越來越多的業務開始上云，但通常情況下云環境的搭建和配置往往是優先考慮的事情，而安全性則被置于次要地位。大多數組織(54%)將本地安全工具簡單的遷移到云端，但是這些工具并非為云而設計，這限制了它們的擴展能力。云業務的顯著增長也帶來了威脅和數據泄露的大幅增加。在過去的十八個月中，大多數利用云計算能力的企業都經歷了某種形式的數據泄露。希望本文能幫助組織提高應對高級威脅意識，尤其是在進行云計算遷移和安全建設時重點考慮云安全威脅。

01、數據泄露

數據泄露是指敏感、受保護或機密信息被未經授權的個人發布、查看、竊取或使用，包括但不限于個人健康信息、財務信息、個人可識別信息、商業秘密和知識產權。數據泄露可能是針對性攻擊導致的結果，也可能僅僅是人為錯誤、應用程序漏洞或不充分的安全實踐導致的結果。

關鍵要點

云對攻擊者來說是極具吸引力的目標資產。組織可以通過選擇一系列安全措施保護數據安全，包括執行最小權限、創建帶有恢復計劃的不可變備份、啟用加密，并定期審查數據安全措施來保護其數據。數據正成為網絡攻擊的主要目標。定義數據的商業價值和數據丟失的影響對于擁有或處理數據的組織來說非常重要。

保護數據正變成一個誰可以訪問它，在什么時間訪問，在什么地點訪問，以什么樣方式訪問等問題。

通過互聯網訪問的數據是最易受錯誤配置或利用的資產。

加密技術可以幫助保護數據，但可能會影響系統性能，影響用戶體驗。

02、配置錯誤和變更控制不足

云資源的配置錯誤是數據泄露的主要原因，而缺乏有效的變更控制是云環境中配置錯誤的常見原因。云環境與傳統信息技術不同，在企業數據中心中靜態的基礎設施元素在云中被抽象為軟件，它們的整個生命周期可能只持續幾分鐘或幾秒鐘。同時，多云環境也增加了安全防護的復雜性。這種動態的云環境需要一種敏捷和主動的云安全方案，但是許多公司尚未采取對應措施。

關鍵要點

云配置錯誤是指不正確地設置云資產的行為。這意味著它們可能被惡意活動利用，可能導致安全漏洞的檢測時間延長，使關鍵的企業數據處于不安全狀態。在過去的兩年中，特權賬戶的泄露占所有與身份相關的安全漏洞的34%。然而，只有38%的組織正在使用多因素認證來保護他們的特權賬戶。這增加了數據泄露的機會，因為它為網絡犯罪分子提供了一個黃金機會，他們可以通過利用配置錯誤的賬戶來訪問敏感數據。

基于云的資源高度復雜和動態變化情況，使它們難以配置。

傳統的控制措施和策略變更管理方法在云中無效。

應采用自動化工具，能夠持續掃描配置錯誤，并實時解決問題的技術。

03、缺乏云安全架構和策略

很多組織仍然只是簡單地將現有的IT堆棧和安全控制措施“轉移”到云環境中，安全建設往往落后于功能遷移，對共享安全責任模型理解不足。為降低被網絡攻擊可能性，組織需要實施適當的安全架構并制定強大的安全策略，包括利用云原生工具增加云環境中的可見性來最小化風險和成本。

關鍵要點

確保安全架構與業務目標一致。

制定并實施安全架構。

確保威脅模型不斷更新。

將持續監控納入整體安全姿態。

04、身份、憑據、訪問和密鑰管理不足

因為云計算深刻影響身份、憑據和訪問管理。在公有云和私有云設置中，云供應商和云消費者都需要在不影響業務運轉的情況下安全管理IAM。云環境中安全事件和數據泄露可能發生，原因包括：

憑據保護不足。

缺乏定期自動輪換加密密鑰、密碼和證書。

缺乏可擴展的身份、憑據和訪問管理系統。

未使用多因素認證。

未使用強密碼。

憑據和加密密鑰不得嵌入源代碼或發布類似GitHub這樣公開平臺，密鑰需要使用安全良好的公鑰基礎設施(PKI)來保護，以確保密鑰管理活動得到執行。此外，身份管理系統必須支持在人員變動時(如離職或角色轉換)立即撤銷對資源的訪問權限。這種身份管理生命周期流程應集成在云環境中和能夠完全自動化。

關鍵要點

云服務供應商提供各種處理密鑰管理的方法，從完全依賴云供應商進行完全托管的服務器端加密，到客戶自己生成和管理密鑰并在上傳數據之前進行加密的完全客戶端加密方法。

安全賬戶，包括多因素認證，對root賬戶進行嚴格限制使用。

對云用戶和身份實施最嚴格的身份和訪問控制。

根據業務需求和最小權限原則，對賬戶、VPC和身份組進行隔離和分段。

輪換密鑰，移除未使用的憑據或訪問權限，并采用集中、程序化密鑰管理。

05、賬戶劫持

在云環境中，風險最高的賬戶是云服務賬戶和訂閱賬戶。釣魚攻擊、利用基于云的系統或竊取的憑據可能會危及這些賬戶。這些風險源于云服務的交付模式，以及其組織和治理：數據和應用程序駐留在云服務中，云服務駐留在云賬戶或訂閱賬戶中。

關鍵要點

賬戶和服務劫持意味著完全失陷，包括業務中斷、數據資產泄露等等。惡意攻擊者可以使用網絡釣魚技術、暴露的憑據等脆弱性來獲得云租戶的初始訪問權限。他們還可以利用過于“寬松”的訪問控制策略進一步滲透到環境中，獲取對敏感資源的訪問權限。訪問控制策略應仔細配置，以確保僅授予用戶必要的最少權限，此外還需實施職責分離，以特別保護敏感操作和資源。

賬戶劫持是一種必須嚴肅對待的威脅，不僅僅是重置密碼。

深度防御和IAM控制是減輕賬戶劫持的關鍵。

06、內部威脅

內部威脅是指“擁有或曾經擁有對組織資產授權訪問的個人，利用他們的訪問權限，無論是惡意的還是無意的，以可能對組織產生負面影響的方式行事。” 內部人員可能是當前或以前的員工、承包商或其他受信任的商業伙伴。與外部威脅行為者不同，內部人員在公司的安全信任圈內操作，他們可以直接訪問網絡、計算機系統和敏感公司數據。

根據波恩蒙研究所研究，員工或承包商的疏忽占內部威脅比例的64%，而23%與犯罪內部人員有關，13%與憑據盜竊有關。一些常見的情況包括配置錯誤的云服務器、員工在他們自己的不安全個人設備和系統上存儲公司敏感數據以及員工或其他內部人員成被釣魚郵件，導致公司資產被惡意攻擊。

關鍵要點

采取措施減少內部人員的疏忽可以減輕內部威脅的后果。下面概述的行動可以幫助解決用戶疏忽和管理引入的安全問題。

安全培訓：為團隊提供培訓，正確安裝、配置和監控您的計算機系統、網絡、移動設備和備份設備。定期的意識培訓，告知他們如何處理安全風險，要求使用強密碼并經常更新密碼等。

修復配置錯誤的云服務器：定期審計云中和本地的服務器，然后糾正與組織內設置的安全基線偏離的任何偏差。

限制對關鍵系統的訪問：確保擁有特權訪問的人員限制在少數員工中，監控任何權限級別的所有計算機服務器的訪問。

07、不安全的接口和API

API和UI通常是系統最暴露的部分，可能是唯一具有公共IP地址的資產，可在受信任的組織邊界之外使用。作為“前門”，它們很可能會被持續攻擊，因此需要有足夠的控制措施來保護它們免受攻擊。

關鍵要點

測試 API 和微服務是否存在因配置不當、編碼不當、身份驗證不足和授權不當而導致的漏洞。API安全關鍵點如下：

API 的攻擊面必須受到監控、配置和保護。

確保妥善保護API密鑰，避免重復使用。

使用能夠持續監控異常 API 流量，能夠使用準實時修復問題的技術。

08、系統漏洞

云服務平臺存在系統漏洞。它們可能被用來破壞數據的機密性、完整性和可用性，從而可能擾亂服務運營。

關鍵要點

系統漏洞是系統組件內部的故障，經常由人為錯誤引起，使黑客更容易利用企業的云服務。

結合嚴格的 IAM 程序，可以通過常規漏洞識別和補丁分發來顯著減輕系統漏洞造成的安全威脅。

09、有限的可見性

組織無法分析云服務使用是否安全，主要表現在兩個方面，首先是一些未經授權的應用程序使用。這種情況導致了大量影子資產，而安全攻擊中有三分之一將通過影子IT系統和資源發起。其次，組織通常無法分析他們批準的應用程序是如何被內部人員利用的，無法確定他們的行為是否超出正常要求或是否滿足安全合規要求。

關鍵要點

構建完整的云可見性解決方案，包括CSPM、CWPP、CIEM等。

強制執行全公司接受云使用政策的培訓和執行。

所有云服務都必須經過云安全架構師或第三方風險管理的審查和批準。

在組織內實施零信任模型。

10、濫用和惡意使用云服務

托管的惡意軟件的云服務可能看起來更合法，因為惡意軟件使用CSP的域名。此外，云托管的惡意軟件可以使用云共享工具作為攻擊向量，進一步傳播自身。濫用云資源的其他例子包括：

發起DDoS攻擊

電子郵件垃圾郵件和網絡釣魚活動

挖礦

托管惡意或盜版內容

關鍵要點

企業必須意識到這些新的云攻擊向量，并采取措施應對，需要采購能夠監控云基礎設施或API調用的安全技術。

監控所有云， 技術監控并阻止任何未經授權的數據泄露。

采用新一代先進云安全方案，傳統安全防護機制無法減輕云服務的風險。