2018年五大雲安全威脅須要應對

2018年已經到來，IT安全團隊在這一年中將繼續努力確保他們的雲部署安全。人們須要注意與API、物聯網以及人爲錯誤相關的常見風險。

雖然保護數據的需求並不新鮮，但企業雲的使用狀況的變化使傳統的安全模型變得更加複雜，這爲用戶和提供商帶來了新的風險。

如下展望一下2018年企業將面臨的五個雲安全威脅，以及防範這些威脅的最佳實踐。

1.缺少責任感

一些組織錯誤地認爲，因爲他們的工做負載在雲端，保護其工做負載的安全再也不是他們的工做。但事實上，雲計算提供商沒有義務保護用戶的工做負載或數據，確保安全並無列在服務級別協議中。這意味着雲端的數據保留、恢復能力和安全性主要是用戶的責任，而不是雲計算提供商的責任。

企業務必瞭解其雲計算提供商的共享責任模式以及須要採起哪些步驟來保護其雲工做負載。

此外，經過分佈在兩個或更多雲區域的冗餘工做負載和存儲服務，能夠下降數據丟失的風險，實施進一步的數據保護實踐(如快照，備份和恢復)，使用數據加密，並確保妥善管理和保護加密密鑰。

2.安全工具和測試不足

公共雲計算提供商提供一系列工具和服務，旨在提升雲計算的安全性，驗證雲資源的安全狀態，並減輕攻擊。例如，亞馬遜網絡服務提供虛擬私有云、應用程序防火牆、基於本地傳輸層安全性的加密，以及專用鏈接等服務以免來自公共互聯網的網絡攻擊。用戶能夠利用Google Stackdriver和Azure Monitor等監控工具來識別潛在的雲安全威脅。

進行滲透測試，預測系統如何響應攻擊並發現漏洞。這些測試實質上受權對系統進行模擬攻擊以識別薄弱點。雲計算提供商容許並協助對受權資源進行滲透測試。

雲計算用戶幾乎不可能應對和處理某些網絡攻擊，例如正在進行的分佈式拒絕服務(DDoS)攻擊。這是由於這些類型的攻擊可能致使雲計算工做負載沒法響應。因爲愈來愈多的雲資源須要擴展以知足惡意流量的需求，所以應對DDoS攻擊也可能增長大量的成本。而用戶使用提供商的DDoS防禦服務能夠自動發現和減輕這些雲計算的安全威脅。

3.人爲錯誤

人的因素仍然是IT安全中最薄弱的環節之一。而在雲計算中，人爲錯誤的風險會增長，由於泄露或盜用的憑證可能會對應用程序和數據形成嚴重破壞。網絡釣魚、欺詐和其餘形式的社交工程使黑客竊取憑據並可能劫持雲帳戶。可是請記住，並不是全部的雲計算安全威脅都來自外部，企業更需防範內部攻擊。

組織還面臨着認證執行力度不夠、密碼強度較弱、身份和訪問管理配置不當，以及其餘安全協議的問題。薄弱的防護措施不只將會遭到更多的攻擊，並且會致使員工犯下代價高昂的錯誤或採起不正當的行動。

防範來自人爲錯誤的雲計算安全威脅有不少方法。企業的工做人員應該爲用戶提供安全教育和認證，編寫明確可接受的使用策略，並應用其餘安全最佳實踐。例如，雲計算帳戶全部者不該使用或顯示根證書;確保爲每一個用戶或組建立和配置惟一的憑據。

4.易受攻擊的系統和API

API使軟件可以鏈接到外部服務，包括來自雲計算提供商的服務。例如，企業可能會開發一個應用程序，使用多個API來訪問和交換加密的數據與雲計算提供商的存儲資源。這些接口和API中的缺陷將會引入新的雲計算安全威脅。

對軟件漏洞最好的防護是開發者和運營人員的勤勉和及時的糾正措施。其實施的關鍵任務(如漏洞掃描、報告、補丁管理和配置執行)能夠幫助找到並減輕雲端的軟件漏洞。高級開發策略還能夠實現複雜的威脅建模、詳細的代碼安全性檢查和詳細的滲透測試。

5.未受保護的物聯網設備

將來幾年，將會增長數以百億計的配備我的數據採集傳感器和執行器的物聯網(IoT)設備。每一個設備都是一個配置IP地址的網絡端點。糟糕的軟件設計、配置錯誤和其餘疏漏可能會致使對物聯網設備的惡意操做，並暴露設備數據。

物聯網設備須要進行大量的自動化設置、配置和修補。單一的錯誤或疏忽可能會在不知不覺中經過使用自動物聯網管理工具而增長，並創造數千甚至數百萬新的攻擊向量。

威脅不只僅來自收集數據的傳感器。無數的物聯網執行器響應經過網絡發送的命令，包括經過雲端託管的工做負載。

企業須要確保下一代物聯網設備具備強大的網絡安全功能。另外，按期檢查物聯網設備的設置和管理，確保它們保持最安全的設備狀態。工做人員的經驗是相當重要的，採用的工具必須可以提供日誌記錄和警報功能，記錄隨時間發生的任何變化。

更多Linux諮詢請查看www.linuxprobe.com