權威發佈：雲安全最大威脅及解決辦法

【51CTO.com獨家翻譯】雲安全聯盟（Cloud Security Alliance，CSA）發佈了第一份雲計算安全風險簡明報告，有意與CSA發佈的更冗長的「關鍵區域安全指南」（下載位址：HTTP:// cloudsecurityalliance.org/ csaguide.pdf）成對出現，對於報告中列出的最大威脅，CSA將長達76頁的安全指南濃縮為7個最常見，危害程度最大的威脅，根據這些威脅的描述，CSA也提出了一些策略，盡可能減少損失。 使用者也應該檢查雲服務供應商是否有每項威脅對應的解決方案。 CSA是一個由來自不同科技公司的安全專家和研究人員組成的組織。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=301 alt="" src="HTTP://images.51cto.com/ files/uploadimg/20100309/1523390.jpg" width=406 border=0>圖1 雲安全威脅一直就沒有停止過威脅名單：威脅1：濫用和惡意使用雲計算威脅2：不安全的介面和API威脅3：不懷好意的內部人員威脅4：基礎設施共用問題威脅5：資料丟失或洩漏威脅6：帳戶或服務劫持威脅7：未知的風險威脅1：濫用和惡意使用雲計算網路犯罪開 始傾向于竊取銀行卡密碼和信用卡卡號，惡意軟體如Zeus和InfoStealing木馬將會在雲中變得更強大，濫發垃圾郵件者和惡意程式碼作者可以利用雲服務中的匿名註冊和雲服務模式進行網路犯罪。 解決辦法：嚴格設計首次註冊和驗證過程，實施信用卡欺詐行為監控和協調，監控公共黑名單，查看你自己的網路是否被列為垃圾郵件和惡意軟體來源而被阻止。 威脅2：不安全的介面和API不安全的API通常是想回收舊代碼提高開發速度的結果，品質和安全都得不到保障，API上的協力廠商外掛程式也可能引入更多的複雜性和更多的風險。 解決辦法：瞭解API關聯的依賴鏈，除加密傳輸外，確保實施強大的存取控制。 威脅3：不懷好意的內部人員這是一個眾所周知的威脅，當一個人滲透到組織中，從組織內部發起攻擊時，危害程度更大，如果公司使用了雲服務，威脅將會進一步放大，隨著雲服務的不斷壯大，留給服務供應商做後臺檢查的時間的越來越少。 解決辦法：放慢腳步，做更徹底的檢查，由HR在合同上明確雇員的法律責任，在違反安全規定造成安全事故時有權送交司法機關。 威脅4：基礎設施共用問題IaaS供應商使用共用的，非隔離的基礎設施，當一個攻擊者得逞時，全部伺服器都向攻擊者敞開了大門，即使使用了hypervisor，有些客戶機作業系統也能夠獲得基礎平臺不受控制的訪問權。 解決辦法：開發一個強大的分區和防禦策略，IaaS供應商必須監控環境是否有未經授權的修改和活動。 威脅5：資料丟失或洩漏雲中不斷增長的資料交互放大了資料丟失的風險，因為沒有適當的安全控制和資料監控，很難監控和控制所發生的事情，這增加了錯放上下文記錄，丟失編碼鍵和意外刪除資料的可能。 解決辦法：有一個定義良好，組織得當的金鑰生成、存儲、管理和銷毀策略。 威脅6：帳戶或服務劫持許多常見的攻擊方法仍然可以從攻擊者獲得可重用的憑據，在雲環境中，如果攻擊者能夠獲得你的憑據，他們可以看到你的活動，處理的資料，並給雲服務供應商用戶端導致問題。 解決辦法：禁止使用者和服務之間憑據共用，利用強大的雙因數認證技術，主動檢查是否有未經授權的活動。 威脅7：未知的風險未知的安全性漏洞是雲中真正的危險，軟體版本、安全實踐、代碼更新、漏洞研究和入侵企圖都是消除安全風險的重要因素。 瞭解這個領域需要做更多的工作和調查，做好這方面的工作就成功了一半。 解決辦法：認清你的安全現狀，為客戶提供最大程度的透明性，讓他們知道如何配置系統或及時為託管的軟體打上補丁。 【51CTO.COM 獨家翻譯，轉載請注明出處及作者！ 】【編輯推薦】瑞星推出雲安全計畫新版卡卡成反木馬核心兩億種病毒肆虐網路趨勢問計「雲安全」【責任編輯：許鳳麗 TEL：（010）68476606】 原文：權威發佈：雲安全最大威脅及解決辦法 返回網路安全首頁