毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

12大主流云安全威脅

云計算正在持續(xù)改變組織機構(gòu)使用、存儲和共享數(shù)據(jù)、應(yīng)用程序和工作負載的方式。這也帶來了一系列新的安全威脅和挑戰(zhàn)。隨著大量數(shù)據(jù)數(shù)據(jù)進入云計算——特別是公共云服務(wù)，這些資源自然就成為了壞人的目標。Gartner 公司副總裁兼云安全主管 Jay Heiser 表示：公共云的使用量正在快速增長，因此不可避免地會導(dǎo)致大量敏感內(nèi)容暴露在潛在風(fēng)險當中。 與大多數(shù)人的認知可能相反，保護云中企業(yè)數(shù)據(jù)的主要責(zé)任不在于服務(wù)供應(yīng)商，而在于云客戶。為了讓組織機構(gòu)了解云安全問題的最新動態(tài)，以便他們能夠就云使用策略做出明智的決策，云安全聯(lián)盟 (Cloud Security Alliance， CSA) 發(fā)布了最新版本的《云計算十二大頂級威脅：行業(yè)洞察報告》 。該報告描述了 CSA 安全專家一致認為的目前云所面對的最大安全問題。CSA 表示，盡管云計算存在很多安全問題，但本文主要關(guān)注12個與云計算的共享和按需分配特性相關(guān)的問題。為了確定主要威脅，CSA 對行業(yè)專家進行了調(diào)查，就云計算面臨的主要安全問題收集了專業(yè)意見。下面是調(diào)查得出的一些頂級云安全問題(按調(diào)查結(jié)果的嚴重程度排序)： 1. 數(shù)據(jù)泄露：CSA 表示，數(shù)據(jù)泄露可能是因為有針對性的攻擊，也可能只是人為錯誤、應(yīng)用程序漏洞或糟糕的安全措施導(dǎo)致的。數(shù)據(jù)泄露可能涉及任何不打算公開的信息，包括個人健康信息、財務(wù)信息、個人身份信息、商業(yè)秘密和知識產(chǎn)權(quán)信息。一個組織機構(gòu)的云數(shù)據(jù)可能對不同的對象有不同的價值。數(shù)據(jù)泄露風(fēng)險并非只有云計算獨有，但它始終是云客戶最關(guān)心的問題。 2. 身份、憑據(jù)和訪問管理不當：假扮成合法用戶、操作人員或開發(fā)人員的外部入侵者可以讀取、修改和刪除數(shù)據(jù)；發(fā)布控制面板和管理功能；監(jiān)視傳輸中的數(shù)據(jù)或發(fā)布來源似乎合法的惡意軟件。因此，身份、憑據(jù)或密鑰管理不當可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問，并可能對組織機構(gòu)或終端用戶造成災(zāi)難性的結(jié)果。 根據(jù) Deep Dive 的報告，訪問管理不當?shù)囊粋€例子是 MongoDB 數(shù)據(jù)庫默認安裝設(shè)置存在風(fēng)險。該數(shù)據(jù)庫在默認安裝設(shè)置中打開了一個端口，允許訪問者在不進行身份驗證的情況下對數(shù)據(jù)庫進行訪問。該報告建議在所有周邊環(huán)境中實施預(yù)防性控制，并要求組織機構(gòu)掃描托管、共享和公共環(huán)境中的漏洞。 3. 不安全接口和應(yīng)用程序接口(API)：云供應(yīng)商公開了一套軟件用戶界面 (UI) 或 API，客戶通過這些工具管理云服務(wù)并與之進行交互。CSA 表示，供應(yīng)、管理和監(jiān)測都是使用這些接口執(zhí)行的，一般云服務(wù)的安全性和可用性取決于 API 的安全性。它們需要被設(shè)計成能夠阻擋企圖避開政策的意外和惡意企圖。 4. 系統(tǒng)漏洞：系統(tǒng)漏洞是程序中可利用的漏洞，攻擊者可以利用這些漏洞潛入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。CSA 表示，操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險。隨著云端用戶增加，不同組織機構(gòu)的系統(tǒng)彼此靠近，并被賦予了訪問共享內(nèi)存和資源的權(quán)限，從而產(chǎn)生了一個新的攻擊角度。 5. 賬戶劫持：CSA 指出，帳戶或服務(wù)劫持并不新鮮，但云服務(wù)的出現(xiàn)帶來了新的威脅。如果攻擊者獲得了對用戶憑證的訪問權(quán)，他們就可以監(jiān)視用戶活動和交易，操縱數(shù)據(jù)，返回偽造的信息，并將客戶重定向到非法站點。帳戶或服務(wù)實例可能成為攻擊者的新依據(jù)。使用竊取的憑證，攻擊者可以訪問云計算服務(wù)的關(guān)鍵部分，從而破壞這些服務(wù)的機密性、完整性和可用性。 6. 惡意內(nèi)部人員：CSA 表示，盡管威脅程度有待商榷，但內(nèi)部威脅會制造風(fēng)險這一事實毋庸置疑。惡意內(nèi)部人員(如系統(tǒng)管理員)可以訪問潛在的敏感信息，并且逐漸可以對更關(guān)鍵的系統(tǒng)進行更高級別的訪問，并最終訪問數(shù)據(jù)。如果僅依靠云服務(wù)供應(yīng)商來保持系統(tǒng)安全，那么系統(tǒng)將面臨巨大的安全風(fēng)險。 報告中引用了一名心懷不滿的 Zynga 員工的例子，該員工下載并竊取了公司的機密商業(yè)數(shù)據(jù)。當時沒有防丟失控制措施。Deep Dive 報告建議實施數(shù)據(jù)丟失防護 (DLP) 控制，提高安全和隱私意識，以改進對可疑活動的識別和報告。 7. 高級持續(xù)威脅(APTs)：APTs 是一種寄生形式的網(wǎng)絡(luò)攻擊，它滲透到系統(tǒng)中，在目標公司的IT基礎(chǔ)架構(gòu)扎根，然后竊取數(shù)據(jù)。APT 在很長一段時間內(nèi)會秘密追蹤自己的目標，通常能適應(yīng)那些旨在防御它們的安全措施。一旦到位，APT 可以橫向移動通過數(shù)據(jù)中心網(wǎng)絡(luò)，并融入到正常的網(wǎng)絡(luò)流量中來實現(xiàn)他們的目標。 8. 數(shù)據(jù)丟失：存儲在云中的數(shù)據(jù)可能會因為惡意攻擊以外的原因丟失，CSA 說道。云服務(wù)供應(yīng)商意外刪除或物理災(zāi)難(如火災(zāi)或地震)可能導(dǎo)致客戶數(shù)據(jù)的永久性丟失，除非供應(yīng)商或云消費者進行了數(shù)據(jù)備份，遵循了業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)方面的最佳實踐。 9. 盡職調(diào)查不夠徹底：CSA 表示，當高管制定業(yè)務(wù)策略時，必須考慮到云技術(shù)和服務(wù)提供商。在評估技術(shù)和供應(yīng)商時，制定一個完善的路線圖和盡職調(diào)查清單至關(guān)重要。那些急于采用云技術(shù)，但沒有在進行盡職調(diào)查的情況下選擇供應(yīng)商的組織機構(gòu)將面臨很多風(fēng)險。 10. 濫用和惡意使用云服務(wù)：CSA 表示，不安全的云服務(wù)部署、免費的云服務(wù)試用以及欺詐賬戶注冊，都將云計算模型暴露在惡意攻擊之下。惡意人員可能會利用云計算資源來針對用戶、組織機構(gòu)或其他云供應(yīng)商。濫用云關(guān)聯(lián)資源的例子包括發(fā)起分布式拒絕服務(wù)攻擊、垃圾郵件和釣魚攻擊。 11. 拒絕服務(wù) (DoS)：DoS 攻擊旨在阻止使用服務(wù)的用戶訪問他們的數(shù)據(jù)或應(yīng)用程序。通過強制目標云服務(wù)消耗過多的系統(tǒng)資源(如處理能力，內(nèi)存，磁盤空間或網(wǎng)絡(luò)帶寬)， 攻擊者可以使系統(tǒng)速度降低，并使所有合法的服務(wù)用戶無法訪問服務(wù)。 12. 共享的技術(shù)漏洞：CSA 指出，云服務(wù)供應(yīng)商通過共享基礎(chǔ)架構(gòu)、平臺或應(yīng)用程序來提供可擴展的服務(wù)。云技術(shù)帶來了 “即服務(wù)” 概念，而沒有對現(xiàn)有的硬件和軟件進行實質(zhì)性改動——有時是以犧牲安全性為代價的。組成支持云服務(wù)部署的基礎(chǔ)組件，其設(shè)計目的可能不是為了多用戶架構(gòu)或多用戶應(yīng)用程序提供強大的隔離功能。這可能導(dǎo)致共享技術(shù)漏洞，這些漏洞可能會在所有交付模型中被利用。