（文章來源：西部數(shù)碼）

數(shù)據(jù)和各類服務(wù)向云端遷移不禁讓很多企業(yè)開始重新思考自己的網(wǎng)絡(luò)安全體系。企業(yè)上云后究竟會(huì)面臨什么樣的安全風(fēng)險(xiǎn)？對(duì)乙方來說，本文是一個(gè)可作參考的 checklist——我采購的云安全工具與服務(wù)是否能夠保護(hù)我所有的敏感數(shù)據(jù)？是否能夠抵御以下每一項(xiàng)細(xì)分的云安全威脅？是否能夠防御云環(huán)境中的六大攻擊模式？

對(duì)于安全廠商來說，也可以反思自己的云安全產(chǎn)品與服務(wù)現(xiàn)狀：我現(xiàn)有的云安全能力能夠保護(hù)哪些敏感數(shù)據(jù)？能夠抵御哪些細(xì)分的云安全威脅？針對(duì)多樣的云攻擊模式，我已經(jīng)具備哪些對(duì)應(yīng)的解決方案？2018 年 10 月，邁克菲發(fā)布了一個(gè)名為《Cloud Adoption and Risk Report 2018》的報(bào)告。該研究表明，2018 年通過云共享敏感數(shù)據(jù)的數(shù)量比上一年增加 53％——這是一個(gè)巨大的漲幅。

邁克菲的報(bào)告指出，云上的所有文件中，有 21% 是敏感數(shù)據(jù)，并且其中有 48% 的敏感文件最終會(huì)被共享。僅去年一年就有超過 28% 的機(jī)密數(shù)據(jù)存儲(chǔ)在云端。敏感數(shù)據(jù)包括企業(yè)機(jī)密數(shù)據(jù) (27%)、電子郵件數(shù)據(jù) (20%)、密碼保護(hù)數(shù)據(jù) (17%)、個(gè)人身份信息 (PII) (16%)、付款信息 (12%) 以及個(gè)人病歷 (9%)。隨著人們對(duì)云計(jì)算的信任度和依賴度不斷提高，云上的機(jī)密數(shù)據(jù)也面臨了越來越高的安全風(fēng)險(xiǎn)。

而被黑客竊取不是這些數(shù)據(jù)所面臨的唯一風(fēng)險(xiǎn)。邁克菲發(fā)現(xiàn)，每個(gè)企業(yè)平均有 14 個(gè)配置錯(cuò)誤的 IaaS（基礎(chǔ)架構(gòu)即服務(wù)）在運(yùn)行，每月平均有 2200 個(gè)錯(cuò)誤配置引起的安全事件發(fā)生。而 SANS 今年 5 月發(fā)布了《 2019 年云安全報(bào)告》，調(diào)查樣本達(dá)數(shù)百個(gè)，涵蓋金融、IT、政府等多個(gè)行業(yè)，所在企業(yè)規(guī)?？缍却?、地域分布廣，從事職業(yè)包括安全分析師、IT部門管理人員、CSO、CISO、合規(guī)分析師等等。

該調(diào)查顯示，云上存儲(chǔ)量最大的是與商業(yè)智能相關(guān)的數(shù)據(jù) (48.2%)，知識(shí)產(chǎn)權(quán)類數(shù)據(jù)幾乎持平 (47.7%)，其次是客戶個(gè)人數(shù)據(jù) (47.7%) 和財(cái)務(wù)數(shù)據(jù) (41.7%)，另外存儲(chǔ)量較大的還包括企業(yè)員工信息 (37.7%)。詳見下圖：云安全廠商 Alert Logic 曾統(tǒng)計(jì)過一組關(guān)于與本地?cái)?shù)據(jù)中心相比，每種形式的云環(huán)境所面臨的風(fēng)險(xiǎn)性質(zhì)和數(shù)量的數(shù)據(jù)。該調(diào)查總共歷時(shí) 18 個(gè)月，分析了 3800 多家客戶 147 PB 的數(shù)據(jù)，對(duì)安全事件進(jìn)行量化和分類。主要發(fā)現(xiàn)如下：

在混合云環(huán)境下，每個(gè)用戶平均遭遇的安全事件數(shù)最高，達(dá)977件，其次是托管私有云 (684)、本地?cái)?shù)據(jù)中心 (612) 和公共云 (405)。到目前為止，最常見的事件類型是 Web 應(yīng)用程序攻擊 (75％)，其次是暴力攻擊 (16％)、偵察 (5％) 與服務(wù)器端勒索軟件 (2％)。Web 應(yīng)用程序攻擊最常見的方法是 SQL (47.74％)，其次是 Joomla (26.11％)、Apache Struts (10.11％) 和 Magento (6.98％)。

第二組云環(huán)境所面臨威脅的數(shù)據(jù)仍來自于 SANS InsTItute 的《 2019 年云安全報(bào)告》。該調(diào)查發(fā)現(xiàn)，最嚴(yán)重的云威脅是身份劫持 (Account or credenTIal hijacking0，達(dá)到 48.9%，其次是云服務(wù)的錯(cuò)誤配置 (42.2%)，該數(shù)據(jù)也與前文邁克菲研究報(bào)告中發(fā)現(xiàn)的現(xiàn)象相吻合——“黑客攻擊不是云上敏感數(shù)據(jù)所面臨的唯一風(fēng)險(xiǎn)，錯(cuò)誤配置問題也是導(dǎo)致大量安全事件的主要原因”。

排名第三的威脅是內(nèi)部用戶的權(quán)限濫用 (Privileged user abuse)。其它威脅還包括未授權(quán)的應(yīng)用程序組件、不安全的 API 接口、“影子IT”、拒絕服務(wù)攻擊、敏感數(shù)據(jù)直接從云應(yīng)用上外泄、利用云廠商本身存在的漏洞或開放的 API、虛擬化攻擊、與其它托管云應(yīng)用交叉使用過程中產(chǎn)生的安全風(fēng)險(xiǎn)等等。

對(duì)未知程序進(jìn)行白名單訪問攔截，包括對(duì)組織中使用的每個(gè)應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)評(píng)估。 掌握整個(gè)修復(fù)過程并提高修復(fù)工作的優(yōu)先級(jí)。 根據(jù)當(dāng)前用戶職責(zé)限制訪問權(quán)限——對(duì)應(yīng)用程序與操作系統(tǒng)的權(quán)限進(jìn)行實(shí)時(shí)更新。隨著越來越多企業(yè)向私有云和公有云中的虛擬化和容器化數(shù)據(jù)中心過渡，傳統(tǒng)的安全防御措施顯然力不從心。很多安全專家認(rèn)為安全工具必須適應(yīng)虛擬基礎(chǔ)架構(gòu)之間或其中的的新界限，在恰當(dāng)?shù)臅r(shí)間部署在合適的位置上。

云計(jì)算的便利性和適用性在科技飛速發(fā)展的今天已經(jīng)體現(xiàn)得淋漓盡致，不但優(yōu)化了用戶的采購和管理等工作，還為物聯(lián)網(wǎng)和加密貨幣的新技術(shù)應(yīng)用提供了有利條件。但是云環(huán)境中的業(yè)務(wù)安全與數(shù)據(jù)安全問題也變得更加令人擔(dān)憂?？傮w來說，云安全的整體發(fā)展盡管緩慢，但仍在正向改善。很多云安全廠商也在努力彌合云上與云下安全措施的實(shí)施差距，根據(jù)云環(huán)境獨(dú)有的特點(diǎn)定向研發(fā)安全產(chǎn)品。
? ? ?