2021-03-18 分類: 網(wǎng)站建設(shè)
對(duì)于數(shù)據(jù)安全問(wèn)題,TierPoint也有自己的見(jiàn)解。2021年我們將面臨哪些云數(shù)據(jù)安全問(wèn)題?TierPoint提出了以下5種威脅。
?
一般來(lái)說(shuō),采購(gòu)云服務(wù)也就意味著你默認(rèn)與該供應(yīng)商的其它客戶共享他們的基礎(chǔ)架構(gòu)、平臺(tái)或應(yīng)用。供應(yīng)商的底層基礎(chǔ)架構(gòu)應(yīng)該在多租戶基礎(chǔ)架構(gòu)(IaaS)、平臺(tái)即服務(wù)(PaaS)或軟件即服務(wù)(SaaS)解決方案的客戶之間采取強(qiáng)大的隔離措施(但在實(shí)際情況中,真正做到這一點(diǎn)的供應(yīng)商到底有多少我們無(wú)從得知)。
諸如管理程序之類的共享平臺(tái)組件中一旦產(chǎn)生漏洞或配置錯(cuò)誤,攻擊者就有可能趁虛而入,攻擊該供應(yīng)商系統(tǒng),最終殃及大部分甚至所有客戶的云端數(shù)據(jù),造成后果極為嚴(yán)重的信息泄露事件。
保護(hù)云數(shù)據(jù)安全的關(guān)鍵措施之一就是針對(duì)共享基礎(chǔ)架構(gòu)管理制定嚴(yán)格的流程。圍繞客戶端實(shí)現(xiàn)和數(shù)據(jù)管理的好實(shí)踐有助于防范共享技術(shù)的漏洞。此外,還需要對(duì)內(nèi)部服務(wù)交付和面向客戶的資源進(jìn)行例行的漏掃和以合規(guī)為重點(diǎn)的掃描。
DDoS攻擊指的是通過(guò)受感染計(jì)算機(jī)/互聯(lián)網(wǎng)設(shè)備上的僵尸網(wǎng)絡(luò)發(fā)送大量垃圾流量,導(dǎo)致整個(gè)網(wǎng)絡(luò)、網(wǎng)站和應(yīng)用程序徹底癱瘓的過(guò)程。最著名的案例之一發(fā)生在2016年10月,DNS服務(wù)提供商Dyn公司的Managed DNS基建遭遇了一波非常嚴(yán)重的DDoS攻擊,不僅是Dyn,整個(gè)美國(guó)、歐洲的主要網(wǎng)站均淪陷。
DDoS攻擊還有一個(gè)容易被人忽略的危害屬性是為數(shù)據(jù)盜竊、惡意軟件感染“打掩護(hù)”,最終對(duì)云數(shù)據(jù)安全產(chǎn)生威脅。例如,英國(guó)電信運(yùn)營(yíng)商Carphone Warehouse曾在2015年曝光受到大量在線流量的攻擊,同時(shí)240萬(wàn)在線用戶的個(gè)人信息被竊取,其中包含加密的信用卡數(shù)據(jù)。
更悲催的是,DDoS攻擊發(fā)起成本低廉、持續(xù)時(shí)間長(zhǎng)(數(shù)小時(shí)甚至數(shù)天)。有資料顯示,花150美金就能在暗網(wǎng)上買到針對(duì)小型組織展開(kāi)為期一周的攻擊服務(wù)。
Web service接口(也稱為web API或應(yīng)用程序編程接口)能夠?yàn)殚_(kāi)發(fā)人員和黑客提供云應(yīng)用程序的控制權(quán)。web API的“合法”作用是提供集成、管理、監(jiān)控以及其它云服務(wù)。Web API一旦落入非法用戶之手,他們就有可能訪問(wèn)敏感數(shù)據(jù)、禁用服務(wù)器、更改應(yīng)用程序配置設(shè)置、通過(guò)云資源竊取發(fā)起其它攻擊,最終對(duì)云數(shù)據(jù)安全產(chǎn)生嚴(yán)重危害。
云API中的數(shù)據(jù)安全往往比較脆弱。RedLock在其2017年的《云基礎(chǔ)架構(gòu)安全趨勢(shì)》報(bào)告中提出40%使用云存儲(chǔ)服務(wù)的企業(yè)無(wú)意中都公開(kāi)了一項(xiàng)或多項(xiàng)此類服務(wù)。
為了增強(qiáng)云數(shù)據(jù)的安全性,云服務(wù)API應(yīng)通過(guò)加密密鑰進(jìn)行訪問(wèn),用于API合法用戶的驗(yàn)證。開(kāi)發(fā)人員和云提供商都應(yīng)將其密鑰存儲(chǔ)在安全的文件存儲(chǔ)或硬件設(shè)備中。
美國(guó)聯(lián)邦調(diào)查局有資料顯示,2016年每天發(fā)生4000起勒索軟件攻擊事件,相比2015年增長(zhǎng)了300%。2017年,“想哭”勒索軟件損毀了全球無(wú)數(shù)企事業(yè)單位的海量數(shù)據(jù)。其中全球制藥業(yè)巨頭Merck因?yàn)椤跋肟蕖苯K止了其生產(chǎn)和配方作業(yè),一個(gè)月后,又因勒索軟件的破壞導(dǎo)致無(wú)法完成訂單交付。
勒索病毒的傳播途徑多樣,例如受感染的電子郵件、視頻、PDF或網(wǎng)站,能夠連接的設(shè)備或者通過(guò)密碼破解進(jìn)行感染。思科在其2017年年中網(wǎng)絡(luò)安全報(bào)告中指出,越來(lái)越多單位的安全措施都在不斷完善,因此很多犯罪分子又開(kāi)始采用電子郵件這種傳統(tǒng)的感染方式——看似無(wú)害的郵件內(nèi)容,以及帶宏病毒的郵件附件。
勒索軟件會(huì)對(duì)受感染計(jì)算機(jī)中的一切加密,因此我們必須在云上或另一個(gè)系統(tǒng)中進(jìn)行資料備份。
狡猾的APT威脅能夠好地藏匿于計(jì)算基礎(chǔ)架構(gòu)中,持續(xù)數(shù)月甚至數(shù)年地在目標(biāo)受害者的網(wǎng)絡(luò)中竊取數(shù)據(jù)、知識(shí)產(chǎn)權(quán),獲取不法經(jīng)濟(jì)利益或從事網(wǎng)絡(luò)間諜活動(dòng)。通常來(lái)說(shuō),APT威脅檢測(cè)難度大,防御方式也不斷演變。APT所造成的數(shù)據(jù)泄露往往發(fā)生于無(wú)形之中,發(fā)現(xiàn)難度大。
云安全聯(lián)盟在其《The Treacherous 12–Top Threats to Cloud Computing + Industry Insights》報(bào)告中指出,APT威脅通過(guò)魚(yú)叉式釣魚(yú)、直接攻擊、USB設(shè)備中的攻擊代碼等技術(shù)或通過(guò)對(duì)合作方網(wǎng)絡(luò)的滲透以及使用不安全的或第三方網(wǎng)絡(luò)等方式潛入包括云服務(wù)在內(nèi)的系統(tǒng)。
TierPoint研究人員認(rèn)為,高級(jí)安全控制措施和嚴(yán)格的流程管理是防范云數(shù)據(jù)安全威脅的關(guān)鍵。除此之外,針對(duì)數(shù)據(jù)內(nèi)容本身的安全防護(hù)也至關(guān)重要,在面對(duì)各種漏洞和攻擊時(shí),如果已經(jīng)對(duì)需要保護(hù)的核心數(shù)據(jù)做了檢查定位、脫敏和監(jiān)控等技術(shù)手段的防護(hù),那么云數(shù)據(jù)的安全風(fēng)險(xiǎn)將大大降低。
網(wǎng)站題目:2021年我們將面臨哪些云數(shù)據(jù)安全問(wèn)題?
URL鏈接:http://jinyejixie.com/news/105390.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、云服務(wù)器、網(wǎng)站建設(shè)、面包屑導(dǎo)航、品牌網(wǎng)站建設(shè)、用戶體驗(yàn)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容