毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

云安全的11個挑戰(zhàn)及應(yīng)對策略

組織將其業(yè)務(wù)遷移到云端之前，需要了解可能面臨的云安全挑戰(zhàn)，以及如何應(yīng)對這些挑戰(zhàn)。 所有云計算平臺的主要承諾(例如提高IT效率、靈活性和可擴展性)都面臨一個重大挑戰(zhàn)：安全性。 許多組織無法界定云計算服務(wù)提供商(CSP)的職責(zé)在何處終止以及他們的職責(zé)從何處開始，因此可能存在更多漏洞。云計算的擴展性也增加了組織的潛在攻擊面。而使問題進一步復(fù)雜化的是，傳統(tǒng)的安全控制措施通常無法滿足云安全需求。 為了幫助組織了解他們面臨的云計算挑戰(zhàn)，云安全聯(lián)盟(CSA)在10年前成立了一個專業(yè)團隊。這個由行業(yè)人士、架構(gòu)師、開發(fā)人員以及組織高管組成的調(diào)查團隊確定了一個包含25種安全威脅的列表，然后由安全專家進行分析，并對這些安全威脅進行排名，并將這些安全威脅精簡到11種最常見的云計算安全挑戰(zhàn)： (1)數(shù)據(jù)泄露； (2)配置錯誤和變更控制不足； (3)缺乏云安全架構(gòu)和策略； (4)身份、憑證、訪問和密鑰管理不足； (5)帳戶劫持； (6)內(nèi)部威脅； (7)不安全的接口和API； (8)控制平臺薄弱； (9)元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失效； (10)有限的云使用可見性； (11)濫用和惡意使用云計算服務(wù)。 從那時起，云安全聯(lián)盟(CSA)每兩年發(fā)布一份調(diào)查報告。而日前發(fā)布的一份名為“令人震驚的云計算的11個最大威脅”的報告，其中詳細說明了這些威脅以及確定是誰的責(zé)任，或者是客戶的責(zé)任，或者云計算服務(wù)提供商(CSP)的責(zé)任，還是兩者都有責(zé)任，并提供了幫助組織實施云計算安全保護的步驟。 云安全聯(lián)盟(CSA)發(fā)布的第五份調(diào)查報告顯示了一些重大變化。值得注意的是，這11種主要安全威脅中有6種威脅是新出現(xiàn)的。此外，這些威脅并不是云計算服務(wù)提供商(CSP)的全部責(zé)任，而都與客戶有關(guān)，或者是云計算服務(wù)提供商(CSP)和客戶共同承擔(dān)的責(zé)任。 云安全聯(lián)盟(CSA)全球研究副總裁John Yeoh表示：“我們注意到，最主要的趨勢是組織對客戶的控制力有所增強。”他將發(fā)生的這些變化歸因于兩件事：或者組織對云計算服務(wù)提供商(CSP)信任度顯著提高，或者組織希望加強控制并更好地了解他們在云平臺中可以做些什么，以及如何使用云服務(wù)滿足其特定的安全要求。 在今年發(fā)布的調(diào)查報告中，根據(jù)對受訪者進行的調(diào)查，以下是按嚴重程度排列的11種安全威脅以及每種安全威脅的緩解措施： 1.數(shù)據(jù)泄露 云安全聯(lián)盟(CSA)的這份調(diào)查報告表明，數(shù)據(jù)泄露仍然是云計算服務(wù)提供商(CSP)及其客戶的責(zé)任，在2021年仍然是最大的云安全威脅。在過去幾年中，許多數(shù)據(jù)泄露都歸因于云平臺，其中最引人注目的事件之一就是Capital One公司的云計算配置錯誤。 數(shù)據(jù)泄露可能會使一些組織陷入困境，聲譽遭受不可逆轉(zhuǎn)的損害，并且由于監(jiān)管影響、法律責(zé)任、事件響應(yīng)成本，以及市場價值下降而造成財務(wù)方面的困難。 云安全聯(lián)盟(CSA)的建議如下： ?確定數(shù)據(jù)價值及其損失的影響； ?通過加密保護數(shù)據(jù)； ?制定強有力的、經(jīng)過充分測試的事件響應(yīng)計劃。 云安全聯(lián)盟(CSA)的云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?執(zhí)行數(shù)據(jù)輸入和輸出完整性例程； ?將最小特權(quán)原則應(yīng)用于訪問控制； ?建立安全刪除和處置數(shù)據(jù)的政策和程序。 云安全聯(lián)盟(CSA)的云控制矩陣是云安全聯(lián)盟(CSA)安全指南的支持文件，這份指南是第四代文檔，概述了各種云域及其主要目標。 云控制矩陣(CCM)提供了按控制區(qū)域和控制ID分類的需求和控制的詳細列表，每個列表對應(yīng)于其控制規(guī)范、架構(gòu)相關(guān)性、云交付模型(SaaS、PaaS和IaaS)，以及標準和框架(如PCI DSS、NIST和FedRAMP)。 2.配置錯誤和變更控制不足 如果資產(chǎn)設(shè)置不正確，則很容易受到網(wǎng)絡(luò)攻擊。例如，Capital One公司的安全漏洞可以追溯到泄露Amazon S3存儲桶的Web應(yīng)用程序防火墻配置錯誤。除了不安全的存儲之外，權(quán)限過大和使用默認憑據(jù)也是出現(xiàn)數(shù)據(jù)漏洞的另外兩個主要來源。 與此相關(guān)的是，無效的變更控制可能會導(dǎo)致云計算配置錯誤。在按需實時云計算環(huán)境中，更改控制應(yīng)該實現(xiàn)自動化以支持快速更改。 客戶的責(zé)任，錯誤的配置和變更控制是云安全威脅列表的新增內(nèi)容。 云安全聯(lián)盟(CSA)的建議如下： ?特別關(guān)注可通過互聯(lián)網(wǎng)訪問的數(shù)據(jù)； ?定義數(shù)據(jù)的業(yè)務(wù)價值及其丟失的影響； ?創(chuàng)建并維護強有力的事件響應(yīng)計劃。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?確保外部合作伙伴遵守內(nèi)部開發(fā)人員使用的變更管理、發(fā)布和測試程序； ?按計劃的時間間隔進行風(fēng)險評估； ?對承包商、第三方用戶和員工進行安全意識培訓(xùn)。 3.缺乏云安全架構(gòu)和策略 很多組織在沒有適當(dāng)?shù)募軜?gòu)和策略的情況下進入云端。在遷移到云平臺之前，客戶必須了解他們所面臨的威脅，如何安全地遷移到云平臺以及共享責(zé)任模型的來龍去脈。 這種威脅是清單中的新內(nèi)容，主要是客戶的責(zé)任。如果沒有適當(dāng)?shù)挠媱?，客戶將很容易受到網(wǎng)絡(luò)攻擊，從而可能導(dǎo)致財務(wù)損失，聲譽受損以及法律和合規(guī)性問題。 云安全聯(lián)盟(CSA)的建議如下： ?確保安全架構(gòu)符合業(yè)務(wù)目標。 ?開發(fā)和實施安全架構(gòu)框架。 ?實施持續(xù)的安全監(jiān)控程序。 云控制矩陣(CCM)包括以下內(nèi)容： ?確保風(fēng)險評估政策包括更新政策、程序、標準和控制措施以保持相關(guān)性； ?根據(jù)商定的服務(wù)級別和容量級別預(yù)期、IT治理以及服務(wù)管理政策和程序，設(shè)計、開發(fā)和部署業(yè)務(wù)關(guān)鍵型/影響客戶的應(yīng)用程序和API設(shè)計和配置以及網(wǎng)絡(luò)和系統(tǒng)組件； ?限制和監(jiān)視網(wǎng)絡(luò)環(huán)境和虛擬實例中受信任和不受信任連接之間的流量。 4.身份、憑證、訪問和密鑰管理不足 大多數(shù)云安全威脅以及一般的網(wǎng)絡(luò)安全威脅都可以與身份和訪問管理(IAM)問題相關(guān)聯(lián)。根據(jù)云安全聯(lián)盟(CSA)指南，這源于以下原因：?不正確的憑證保護； ?缺乏自動的加密密鑰、密碼和證書輪換； ?IAM可擴展性挑戰(zhàn)； ?缺少多因素身份驗證； ?弱密碼。 對于頂級云安全挑戰(zhàn)列表來說，新的標準身份和訪問管理(IAM)挑戰(zhàn)由于使用云計算而加劇。執(zhí)行庫存、跟蹤、監(jiān)視和管理所需的大量云計算帳戶的方法包括：設(shè)置和取消配置問題、僵尸帳戶、過多的管理員帳戶和繞過身份和訪問管理(IAM)控制的用戶，以及定義角色和特權(quán)所面臨的挑戰(zhàn)。 作為客戶的責(zé)任，云安全聯(lián)盟(CSA)的建議如下： ?使用雙因素身份驗證； ?對云計算用戶和身份實施嚴格的身份和訪問管理(IAM)控制； ?輪換密鑰、刪除未使用的憑據(jù)和訪問權(quán)限，并采用集中式編程密鑰管理。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?確定關(guān)鍵管理者并制定和維護關(guān)鍵管理政策； ?分配、記錄和傳達執(zhí)行雇傭終止或程序變更的角色和職責(zé)； ?及時取消供應(yīng)(無論是撤銷還是修改)用戶對數(shù)據(jù)和網(wǎng)絡(luò)組件的訪問。 5.帳戶劫持 云計算賬戶劫持是指對云計算環(huán)境的運行、管理或維護至關(guān)重要的云計算賬戶的泄露、意外泄露或其他泄露行為。這些高度特權(quán)和敏感的帳戶如果被遭到破壞，可能會導(dǎo)致嚴重的后果。 從網(wǎng)絡(luò)釣魚和憑證填充到薄弱或被盜憑證，再到不正確的編碼，賬戶泄露可能導(dǎo)致數(shù)據(jù)泄露和服務(wù)中斷。 作為云計算服務(wù)提供商(CSP)和客戶的責(zé)任，云安全聯(lián)盟(CSA)的建議如下： ?記住帳戶劫持不僅僅是密碼重置； ?使用縱深防御、身份和訪問管理(IAM)控件。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?建立、記錄和采用統(tǒng)一的業(yè)務(wù)連續(xù)性計劃； ?將生產(chǎn)和非生產(chǎn)環(huán)境分開； ?保持并定期更新合規(guī)聯(lián)絡(luò)人，以準備需要迅速與執(zhí)法部門互動。 6.內(nèi)部威脅 與員工和組織網(wǎng)絡(luò)內(nèi)其他人員相關(guān)的風(fēng)險不僅限于云平臺。無論是疏忽還是有意，內(nèi)部人員(包括現(xiàn)任和前任員工、承包商和合作伙伴)都可能導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)停機、客戶信心降低和數(shù)據(jù)泄露。 組織必須解決客戶的責(zé)任、涉及泄露或被盜數(shù)據(jù)的內(nèi)部威脅、憑證問題、人為錯誤和云錯誤配置。 云安全聯(lián)盟(CSA)的建議如下： ?進行安全意識培訓(xùn)； ?修復(fù)配置錯誤的云計算服務(wù)器； ?限制對關(guān)鍵系統(tǒng)的訪問。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?在重新定位或傳輸硬件、軟件或數(shù)據(jù)之前需要授權(quán)； ?按計劃的時間間隔授權(quán)和重新驗證用戶訪問控制； ?分割其他租戶的多租戶應(yīng)用、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。 7.不安全的接口和API 客戶通過其與云計算服務(wù)進行交互的云計算服務(wù)提供商(CSP)的UI和API是云計算環(huán)境中最公開的部分。任何云計算服務(wù)的安全性都始于對它們的良好保護，這是客戶和云計算服務(wù)提供商(CSP)的責(zé)任。 云計算服務(wù)提供商(CSP)必須確保已經(jīng)集成安全性，客戶必須努力使用云安全聯(lián)盟(CSA)所謂的云計算“前門”來管理、監(jiān)視和安全。該威脅已從上次報告中的第三大威脅下降到第七，但仍然很重要。 云安全聯(lián)盟(CSA)的建議如下： ?確保API的安全性； ?避免API密鑰重用； ?使用標準和開放的API框架。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?根據(jù)行業(yè)領(lǐng)先標準設(shè)計、開發(fā)、部署和測試API，并遵守適用的法律、法規(guī)和監(jiān)管義務(wù)； ?隔離和限制對與組織信息系統(tǒng)交互的審核工具的訪問，以防止數(shù)據(jù)泄露和篡改； ?限制能夠覆蓋系統(tǒng)、對象、網(wǎng)絡(luò)、虛擬機和應(yīng)用程序控制的實用程序。 8.控制平臺薄弱 作為客戶的責(zé)任和2021年的新職責(zé)，云計算控制平臺是組織使用的云計算管理控制臺和接口的集合。云安全聯(lián)盟(CSA)表示，它還包括數(shù)據(jù)復(fù)制、遷移和存儲。如果安全措施不當(dāng)，被破壞的控制平面可能會導(dǎo)致數(shù)據(jù)丟失、監(jiān)管罰款和其他后果，以及品牌聲譽受損，從而導(dǎo)致收入損失。 云安全聯(lián)盟(CSA)的建議如下： ?要求云計算服務(wù)提供商(CSP)進行適當(dāng)?shù)目刂疲? ?進行盡職調(diào)查以確定潛在的云服務(wù)是否具有足夠的控制平臺。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?建立信息安全策略和程序并使其易于內(nèi)部人員和外部業(yè)務(wù)關(guān)系審查； ?實施和應(yīng)用深度防御措施，以及時檢測和響應(yīng)基于網(wǎng)絡(luò)的攻擊； ?制定策略，對數(shù)據(jù)和包含數(shù)據(jù)的對象進行標記、處理和保護。 9.元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失效 由云安全聯(lián)盟(CSA)定義的元結(jié)構(gòu)是“提供基礎(chǔ)結(jié)構(gòu)層和其他層之間接口的協(xié)議和機制”，換句話說，就是將技術(shù)聯(lián)系起來并實現(xiàn)管理和配置的粘合劑。 元結(jié)構(gòu)是云計算服務(wù)提供商(CSP)與客戶之間的分界線。這里存在許多安全威脅：例如，云安全聯(lián)盟(CSA)指出云計算服務(wù)提供商(CSP)的API實施不佳或客戶使用的云計算應(yīng)用程序不當(dāng)。此類安全挑戰(zhàn)可能導(dǎo)致服務(wù)中斷和配置錯誤，并造成財務(wù)和數(shù)據(jù)丟失的后果。 該應(yīng)用程序結(jié)構(gòu)被定義為“部署在云中的應(yīng)用程序以及用于構(gòu)建它們的底層應(yīng)用程序服務(wù)”。例如消息隊列、人工分析或通知服務(wù)。 報告中的新威脅是客戶和云計算服務(wù)提供商(CSP)共同的責(zé)任。云安全聯(lián)盟(CSA)的建議如下： ?云計算服務(wù)提供商(CSP)提供可見性，并公開緩解措施以解決其客戶缺乏透明度的問題； ?云計算服務(wù)提供商(CSP)進行滲透測試并向客戶提供結(jié)果； ?客戶在云原生設(shè)計中實現(xiàn)功能和控件。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?制定和維護審計計劃以解決業(yè)務(wù)流程中斷問題； ?實施加密以保護存儲、使用中和傳輸中的數(shù)據(jù)； ?建立存儲和管理身份信息的策略和過程。 10.云計算使用可見性有限 長期以來，云計算使用可見性一直是組織管理員關(guān)注的問題，但對于這份報告列出的云安全聯(lián)盟(CSA)的云安全挑戰(zhàn)來說，這是一個新問題。云安全聯(lián)盟(CSA)認為，可見性有限會帶來兩個關(guān)鍵挑戰(zhàn)：未經(jīng)批準的應(yīng)用程序使用，也稱為影子IT，是指員工使用IT部門不允許的應(yīng)用程序。 批準的應(yīng)用濫用是指未按預(yù)期使用經(jīng)過IT批準的應(yīng)用。例如，這包括有權(quán)使用該應(yīng)用程序的用戶，以及使用通過SQL注入或DNS攻擊獲得的被盜憑據(jù)訪問該應(yīng)用程序的未經(jīng)授權(quán)的個人。 云安全聯(lián)盟(CSA)表示，這種有限的可見性導(dǎo)致缺乏治理、意識和安全——所有這些都可能導(dǎo)致網(wǎng)絡(luò)攻擊、數(shù)據(jù)丟失和漏洞。 這是今年新上榜的安全威脅，是云計算服務(wù)提供商(CSP)和客戶的共同責(zé)任。云安全聯(lián)盟(CSA)的建議如下： ?自上而下開發(fā)云計算可見性； ?強制執(zhí)行有關(guān)可接受的云使用策略的組織培訓(xùn)； ?要求所有未經(jīng)批準的云服務(wù)均由云安全架構(gòu)師或第三方風(fēng)險管理人員進行審核和批準。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?定期進行風(fēng)險評估； ?使所有人員意識到他們的合規(guī)性、安全性角色和職責(zé)； ?進行清查、記錄和維護數(shù)據(jù)流。 11.濫用和惡意使用云計算服務(wù) 正如云計算可以為組織帶來很多好處一樣，它也可以被威脅者惡意利用。惡意使用合法的SaaS、PaaS和IaaS產(chǎn)品會影響個人、云計算客戶和云計算服務(wù)提供商(CSP)。組織容易通過以下方式濫用云計算服務(wù)： ?分布式拒絕服務(wù)攻擊； ?網(wǎng)絡(luò)釣魚； ?加密采礦； ?點擊欺詐； ?暴力攻擊； ?托管的惡意或盜版內(nèi)容。 遭到破壞和濫用的云計算服務(wù)可能導(dǎo)致費用支出，例如，加密貨幣的損失或攻擊者付款；組織在不知不覺中托管惡意軟件的情況；數(shù)據(jù)丟失等。 云安全聯(lián)盟(CSA)建議云計算服務(wù)提供商(CSP)努力通過事件響應(yīng)框架來檢測和緩解這種攻擊。云計算服務(wù)提供商(CSP)還應(yīng)該提供客戶可以用來監(jiān)視云計算工作負載和應(yīng)用程序的工具和控制。 作為客戶和云計算服務(wù)提供商(CSP)的共同責(zé)任，云安全聯(lián)盟(CSA)的建議如下： ?監(jiān)控員工云計算的使用情況； ?使用云計算數(shù)據(jù)丟失防護技術(shù)。 云控制矩陣(CCM)規(guī)范包括以下內(nèi)容： ?采取技術(shù)措施來管理移動設(shè)備風(fēng)險； ?為組織和用戶擁有的端點(包括工作站、筆記本電腦和移動設(shè)備)定義配額和使用權(quán)限； ?創(chuàng)建和維護批準的應(yīng)用程序的列表。