龐雜的數(shù)據(jù)、應用正逐漸向云端遷移，云服務給予數(shù)據(jù)使用、存儲、共享的更多可能性。而上云時代，海量分析與負載背后，也帶來了一系列新的安全威脅與挑戰(zhàn)。

1、數(shù)據(jù)泄露

數(shù)據(jù)泄露威脅繼續(xù)保持第一的位置，也是最嚴重的云安全威脅。數(shù)據(jù)泄露行為可能會嚴重損害企業(yè)的聲譽和財務，還可能會導致知識產(chǎn)權（IP）損失和重大法律責任。

防治建議

-攻擊者渴望竊取數(shù)據(jù)，因此企業(yè)需要定義其數(shù)據(jù)的價值及其丟失的影響；

-明確哪些人有權訪問數(shù)據(jù)是解決數(shù)據(jù)保護問題的關鍵；

-可通過互聯(lián)網(wǎng)訪問的數(shù)據(jù)最容易受到錯誤配置或漏洞利用的影響；

-加密可以保護數(shù)據(jù)，但需要在性能和用戶體驗之間進行權衡；

-企業(yè)需要可靠、經(jīng)過測試的事件響應計劃，并將云服務提供商考慮在內(nèi)。

2、配置錯誤和變更控制不足

這是CSA云安全威脅榜單中出現(xiàn)的新威脅，考慮到近年來越來越多的企業(yè)都因為疏忽或意外通過云公開泄露數(shù)據(jù)，該威脅上榜不足為奇。如Exactis事件，其中云服務商因配置錯誤公開泄露了一個包含2.3億美國消費者的個人數(shù)據(jù)的Elasticsearch數(shù)據(jù)庫。

防治建議

-云端資源的復雜性使其難以配置；

-不要期望傳統(tǒng)的控制和變更管理方法在云中有效；

-使用自動化和技術，這些技術會連續(xù)掃描錯誤配置的資源。

3、缺乏云安全架構和策略

這是個云計算與生俱來的“古老”問題。對于很多企業(yè)來說，最大程度縮短將系統(tǒng)和數(shù)據(jù)遷移到云所需的時間的優(yōu)先級，要高于安全性。結(jié)果，企業(yè)往往會選擇并非針對其設計的云安全基礎架構和云計算運營策略。這一問題出現(xiàn)在2020年云安全威脅清單中表明，更多的企業(yè)開始意識到這是一個嚴重問題。

防治建議

-安全體系結(jié)構需要與業(yè)務目標保持一致；

-開發(fā)和實施安全體系結(jié)構框架；

-保持威脅模型為最新；

-部署持續(xù)監(jiān)控功能。

4、身份、憑證、訪問和密鑰管理不善

威脅清單中的另一個新威脅是對數(shù)據(jù)、系統(tǒng)和物理資源（如服務器機房和建筑物）的訪問管理和控制不足。報告指出，云計算環(huán)境中，企業(yè)需要改變與身份和訪問管理（IAM）有關的做法。

防治建議

-安全賬戶，包括使用雙重身份驗證；

-對云用戶和身份使用嚴格的身份和訪問控制-特別是限制root賬戶的使用；

-根據(jù)業(yè)務需求和最小特權原則隔離和細分賬戶、虛擬私有云和身份組；

-采用程序化、集中式方法進行密鑰輪換；

-刪除未使用的憑據(jù)和訪問特權。

5、賬戶劫持

隨著網(wǎng)絡釣魚攻擊變得更加有效和更有針對性，攻擊者獲得高特權賬戶訪問權的風險非常大。網(wǎng)絡釣魚不是攻擊者獲取憑據(jù)的唯一方法。他們還可以通過入侵云服務等手段來竊取賬戶。

一旦攻擊者可以使用合法賬戶進入系統(tǒng)，就可能造成嚴重破壞，包括盜竊或破壞重要數(shù)據(jù)，中止服務交付或財務欺詐。

防治建議

-賬戶憑證被盜時，不要只是重置密碼，要從源頭解決根本問題；

-深度防御方法和強大的IAM控制是最好的防御方法。

6、內(nèi)部威脅

內(nèi)部威脅者未必都是惡意的，很多員工疏忽可能會無意間使數(shù)據(jù)和系統(tǒng)面臨風險。根據(jù)Ponemon Institute的2018年內(nèi)部威脅成本研究，64%的內(nèi)部威脅事件是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的云服務器，在個人設備上存儲敏感數(shù)據(jù)或成為網(wǎng)絡釣魚電子郵件的受害者。

防治建議

-對員工進行充分的安全意識和行為準則的培訓和教育，以保護數(shù)據(jù)和系統(tǒng)。使安全意識教育常態(tài)化，成為一個持續(xù)的過程；

-定期審核和修復配置錯誤的云服務器；

-限制對關鍵系統(tǒng)的訪問。

7、不安全的接口和API

Facebook曾經(jīng)歷了一次嚴重的數(shù)據(jù)泄露事件，超5000萬個賬戶受到影響，問題的根源就是新服務View中不安全的API。尤其是當與用戶界面相關聯(lián)時，API漏洞往往是攻擊者竊取用戶或員工憑據(jù)的熱門途徑。

防治建議

-采用良好的API做法，例如監(jiān)督庫存、測試、審計和異?；顒颖Ｗo等項目；

-保護API密鑰并避免重用；

-考慮采用開放的API框架，例如開放云計算接口（OCCI）或云基礎架構管理接口（CIMI）。

8、控制面薄弱

控制平面涵蓋了數(shù)據(jù)復制、遷移和存儲的過程。若負責人員無法完全控制數(shù)據(jù)基礎架構的邏輯、安全性和驗證，則控制平面將很薄弱。相關人員需要了解安全配置，數(shù)據(jù)流向以及體系結(jié)構盲點或弱點。否則可能會導致數(shù)據(jù)泄漏、數(shù)據(jù)不可用或數(shù)據(jù)損壞。

防治建議

-確保云服務提供商提供履行法律和法定義務所需的安全控制；

-進行盡職調(diào)查以確保云服務提供商擁有足夠的控制平面。

9、元結(jié)構和應用程序結(jié)構故障

云服務商的元結(jié)構（Metastructure）保存了如何保護其系統(tǒng)的安全性信息，并可通過API調(diào)用。這些API可幫助客戶檢測未經(jīng)授權的訪問，同時也包含高度敏感的信息，例如日志或?qū)徍讼到y(tǒng)數(shù)據(jù)。元結(jié)構也是潛在的故障點，可能使攻擊者能夠訪問數(shù)據(jù)或破壞云客戶。

防治建議

-確保云服務提供商提供可見性并公開緩解措施；

-在云原生設計中實施適當?shù)墓δ芎涂丶?

-確保云服務提供商進行滲透測試并向客戶提供結(jié)果。

10、元資源使用的可見性差

安全專業(yè)人員普遍抱怨云環(huán)境導致他們看不到檢測和防止惡意活動所需的許多數(shù)據(jù)。CSA將這種可見性挑戰(zhàn)分為兩類：未經(jīng)批準的應用程序使用和未經(jīng)批準的應用程序濫用。

未經(jīng)批準的應用程序本質(zhì)上是影子IT，即員工未經(jīng)IT或安全或技術支持或許可使用的應用程序。任何不符合公司安全性準則的應用程序都可能會招致安全團隊未意識到的風險。經(jīng)許可的應用程序濫用包含很多場景，可能是授權的人員使用批準的應用程序，也可能是外部攻擊者使用被盜的憑據(jù)。安全團隊應當能夠通過檢測非常規(guī)行為來區(qū)分有效用戶和無效用戶。

防治建議

-人員、流程和技術各個環(huán)節(jié)都注重云可見性的提升；

-在公司范圍內(nèi)對云資源使用策略進行強制性培訓；

-讓云安全架構師或第三方風險管理人員查看所有未經(jīng)批準的云服務；

-投資云訪問安全代理（CASB）或軟件定義的網(wǎng)關（SDG）來分析出站活動；

-投資Web應用程序防火墻以分析入站連接；

-在整個組織中實施零信任模型。

11、濫用和惡意使用云服務

攻擊者越來越多地使用合法的云服務來從事非法活動。如使用云服務在GitHub之類的網(wǎng)站上托管偽裝的惡意軟件，發(fā)起DDoS攻擊，分發(fā)網(wǎng)絡釣魚電子郵件、挖掘數(shù)字貨幣、執(zhí)行自動點擊欺詐或?qū)嵤┍┝粢愿`取憑據(jù)。

防治建議

-監(jiān)控員工的云服務濫用情況；

-使用云數(shù)據(jù)丟失防護（DLP）解決方案來監(jiān)視和停止數(shù)據(jù)泄露。