服务提供商(CSP)和客户的责任，CSA的建议如下：
请记住，帐户劫持不仅仅是密码重置；
使用深度防御、身份和访问管理(IAM)控制。
云控制矩阵(CCM)规范包括以下内容：
建立、记录和采用统一的业务连续性计划；
分离的生产和非生产环境；
维护并定期更新合规联系人，为快速与执法部门互动做好准备。
6.内部威胁
与组织网络中的员工和其他人相关的风险不限于云平台。无论疏忽或意图如何，内部人员(包括现任和前任员工、承包商和合作伙伴)都可能导致数据丢失、系统停机、客户信心下降和数据泄漏。
组织必须解决客户责任、涉及泄露或被盗数据的内部威胁、凭据问题、人为错误和云错误配置。
云安全联盟的建议如下：
进行安全意识培训；
修复配置错误的云计算服务器；
限制对关键系统的访问。
云控制矩阵(CCM)规范包括以下内容：
在重新定位或转移硬件、软件或数据之前需要授权；
按计划的时间间隔授权和重新验证用户访问控制；
对多租户应用程序、基础架构和其他租户的网络进行分区。
7.不安全的接口和应用编程接口
云计算服务提供商(CSP)的用户界面和应用编程接口是云计算环境中最开放的部分，客户通过它们与云计算服务进行交互。任何云计算服务的安全都是从良好的保护开始的，这是客户和云计算服务提供商的责任。
云计算服务提供商(CSP)必须确保集成了安全性，客户必须努力使用云安全联盟(CSA)的所谓云计算“前门”进行管理、监控和安全。这个威胁已经从上一份报告中的第三大威胁降到了第七大威胁，但仍然非常重要。
云安全联盟(CSA)的建议如下：
保证API的安全性；
避免API密钥重用；
使用标准开放的API框架。
云控制矩阵(CCM)规范包括以下内容：
根据行业领先标准设计、开发、部署和测试原料药，并遵守适用法律、法规和监管义务；
隔离和限制对与组织信息系统交互的审计工具的访问，以防止数据泄漏和篡改；
限制可以覆盖系统、对象、网络、虚拟机和应用程序控制的实用程序。