云存儲是一個以數(shù)據(jù)存儲和管理為核心的云應(yīng)用系統(tǒng)，給企業(yè)組織提供了一種全新的數(shù)據(jù)信息存儲模式。盡管目前云存儲的安全性問題已經(jīng)有了很大改善，但由于云計算技術(shù)自身的特點，決定了它在安全性方面仍然有很大的挑戰(zhàn)，一旦云存儲的安全防線被攻破，其中存儲的數(shù)據(jù)都將會被泄露。

本文對8種常見的云數(shù)據(jù)存儲風(fēng)險進(jìn)行了整理和分析，并提供了有效的緩解策略。通過了解這些風(fēng)險，企業(yè)可以更好地保護云上數(shù)據(jù)的存儲安全。

1、云平臺配置錯誤

云配置錯誤被認(rèn)為是云數(shù)據(jù)存儲中最常見的安全風(fēng)險之一。由于權(quán)限分配不正確、默認(rèn)配置未更改以及安全設(shè)置管理不當(dāng)?shù)仍?，配置錯誤可能會導(dǎo)致云上敏感數(shù)據(jù)或服務(wù)的暴露，這種情況會對所有存儲在錯誤配置環(huán)境中的數(shù)據(jù)產(chǎn)生安全性影響。

防護建議

● 強制執(zhí)行最小特權(quán)原則，將訪問權(quán)限保持在資源所需的最低限度，定期查看和更改用戶訪問權(quán)限。

● 使用IAM工具，確保正確配置和管理用戶的身份驗證和授權(quán)。

● 查看IaC，要求團隊成員檢查基礎(chǔ)結(jié)構(gòu)即代碼（IaC）文件。

● 確定HTTPS的優(yōu)先級，要求使用HTTPS協(xié)議，并阻止不需要的端口。

● 將API密鑰和密碼保存在一個集中、安全的管理系統(tǒng)中，將默認(rèn)數(shù)據(jù)存儲設(shè)置設(shè)為私有。

2、數(shù)據(jù)泄露

數(shù)據(jù)泄露通常源于云基礎(chǔ)設(shè)施或應(yīng)用程序中存在的漏洞，黑客會利用這些漏洞發(fā)起攻擊。他們可能會利用軟件漏洞、進(jìn)行網(wǎng)絡(luò)釣魚或利用憑據(jù)泄露等手段來獲取數(shù)據(jù)。

防護建議

● 對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密，確?；景踩浴?/p>

● 使用基于API的CASB方案，防止云訪問的違規(guī)行為和數(shù)據(jù)泄露。

● 執(zhí)行定期審核、監(jiān)控活動和設(shè)置警報來增強云數(shù)據(jù)存儲的安全性。

● 采用微分段和JEA，微分段可以限制不同區(qū)域之間的訪問，JEA提供精細(xì)的權(quán)限管理方法，可以加強對用戶的控制。

● 定期備份云上的數(shù)據(jù)和資源，確保數(shù)據(jù)的可恢復(fù)性。

3、不安全的API接口

攻擊者利用云應(yīng)用系統(tǒng)的API漏洞可以未經(jīng)授權(quán)地訪問和操縱數(shù)據(jù)，并在云中植入惡意代碼。隨著API在現(xiàn)代編程中的廣泛應(yīng)用，保護API對于緩解常見的攻擊類型變得至關(guān)重要，例如代碼注入、訪問控制問題和利用過時組件的漏洞。

防護建議

● 采用全面的 API安全功能，例如定期輸入數(shù)據(jù)檢查和適當(dāng)?shù)氖跈?quán)協(xié)議。

● 部署Web應(yīng)用防火墻（WAF），根據(jù)IP地址或HTTP標(biāo)頭篩選請求，識別代碼注入嘗試，并定義響應(yīng)配額。

● 限制給定時間段內(nèi)來自單個用戶或IP地址的API查詢次數(shù)。

● 為API建立完整的監(jiān)控和日志記錄，以跟蹤和評估操作。

4、DDoS 攻擊

分布式拒絕服務(wù)（DDoS）攻擊會使云系統(tǒng)遭受大量流量的沖擊，導(dǎo)致容量超載并導(dǎo)致服務(wù)故障。DDoS攻擊對依賴受影響的云服務(wù)進(jìn)行數(shù)據(jù)訪問和存儲的云服務(wù)提供商（CSP）和客戶都會產(chǎn)生影響。

防護建議：

● 使用流量過濾，將真實流量和惡意流量分開，使系統(tǒng)能夠識別和拒絕有害請求。

● 創(chuàng)建冗余網(wǎng)絡(luò)設(shè)計，提高云應(yīng)用抵御DDoS攻擊的彈性。

● 定期使用模擬DDoS攻擊定期測試系統(tǒng)彈性。

● 創(chuàng)建和更新專為DDoS攻擊而設(shè)計的事件響應(yīng)計劃。

● 確保 DDoS防護服務(wù)始終處于活動狀態(tài)，并隨著業(yè)務(wù)需求進(jìn)行擴展。

5、惡意軟件

當(dāng)惡意軟件感染云服務(wù)提供商的系統(tǒng)時，它對云存儲的安全構(gòu)成了巨大威脅。與本地系統(tǒng)一樣，攻擊者可以利用惡意電子郵件附件或社交媒體鏈接來欺騙用戶。一旦被激活，惡意軟件可能會通過竊聽或竊取云服務(wù)應(yīng)用程序中的信息，并試圖規(guī)避檢測，從而對數(shù)據(jù)安全造成危害。

防護建議：

● 安裝可靠的防病毒解決方案，并定期更新其病毒庫和規(guī)則，同時持續(xù)監(jiān)控云環(huán)境。

● 備份數(shù)據(jù)，在發(fā)生安全事件或數(shù)據(jù)丟失時快速恢復(fù)。

●網(wǎng)絡(luò)分段隔離不同的部分以防止未經(jīng)授權(quán)的訪問。

● 使用多重身份驗證（MFA），通過要求密碼以外的驗證來增加額外的安全性。

● 實施零信任安全模型，以驗證人員和設(shè)備的身份和可信度。

6、惡意內(nèi)部威脅

企業(yè)的內(nèi)部人員可能會有意濫用其訪問權(quán)限，或者由于疏忽而暴露云上關(guān)鍵數(shù)據(jù)。內(nèi)部威脅的發(fā)生可以歸因于多種原因，包括缺乏安全意識、員工不滿或受到社會工程攻擊的影響。惡意的內(nèi)部人員還可能利用網(wǎng)絡(luò)釣魚，嘗試未經(jīng)授權(quán)訪問云資源。

防護建議：

● 在招聘過程中進(jìn)行徹底的背景調(diào)查，以驗證新員工的可信度。

● 設(shè)置嚴(yán)格的訪問控制，限制用戶權(quán)限并防止非法訪問。

● 持續(xù)開展員工培訓(xùn)，提高意識并倡導(dǎo)安全實踐。

● 確保強大的用戶身份驗證，包括強密碼要求、多因素身份驗證 (MFA) 的使用以及定期更換密碼。

● 過濾網(wǎng)絡(luò)釣魚電子郵件，采用自動化方法來過濾網(wǎng)絡(luò)釣魚電子郵件。

7、數(shù)據(jù)加密不足

當(dāng)云上數(shù)據(jù)沒有得到適當(dāng)?shù)谋Ｗo時，就會出現(xiàn)數(shù)據(jù)加密不足的問題，從而使數(shù)據(jù)暴露在不必要的訪問中。這種缺乏加密的情況會帶來重大的安全風(fēng)險，例如數(shù)據(jù)在傳輸過程中的攔截、機密性的泄露、數(shù)據(jù)篡改和違反合規(guī)性等。

防護建議：

● 使用端到端加密，在整個通信過程中保護數(shù)據(jù)，只有授權(quán)方能夠解密和訪問數(shù)據(jù)。

● 更新加密標(biāo)準(zhǔn)，確保實施強大的安全措施，并根據(jù)需要升級加密算法或協(xié)議。

● 采用訪問控制措施，確保只有經(jīng)過授權(quán)的用戶能夠訪問敏感信息和系統(tǒng)資源。

● 進(jìn)行加密實踐的定期審計和評估，及早發(fā)現(xiàn)并解決潛在漏洞。

8、修復(fù)能力不足

安全修復(fù)能力不足是指對云上應(yīng)用系統(tǒng)或程序未能及時安裝所需的安全修補程序。當(dāng)安全補丁未能按時應(yīng)用時，相關(guān)系統(tǒng)就容易受到網(wǎng)絡(luò)攻擊。惡意行為者通常會針對已知的軟件漏洞進(jìn)行攻擊，利用補丁安裝的延遲來獲取非法訪問權(quán)限，危害云上數(shù)據(jù)的安全性。

防護建議：

● 實施補丁管理系統(tǒng)，自動識別、測試和快速部署安全補丁。

● 定期執(zhí)行漏洞掃描，根據(jù)關(guān)鍵漏洞確定修補的優(yōu)先級。

● 創(chuàng)建修補策略，指定在整個云基礎(chǔ)架構(gòu)中安裝安全補丁的截止日期和方法。

● 與軟件提供商保持溝通，了解最新的安全補丁和更新。

● 創(chuàng)建分段網(wǎng)絡(luò)架構(gòu)，減少修補對整個系統(tǒng)的影響。

參考鏈接：https://www.esecurityplanet.com/cloud/cloud-storage-security-issues/