如今，越來越多的組織將其業(yè)務(wù)從內(nèi)部部署基礎(chǔ)設(shè)施遷移到云平臺。根據(jù)調(diào)研機構(gòu)Gartner公司的預(yù)測，到2022年，云計算服務(wù)行業(yè)的增長速度將比整體IT服務(wù)快三倍。典型的業(yè)務(wù)依賴于公共云和私有云的組合以及傳統(tǒng)的內(nèi)部部署基礎(chǔ)設(shè)施。

如今，越來越多的組織將其業(yè)務(wù)從內(nèi)部部署基礎(chǔ)設(shè)施遷移到云平臺。根據(jù)調(diào)研機構(gòu)Gartner公司的預(yù)測，到2022年，云計算服務(wù)行業(yè)的增長速度將比整體IT服務(wù)快三倍。典型的業(yè)務(wù)依賴于公共云和私有云的組合以及傳統(tǒng)的內(nèi)部部署基礎(chǔ)設(shè)施。隨著越來越多的企業(yè)將關(guān)鍵業(yè)務(wù)轉(zhuǎn)移到云計算應(yīng)用程序(例如，選擇Salesforce進行客戶關(guān)系管理或使用Microsoft Azure托管其數(shù)據(jù)庫)，網(wǎng)絡(luò)攻擊手段不斷發(fā)展。

不過，隨著混合云和多云戰(zhàn)略的不斷采用，僅僅保護云中的資產(chǎn)是不夠的。組織還需要保護進出云平臺以及云平臺之間和云平臺內(nèi)部的數(shù)據(jù)途徑。外部托管的服務(wù)和應(yīng)用程序并不是孤立的，它們可以連接到企業(yè)的運營環(huán)境。對擴展生態(tài)系統(tǒng)的一部分帶來風(fēng)險就會對其整體帶來風(fēng)險。

此外，主要的云計算提供商只提供有限的內(nèi)部部署安全控制措施。這些通常包括安全組、Web應(yīng)用程序防火墻和日志流。但是，這些安全控制措施本身不足以抵御網(wǎng)絡(luò)攻擊和高級持續(xù)威脅(APT)。這存在許多漏洞，尤其是那些使網(wǎng)絡(luò)攻擊者在云中和云平臺之間橫向移動幾乎完全不受阻礙的漏洞。

全方位的威脅

然而，組織可以跨混合生態(tài)系統(tǒng)保護業(yè)務(wù)，在網(wǎng)絡(luò)攻擊者能夠觸及業(yè)務(wù)關(guān)鍵資產(chǎn)之前就阻止其惡意攻擊。云計算安全戰(zhàn)略需要解決四個潛在的問題：

• 從一個云平臺轉(zhuǎn)到另一個云平臺：網(wǎng)絡(luò)攻擊者在侵入一個云平臺環(huán)境之后，其目標(biāo)可能是轉(zhuǎn)到另一個云平臺或在同一云計算基礎(chǔ)設(shè)施中分段的其他系統(tǒng)。
• 在云平臺資產(chǎn)之間：例如，嘗試獲得更高的特權(quán)以訪問關(guān)鍵服務(wù)，例如存儲或配置資產(chǎn);或破壞應(yīng)用程序服務(wù)器(例如Tomcat)，以攻擊其各自連接的云計算數(shù)據(jù)庫。
• 從組織網(wǎng)絡(luò)到云計算網(wǎng)絡(luò)：惡意行為者可能試圖捕獲內(nèi)部DevOps團隊使用的Microsoft Azure憑據(jù)，以獲得對云計算系統(tǒng)的更高特權(quán)訪問。在進行這項工作之前，可能需要在組織網(wǎng)絡(luò)內(nèi)進行大量橫向移動以到達DevOps機器。一旦進入Azure環(huán)境，網(wǎng)絡(luò)攻擊者就可以開始努力在系統(tǒng)和服務(wù)之間移動，尋找有價值的數(shù)據(jù)以及特權(quán)用戶和角色。
• 從云計算到內(nèi)部部署資產(chǎn)：在這種情況下，惡意攻擊者會使用多種技術(shù)(例如暴力攻擊)來破壞面向公眾的Web應(yīng)用程序服務(wù)器，并將其作為獲取后端企業(yè)系統(tǒng)憑據(jù)的工具。一旦網(wǎng)絡(luò)攻擊者獲得訪問權(quán)限，他可能最終將目標(biāo)鎖定在內(nèi)部部署數(shù)據(jù)庫上，并希望從云平臺連接內(nèi)部部署環(huán)境，或者可能是有擁有Azure 訪問權(quán)限的具有惡意的內(nèi)部人員試圖轉(zhuǎn)移到另一個目標(biāo)。

為了打擊網(wǎng)絡(luò)攻擊者，這種方法仍然很常見：發(fā)現(xiàn)、監(jiān)視和消除連接和憑證違規(guī)行為，同時提倡基于端點的欺騙策略，在整個網(wǎng)絡(luò)的端點和服務(wù)器上散布對網(wǎng)絡(luò)攻擊者有用的偽造對象。現(xiàn)在還提供了一些新功能，可以解決針對云計算環(huán)境中的許多挑戰(zhàn)，防止網(wǎng)絡(luò)攻擊者移動到任何地方。

廣泛的欺騙和更高的可見性

以下優(yōu)秀實踐將使安全團隊能夠在云生態(tài)系統(tǒng)中獲得更大的可見性和潛在的漏洞。

• 發(fā)現(xiàn)并糾正特權(quán)證書違規(guī)：在所有常見的saas應(yīng)用程序(包括G Suite、Box、Salesforce等)上，查看不安全的使用情況和用戶，可以緩解由影子IT管理者、未啟用多因素身份驗證的用戶、外部帳戶和已禁用帳戶創(chuàng)建的違規(guī)行為。
• 管理云攻擊面：可視化并自動發(fā)現(xiàn)哪些云計算數(shù)據(jù)是需要保護的重要資產(chǎn)，查找并消除針對該數(shù)據(jù)的常見攻擊者途徑。
• 將特權(quán)訪問和違規(guī)行為鏈接到云端并返回。映射和連接云計算服務(wù)提供商的高特權(quán)用戶，并將他們連接到內(nèi)部部署目錄服務(wù)中的信息。發(fā)現(xiàn)并識別憑證和saas應(yīng)用程序的緩存連接，以及來自授權(quán)部門的saas應(yīng)用程序的憑證信息的存在。這為安全團隊提供了云計算內(nèi)部和外部的全面可見性和修復(fù)能力。
• 創(chuàng)建監(jiān)視和補救規(guī)則：實施程序以確定應(yīng)用于云計算用戶和應(yīng)用程序的配置錯誤或保護層不足，并糾正這些違規(guī)行為。

由于組織看到了效率和降低成本的可能性，因此云遷移繼續(xù)進行。但是擴大風(fēng)險范圍也是一種現(xiàn)實的可能性，組織必須對這些風(fēng)險進行評估，并利用當(dāng)今的功能來提高對云計算環(huán)境的可見性和監(jiān)視能力。欺騙技術(shù)在使網(wǎng)絡(luò)攻擊者遠離關(guān)鍵數(shù)據(jù)(無論他們?nèi)绾螄L試接近關(guān)鍵數(shù)據(jù))方面發(fā)揮著至關(guān)重要的作用。這種廣泛的安全性將使組織有信心在內(nèi)部部署數(shù)據(jù)中心和云平臺中擴展業(yè)務(wù)活動。

本文標(biāo)題：阻止云計算攻擊的安全指南
標(biāo)題網(wǎng)址：http://jinyejixie.com/news28/104428.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站制作、網(wǎng)站設(shè)計公司、網(wǎng)站收錄、企業(yè)建站、建站公司、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)