云計算伴隨著(zhù)一個(gè)新的無(wú)邊界工作世界，促進(jìn)了信息的自由流動(dòng)和開(kāi)放的協(xié)作。這使公司的工作效率更高，并使遠程工作成為可能，尤其是在這次 Covid 大流行中，使企業(yè)能夠確保業(yè)務(wù)連續性。雖然云環(huán)境為組織提供了巨大的好處，但它也為攻擊者打開(kāi)了許多漏洞來(lái)利用。在2020 年云安全報告中，對于采用云是否會(huì )提高企業(yè)安全性的評價(jià)褒貶不一。

45% 的受訪(fǎng)者表示云應用程序和本地應用程序的安全性相同。28% 的受訪(fǎng)者表示云應用比本地應用更安全，而 27% 的受訪(fǎng)者擔心云應用不如本地應用安全。

同一項調查強調，93% 的受訪(fǎng)者非常關(guān)注公共云安全。這些數據表明，企業(yè)認識到云采用本質(zhì)上是安全的，但正在與安全使用它的責任作斗爭。在不了解云安全風(fēng)險的情況下利用云技術(shù)的公司會(huì )面臨無(wú)數財務(wù)和技術(shù)風(fēng)險。讓我們分解采用云技術(shù)帶來(lái)的主要安全風(fēng)險以及緩解這些風(fēng)險的技巧。

1. 未經(jīng)授權訪(fǎng)問(wèn)數據

這是云安全的最大風(fēng)險。根據一份新的云安全聚焦報告，53% 的受訪(fǎng)者認為通過(guò)不適當的訪(fǎng)問(wèn)控制和濫用員工憑證進(jìn)行的未經(jīng)授權的訪(fǎng)問(wèn)是他們最大的云安全威脅。

未經(jīng)授權的訪(fǎng)問(wèn)涉及在沒(méi)有適當權限的情況下訪(fǎng)問(wèn)企業(yè)數據、網(wǎng)絡(luò )、端點(diǎn)、設備或應用程序的個(gè)人。好消息是，可以通過(guò)結合訪(fǎng)問(wèn)管理策略的安全解決方案來(lái)解決訪(fǎng)問(wèn)控制不佳的問(wèn)題。Web 應用程序防火墻允許基于 IP、國家、GEO 位置等阻止對云應用程序的訪(fǎng)問(wèn)。它提供完整的應用程序訪(fǎng)問(wèn)跟蹤、監控和報告，使企業(yè)能夠遵守數據安全法規。

防止不良訪(fǎng)問(wèn)管理的提示

• 為所有用戶(hù)帳戶(hù)開(kāi)發(fā)數據治理框架。所有用戶(hù)帳戶(hù)都應直接連接到中央目錄服務(wù)，例如可以監控和撤銷(xiāo)訪(fǎng)問(wèn)權限的 Active Directory。
• 您可以使用第三方安全工具定期從云服務(wù)環(huán)境中提取用戶(hù)、權限、組和角色的列表。然后您的安全團隊可以對其進(jìn)行排序和分析。
• 您還應該保留日志記錄和事件監控機制，以檢測未經(jīng)授權的更改和異?；顒?dòng)。

2. 分布式拒絕服務(wù) (DDoS) 攻擊

對云的另一種最常見(jiàn)的攻擊形式，被證明極具破壞性。DDoS（分布式拒絕攻擊）是一種攻擊，它通過(guò)向合法用戶(hù)發(fā)出大量惡意連接請求來(lái)拒絕合法用戶(hù)訪(fǎng)問(wèn)在線(xiàn)服務(wù)。

應對云端 DDoS 攻擊的技巧

• 在您的企業(yè)的 Internet 連接上擁有過(guò)多的帶寬。您擁有的帶寬越多，黑客必須做的事情就越多以淹沒(méi)其連接。
• 發(fā)現系統中的漏洞 – 使用Web 應用程序掃描工具掃描您的網(wǎng)絡(luò )和系統以確定漏洞，找出漏洞，利用這些漏洞執行 DDoS 攻擊。實(shí)施安全控制以修復檢測到的安全問(wèn)題。
• 保持備用互聯(lián)網(wǎng)連接 - 具有單獨 IP 地址池的備用連接提供備用路徑，以防主電路被請求淹沒(méi)。
• 配置 WAF 規則以過(guò)濾掉惡意 IP – 使用自定義規則配置您的 WAF 防火墻，以根據您的要求監控和過(guò)濾流量。

3. 云配置錯誤

四分之三的云上企業(yè)正遭受某種云配置錯誤，這會(huì )影響安全性。常見(jiàn)的弱點(diǎn)包括默認密碼、訪(fǎng)問(wèn)限制不足、權限控制管理不善、非活動(dòng)數據加密等等。其中許多漏洞是由內部威脅和缺乏安全意識造成的。

公司引入漏洞的另一種方式是嘗試通過(guò)設置更改或插件來(lái)個(gè)性化他們的云使用。這些臨時(shí)更改可能會(huì )導致配置漂移，從而產(chǎn)生可用性、管理和安全問(wèn)題。

克服云配置錯誤的提示

• 了解您的云 – 了解您的云服務(wù)的所有服務(wù)、設置和權限，并且永遠不要忘記利用集成安全功能的優(yōu)勢。
• 修改憑據和權限 – 徹底檢查默認憑據并設置多因素身份驗證以確保額外的安全層。
• 定期審核您的云資產(chǎn) – 不要以為正確配置的云設置會(huì )長(cháng)期保持不變。適當的審計和監控可以幫助您識別錯誤配置的跡象。
• 選擇正確的安全解決方案 – 最好的云安全服務(wù)提供商，可以提供一整套功能，包括安全管理、威脅檢測和入侵防御。

4. 數據泄露和數據泄露

當今組織面臨的最大和關(guān)鍵的云計算威脅是個(gè)人和敏感信息和數據的丟失——無(wú)論是無(wú)意的還是故意的。隨著(zhù)越來(lái)越多的公司允許其員工使用個(gè)人設備工作而沒(méi)有實(shí)施強大的安全策略，數據泄露的風(fēng)險也在增加。使用個(gè)人設備訪(fǎng)問(wèn) One Drive 或 Dropbox 等存儲服務(wù)會(huì )增加安全風(fēng)險，尤其是在使用較舊的操作系統版本時(shí)。敏感信息泄露的另一種方式是內部威脅。將敏感數據和密碼存儲在純文本文件中可能意味著(zhù)如果攻擊者得到它，它很容易受到攻擊。尤其是云中的高風(fēng)險，因為它是一個(gè)共享環(huán)境，云上的單個(gè)漏洞會(huì )打開(kāi)整個(gè)環(huán)境，導致數據泄露和丟失。

避免數據泄露風(fēng)險的提示

• 加密數據——敏感數據不應該在您的云環(huán)境中未經(jīng)加密。
• 更改密碼 - 將所有密碼存儲在更安全的地方。選擇密碼并增加更改密碼的頻率時(shí)要更聰明。
• 設置權限 - 并非所有員工都需要對您的敏感文件具有相同級別的訪(fǎng)問(wèn)權限?；凇靶枰馈钡幕A分配權限，以防止錯誤的人訪(fǎng)問(wèn)。
• 教育您的員工——培訓您的員工以防止他們無(wú)意中泄露敏感信息。

5. 不安全的 API

采用 API 對企業(yè)有利，但對安全團隊來(lái)說(shuō)卻是一場(chǎng)噩夢(mèng)。盡管 API 旨在簡(jiǎn)化云計算流程，但它們并不總是非黑即白的。有一個(gè)灰色區域，如果 API 不安全，黑客可能會(huì )利用私人信息。API 安全性不足是導致云數據泄露的主要原因之一。Gartner預測，到 2022 年，API 將成為網(wǎng)絡(luò )攻擊中最常用的載體。

API 安全最佳實(shí)踐

• 全面的身份驗證和授權策略——API 應設計有令牌、簽名、配額、加密、API 網(wǎng)關(guān)等，以確保 API 安全。
• Web 應用程序防火墻 – 將基于 Web 的漏洞利用防御應用于云中的 API
• 選擇標準 API 框架 - 僅在設計時(shí)考慮到安全性的 API 上中繼。檢查其安全方面并確定它是否足夠安全以集成 3rd 方應用程序。

包起來(lái)

向云環(huán)境的轉變?yōu)楣咎峁┝嗽诓环€定的業(yè)務(wù)環(huán)境中保持競爭力所需的可擴展性和靈活性。同時(shí)，請記住，如果您不利用安全最佳實(shí)踐，云遷移會(huì )使您的公司面臨安全漏洞。不要讓這種情況發(fā)生在你身上。主動(dòng)阻止他們在第一次嘗試！