2018年已經(jīng)到來，IT安全團隊在這一年中將繼續(xù)努力確保他們的 云部署 安全。人們需要注意與API、物聯(lián)網(wǎng)以及人為錯誤相關(guān)的常見風險。

雖然保護數(shù)據(jù)的需求并不新鮮，但企業(yè)云的使用情況的變化使傳統(tǒng)的安全模型變得更加復雜，這為用戶和提供商帶來了新的風險。

以下展望一下2018年企業(yè)將面臨的五個云安全威脅，以及防范這些威脅的最佳實踐。

1．缺乏責任感

一些組織錯誤地認為，由于他們的工作負載在云端，保護其工作負載的安全不再是他們的工作。但事實上， 云計算 提供商沒有義務(wù)保護用戶的工作負載或數(shù)據(jù)，確保安全并沒有列在服務(wù)級別協(xié)議中。這意味著云端的數(shù)據(jù)保留、恢復能力和安全性主要是用戶的責任，而不是云計算提供商的責任。

企業(yè)務(wù)必了解其云計算提供商的共享責任模式以及需要采取哪些步驟來保護其云工作負載。

此外，通過分布在兩個或更多云區(qū)域的冗余工作負載和存儲服務(wù)，可以降低數(shù)據(jù)丟失的風險，實施進一步的數(shù)據(jù)保護實踐（如快照，備份和恢復），使用數(shù)據(jù)加密，并確保妥善管理和保護加密密鑰。

2．安全工具和測試不足

公共云計算提供商提供一系列工具和服務(wù)，旨在提高云計算的安全性，驗證云資源的安全狀態(tài)，并減輕攻擊。例如，亞馬遜網(wǎng)絡(luò)服務(wù)提供虛擬私有云、應(yīng)用程序防火墻、基于本地傳輸層安全性的加密，以及專用連接等服務(wù)以避免來自公共互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊。用戶可以利用Google Stackdriver和Azure Monitor等監(jiān)控工具來識別潛在的云安全威脅。

進行滲透測試，預(yù)測系統(tǒng)如何響應(yīng)攻擊并發(fā)現(xiàn)漏洞。這些測試實質(zhì)上授權(quán)對系統(tǒng)進行模擬攻擊以識別薄弱點。云計算提供商允許并協(xié)助對授權(quán)資源進行滲透測試。

云計算用戶幾乎不可能應(yīng)對和處理某些網(wǎng)絡(luò)攻擊，例如正在進行的分布式拒絕服務(wù)（DDoS）攻擊。這是因為這些類型的攻擊可能導致云計算工作負載無法響應(yīng)。由于越來越多的云資源需要擴展以滿足惡意流量的需求，因此應(yīng)對DDoS攻擊也可能增加大量的成本。而用戶使用提供商的DDoS防護服務(wù)可以自動發(fā)現(xiàn)和減輕這些云計算的安全威脅。

3．人為錯誤

人的因素仍然是IT安全中最薄弱的環(huán)節(jié)之一。而在云計算中，人為錯誤的風險會增加，因為泄露或盜用的憑證可能會對應(yīng)用程序和數(shù)據(jù)造成嚴重破壞。網(wǎng)絡(luò)釣魚、欺詐和其他形式的社交工程使黑客竊取憑據(jù)并可能劫持云賬戶。但是請記住，并非所有的云計算安全威脅都來自外部，企業(yè)更需防范內(nèi)部攻擊。

組織還面臨著認證執(zhí)行力度不夠、密碼強度較弱、身份和訪問管理配置不當，以及其他安全協(xié)議的問題。薄弱的防御措施不僅將會遭到更多的攻擊，而且會導致員工犯下代價高昂的錯誤或采取不正當?shù)男袆印?/p>

防范來自人為錯誤的云計算安全威脅有很多方法。企業(yè)的工作人員應(yīng)該為用戶提供安全教育和認證，編寫明確可接受的使用策略，并應(yīng)用其他安全最佳實踐。例如，云計算賬戶所有者不應(yīng)使用或顯示根證書；確保為每個用戶或組創(chuàng)建和配置唯一的憑據(jù)。

4．易受攻擊的系統(tǒng)和API

API使軟件能夠連接到外部服務(wù)，包括來自云計算提供商的服務(wù)。例如，企業(yè)可能會開發(fā)一個應(yīng)用程序，使用多個API來訪問和交換加密的數(shù)據(jù)與云計算提供商的存儲資源。這些接口和API中的缺陷將會引入新的云計算安全威脅。

對軟件漏洞最好的防御是開發(fā)者和運營人員的勤勉和及時的糾正措施。其實施的關(guān)鍵任務(wù)（如漏洞掃描、報告、補丁管理和配置執(zhí)行）可以幫助找到并減輕云端的軟件漏洞。高級開發(fā)策略還可以實現(xiàn)復雜的威脅建模、詳細的代碼安全性檢查和詳細的滲透測試。

5．未受保護的物聯(lián)網(wǎng)設(shè)備

未來幾年，將會增加數(shù)以百億計的配備個人數(shù)據(jù)采集傳感器和執(zhí)行器的物聯(lián)網(wǎng)（IoT）設(shè)備。每個設(shè)備都是一個配置IP地址的網(wǎng)絡(luò)端點。糟糕的軟件設(shè)計、配置錯誤和其他疏漏可能會導致對物聯(lián)網(wǎng)設(shè)備的惡意操作，并暴露設(shè)備數(shù)據(jù)。

物聯(lián)網(wǎng)設(shè)備需要進行大量的自動化設(shè)置、配置和修補。單一的錯誤或疏忽可能會在不知不覺中通過使用自動物聯(lián)網(wǎng)管理工具而增加，并創(chuàng)造數(shù)千甚至數(shù)百萬新的攻擊向量。

威脅不僅僅來自收集數(shù)據(jù)的傳感器。無數(shù)的物聯(lián)網(wǎng)執(zhí)行器響應(yīng)通過網(wǎng)絡(luò)發(fā)送的命令，包括通過云端托管的工作負載。

企業(yè)需要確保下一代物聯(lián)網(wǎng)設(shè)備具有強大的網(wǎng)絡(luò)安全功能。另外，定期檢查物聯(lián)網(wǎng)設(shè)備的設(shè)置和管理，確保它們保持最安全的設(shè)備狀態(tài)。工作人員的經(jīng)驗是至關(guān)重要的，采用的工具必須能夠提供日志記錄和警報功能，記錄隨時間發(fā)生的任何變化。