可能破坏企业运营环境的6个云计算安全问题.docxVIP

PAGE 1 PAGE 1 可能破坏企业运营环境的6个云计算安全问题  云计算环境中与安全性有关的弱点或缺陷可能会给企业带来沉重打击。在网络攻击者进行攻击之前，企业需要找出其薄弱环节。  有些企业认为云计算可以自动保护其工作负载和数据免受攻击、盗窃和其他不当行为侵害，这是一种错误的想法。因为即使在云平台中，安全漏洞和潜在的网络攻击也是不可避免的。  云平台是一种多租户环境，可以在分布在全球各地的客户之间共享基础设施和资源。云计算供应商必需努力维护其共享基础设施的完整性。与此同时，云计算是一个自助服务平台，每个客户都必需认真定义其每个工作负载和资源的详细掌握。  在深入研究这些云安全挑战以及如何防范安全风险之前，企业必需了解三种主要危急类型之间的差异：威逼、漏洞、风险。这些术语通常可以互换使用，但是对于IT安全专业人员来说它们具有不同的含义。  ●威逼是指组织必需防范的实际发生的事情，例如拒绝服务(DoS)攻击、人为错误或自然灾难。  ●漏洞是指组织安全态势中的疏忽、漏洞、弱点或其他缺陷。这可能包括配置不当的防火墙、未修补的操作系统或未加密的数据。  ●风险是需要认真评估的组织脆弱性的潜在威逼。例如，有人将未加密的数据存储在公共云中，人为错误可能会导致数据被访问或更改。这可能被认为是必需防范的重大业务风险。  当用户了解公共云漏洞时，他们可以识别潜在的安全漏洞和常见错误。IT团队需要识别并解决各种类型的危急，以防止其系统被利用。以下是六个最常见的云计算的安全问题：  1.配置错误  用户自己负责配置，因此企业的IT团队需要优先把握各种设置和选项。云计算资源受到一系列配置设置的保护，这些设置具体说明白哪些用户可以访问应用程序和数据。配置错误和疏忽可能会泄露数据，并允许误用或更改该数据。  每个云计算供应商都使用不同的配置选项和参数。用户有责任学习和理解承载其工作负载的平台如何应用这些设置。  IT团队可以通过多种方式削减配置错误：  ●除非特权对于特定的业务或应用程序任务是必需的，否则采用并执行最低特权或零信任的策略来阻挡对全部云计算资源和服务的访问。  ●采用云计算服务策略以确保默认状况下资源为私有。  ●创建并使用清楚的业务策略和准则，概述云计算资源和服务所需设置的配置。  ●学习云计算供应商的配置和安全设置，可以考虑学习供应商供应特定的课程和认证。  ●在默认状况下，使用加密来保护静止和传输中的数据。  ●使用Intruder和OpenRaven等工具检查配置错误和审核日志。  2.访问掌握不良  未经授权的用户利用不良的访问掌握绕过薄弱或缺乏的身份验证或授权方法。  例如，恶意行为者利用弱密码来猜测凭据。强大的访问掌握可实现其他要求，例如最小密码长度、大小写混合、标点符号或符号以及频繁更改密码。  访问掌握的安全性可以通过几种常见的策略来增加。  ●强制使用强密码，并要求定期重置。  ●使用多因素身份验证技术。  ●要求用户定期重新认证。  ●采用最低特权或零信任的策略。  ●避免使用第三方访问掌握，而对云平台中的服务和资源采用基于云计算的访问掌握。  3.影子IT  任何人都可以创建公共云帐户，然后可以使用其帐户来供应服务以及迁移工作负载和数据。但是那些不精通安全标准的人常常会误会安全选项——留下可利用的云漏洞。在很多状况下，这种“影子IT”部署甚至可能永久不会识别或报告漏洞。这使得企业在损失发生很久之后才有机会缓解问题。  当今的企业对影子IT的容忍度更高，但实施标准配置和实践至关重要。业务用户、部门和其他实体必需遵守业务的既定标准，以消退漏洞并保持整个组织的安全。  4.担心全的API  不相关的软件产品使用API??进行通信和互操作，而无需了解彼此代码的内部工作原理。API通常需要敏感的业务数据，并授予对这些数据的访问权。很多API被公开以帮助加速采用，使外部开发人员和业务合作伙伴能够访问企业的服务和数据。  但是有时会在没有足够的身份验证和授权的状况下实现API。它们完全向公众开放，因此任何具有互联网连接的人都可以访问并可能危害数据。因此，担心全的API快速成为黑客和其他恶意行为者的主要攻击向量。  无论是使用云计算供应商的API还是创建部署在云中的业务API，使用以下内容开发和使用API??都是很重要的：  ●强身份验证  ●数据加密  ●活动监控和记录  ●访问掌握  开发和实现API的企