云計(jì)算的主要好處之一是它為托管資源提供了高可用性。他們可以從任何地方進(jìn)入。那太好了。但這也意味著您的云基礎(chǔ)設(shè)施不可避免地會(huì)受到影響-面向互聯(lián)網(wǎng)。這使得任何威脅參與者都可以輕松地嘗試連接到您的服務(wù)器和服務(wù)，進(jìn)行端口掃描、字典攻擊和偵察活動(dòng)。

[[412383]]

云基礎(chǔ)設(shè)施需要解決的一些安全問題與內(nèi)部部署的傳統(tǒng)基礎(chǔ)設(shè)施相同。有些是不同的，或包括額外的挑戰(zhàn)。第一步是識(shí)別與云基礎(chǔ)設(shè)施相關(guān)的風(fēng)險(xiǎn)。您需要實(shí)施應(yīng)對(duì)措施和其他應(yīng)對(duì)措施，以減少或減輕這些風(fēng)險(xiǎn)。確保你真的記錄了它們，并在所有利益相關(guān)者在場(chǎng)和參與的情況下排練它們。這將形成您的總體云安全戰(zhàn)略。

沒有云安全策略就像忽視地面網(wǎng)絡(luò)的網(wǎng)絡(luò)安全一樣。實(shí)際上，這可能更糟，因?yàn)樵频谋举|(zhì)是面向互聯(lián)網(wǎng)的。

企業(yè)面臨的特定風(fēng)險(xiǎn)略有不同，這取決于使用云的方式以及使用的云產(chǎn)品的組合：基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)、軟件即服務(wù)、容器即服務(wù)等等。對(duì)風(fēng)險(xiǎn)進(jìn)行分類有不同的方法。我們把他們聚集在一起，形成一個(gè)連貫但通用的風(fēng)險(xiǎn)群體?？赡苡幸恍┎贿m用于企業(yè)的確切用例，但在丟棄它們之前，需要確保確實(shí)如此。

錯(cuò)誤配置和人為錯(cuò)誤

在各種規(guī)模的組織中，由于疏忽、過度工作或根本不知道更好的方法而導(dǎo)致的錯(cuò)誤仍然比比皆是。忘記的項(xiàng)目和錯(cuò)過的設(shè)置會(huì)導(dǎo)致每周的系統(tǒng)故障。2017年Equifax的大規(guī)模漏洞泄露了超過1.6億人的個(gè)人數(shù)據(jù)，利用了過時(shí)的SSL證書。如果有一個(gè)管理可更新項(xiàng)目的流程，并有明確的指導(dǎo)，說明誰(shuí)應(yīng)對(duì)該流程負(fù)責(zé)，那么證書很可能會(huì)被更新，而且違約行為也不會(huì)發(fā)生。

安全研究人員幾乎每周都會(huì)使用Shodan之類的工具來(lái)發(fā)現(xiàn)不安全的容器，Shodan是一個(gè)搜索設(shè)備、端口和服務(wù)的搜索引擎。其中一些違約和風(fēng)險(xiǎn)敞口的出現(xiàn)是因?yàn)槿藗兤谕虑樵谶`約時(shí)是安全的，而事實(shí)并非如此。一旦啟動(dòng)了遠(yuǎn)程服務(wù)器，就需要執(zhí)行與其他服務(wù)器相同的強(qiáng)化步驟和安全改進(jìn)。修補(bǔ)也很重要。為了維護(hù)服務(wù)器防御的完整性，它需要及時(shí)應(yīng)用安全和維護(hù)補(bǔ)丁。

應(yīng)用程序，尤其是數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)庫(kù)，如彈性搜索，也需要在安裝后進(jìn)行加固。默認(rèn)帳戶需要更改其憑據(jù)，并使用提供的最高安全級(jí)別保護(hù)API。

如果可用，應(yīng)使用雙因素或多因素身份驗(yàn)證。避免基于SMS的雙因素身份驗(yàn)證，很容易受到影響。如果不需要未使用的API，則應(yīng)關(guān)閉它們，或者使用未發(fā)布的API密鑰和專用API密鑰阻止它們的使用。Web應(yīng)用程序防火墻將針對(duì)SQL注入攻擊和跨站點(diǎn)腳本等威脅提供保護(hù)。

缺乏變更控制

與配置錯(cuò)誤相關(guān)的是在更改或更新工作系統(tǒng)時(shí)引入的漏洞。應(yīng)以可控和可預(yù)測(cè)的方式進(jìn)行。這意味著計(jì)劃并同意更改，檢查代碼，將更改應(yīng)用到沙盒系統(tǒng)，測(cè)試它們，并將它們推出到活動(dòng)系統(tǒng)。這是非常適合自動(dòng)化的東西，只要開發(fā)到部署管道是適當(dāng)?shù)慕训?，并且?shí)際測(cè)試您認(rèn)為它做什么，盡可能徹底地測(cè)試您所需要的。

你需要注意的其他變化是在威脅環(huán)境中。您無(wú)法控制新的漏洞被發(fā)現(xiàn)并添加到威脅參與者可以使用的漏洞列表中。您可以做的是確保掃描云基礎(chǔ)設(shè)施，以便解決所有當(dāng)前已知的漏洞。

應(yīng)針對(duì)您的云基礎(chǔ)設(shè)施運(yùn)行頻繁且徹底的滲透掃描。發(fā)現(xiàn)并糾正漏洞是保持云投資安全的核心要素。滲透掃描可以搜索忘記的開放端口、薄弱或未受保護(hù)的API、過時(shí)的協(xié)議棧、常見錯(cuò)誤配置、常見漏洞和暴露數(shù)據(jù)庫(kù)中的所有漏洞，等等。它們可以自動(dòng)執(zhí)行，并設(shè)置為在發(fā)現(xiàn)可操作項(xiàng)時(shí)發(fā)出警報(bào)。

賬戶劫持

帳戶劫持是指通過訪問授權(quán)人員的電子郵件帳戶、登錄憑據(jù)或任何其他需要對(duì)計(jì)算機(jī)系統(tǒng)或服務(wù)進(jìn)行身份驗(yàn)證的信息來(lái)破壞系統(tǒng)的行為。然后，威脅行為人有權(quán)更改帳戶密碼并進(jìn)行惡意和非法活動(dòng)。如果他們破壞了一個(gè)管理員的帳戶，他們可以為自己創(chuàng)建一個(gè)新帳戶，然后登錄到該帳戶，使管理員的帳戶看起來(lái)沒有受到影響。

釣魚攻擊或字典攻擊是獲取憑據(jù)的常見手段。除了使用常用數(shù)字和字母替換的字典單詞和排列之外，字典攻擊還使用來(lái)自其他數(shù)據(jù)泄露的密碼數(shù)據(jù)庫(kù)。如果任何帳戶持有人在其他系統(tǒng)上被發(fā)現(xiàn)以前的漏洞，并在您的系統(tǒng)上重新使用泄露的密碼，他們已經(jīng)在您的系統(tǒng)上創(chuàng)建了一個(gè)漏洞。密碼不應(yīng)在其他系統(tǒng)上重復(fù)使用。

雙因素和多因素身份驗(yàn)證在這里會(huì)有所幫助，自動(dòng)掃描日志查找失敗的訪問嘗試也會(huì)有所幫助。但一定要檢查你的托管服務(wù)提供商的政策和程序。你假設(shè)他們會(huì)遵循行業(yè)最佳實(shí)踐，但在2019年，有消息稱谷歌已將G套件密碼以純文本形式存儲(chǔ)了14年。

能見度降低

霧天開車是一項(xiàng)吃力不討好的工作。管理一個(gè)沒有安全專業(yè)人員用來(lái)監(jiān)視和驗(yàn)證網(wǎng)絡(luò)安全的低層次、細(xì)粒度信息的系統(tǒng)也是一個(gè)類似的前景。如果你能看到你需要的東西，你就不會(huì)做得那么好。

大多數(shù)云服務(wù)器通常支持多種連接方法，例如遠(yuǎn)程桌面協(xié)議、安全Shell和內(nèi)置web門戶等。所有這些都可以被攻擊。如果攻擊正在發(fā)生，你需要知道。一些托管提供商可以為您提供更好的日志記錄或更透明的日志訪問，但您必須請(qǐng)求這樣做。默認(rèn)情況下他們不會(huì)這么做。

訪問日志只是第一步。你需要分析它們，尋找可疑的行為或不尋常的事件。將來(lái)自多個(gè)不同系統(tǒng)的日志聚合起來(lái)，并在一個(gè)時(shí)間軸上查看它們，可能比逐個(gè)瀏覽每個(gè)日志更具啟發(fā)性。要真正做到這一點(diǎn)，唯一的方法就是使用自動(dòng)工具來(lái)尋找無(wú)法解釋或可疑的事件。更好的工具還將匹配并找到可能是攻擊結(jié)果的事件模式，這當(dāng)然值得進(jìn)一步調(diào)查。

不遵守?cái)?shù)據(jù)保護(hù)法規(guī)

不合規(guī)是數(shù)據(jù)保護(hù)和數(shù)據(jù)隱私相當(dāng)于系統(tǒng)配置錯(cuò)誤。不執(zhí)行法律要求的政策和程序以確保個(gè)人數(shù)據(jù)的合法收集、處理和傳輸是另一種類型的脆弱性，但它仍然是脆弱性。

這也是一個(gè)容易落入的陷阱。數(shù)據(jù)保護(hù)顯然是一件好事，而要求組織以保護(hù)和保護(hù)人們數(shù)據(jù)的方式運(yùn)作的立法也是一件好事。但是，如果沒有專家?guī)椭驌碛凶銐蚣寄芎徒?jīng)驗(yàn)的內(nèi)部資源，跟蹤立法本身是非常困難的。

新的立法一直在頒布，現(xiàn)有的立法也在修訂。當(dāng)英國(guó)在2020年1月31日離開歐洲經(jīng)濟(jì)聯(lián)盟(EEU)時(shí)，英國(guó)公司發(fā)現(xiàn)自己處于一個(gè)奇怪的境地。對(duì)于他們持有的任何英國(guó)公民數(shù)據(jù)，他們必須遵守《2018年英國(guó)數(shù)據(jù)保護(hù)法》第二章中包含的英國(guó)特定版本的一般數(shù)據(jù)保護(hù)條例。如果他們持有的任何個(gè)人資料屬于居住在歐洲其他地方的人，那么歐盟GDPR就起作用了。

GDPR適用于所有的組織，不管它們?cè)谀睦?。如果您收集、處理或存?chǔ)屬于英國(guó)或歐洲公民的個(gè)人數(shù)據(jù)，其中一個(gè)GDPRs將適用于您，必須處理此問題的不僅僅是英國(guó)和歐盟組織。同樣的模式也適用于加州消費(fèi)者隱私法案(CCPA)。它保護(hù)加州居民，不管數(shù)據(jù)處理發(fā)生在哪里。因此，這并不是只有加州的組織才需要解決的問題。重要的不是你的位置。重要的是你正在處理其數(shù)據(jù)的人的位置。

加州并不是唯一一個(gè)通過立法解決數(shù)據(jù)隱私問題的州。內(nèi)華達(dá)州和緬因州也有立法，紐約、馬里蘭州、馬薩諸塞州、夏威夷和北達(dá)科他州也在實(shí)施各自的數(shù)據(jù)隱私法。

這是除了垂直集中的聯(lián)邦立法，如健康保險(xiǎn)便攜性和責(zé)任法案(HIPAA)，兒童在線隱私保護(hù)規(guī)則(COPPA)和格萊姆-里奇-布萊利法案(GLBA)的立法，如果其中任何一個(gè)適用于您的活動(dòng)。

如果您通過云基礎(chǔ)設(shè)施中的門戶或網(wǎng)站收集信息，或者在托管服務(wù)器上處理數(shù)據(jù)，那么這些大量的立法將適用于您。在數(shù)據(jù)泄露的情況下，不合規(guī)行為可能會(huì)招致重大的經(jīng)濟(jì)處罰，同時(shí)還會(huì)損害聲譽(yù)，并可能引發(fā)集體訴訟。

做得好就是全職工作

安全是一個(gè)永無(wú)止境的挑戰(zhàn)，云計(jì)算帶來(lái)了它自己獨(dú)特的關(guān)注點(diǎn)。謹(jǐn)慎選擇主機(jī)或服務(wù)提供商是一個(gè)關(guān)鍵因素。在正式接觸他們之前，確保你做了徹底的盡職調(diào)查。

•他們是否認(rèn)真對(duì)待安全問題?他們的業(yè)績(jī)?nèi)绾?

•他們是提供指導(dǎo)和支持，還是向你推銷他們的服務(wù)，讓你去做?

•作為服務(wù)的一部分，他們提供了哪些安全工具和措施?

•可以使用哪些日志?

當(dāng)討論云計(jì)算時(shí)，通常有人會(huì)給出這樣一個(gè)眾所周知的聲音：“云只是指其他人的計(jì)算機(jī)。”和所有的聲音一樣，這是一個(gè)嚴(yán)重的過于簡(jiǎn)單化。但這里面還是有些道理的。這是一個(gè)清醒的想法。