隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，越來越多的企業(yè)依賴多個(gè)云服務(wù)商，云安全問題日益復(fù)雜和嚴(yán)峻，云宕機(jī)或數(shù)據(jù)泄露導(dǎo)致的業(yè)務(wù)停頓不但意味著財(cái)務(wù)和聲譽(yù)的巨大損失，甚至?xí)o企業(yè)帶來滅頂之災(zāi)。

近年來，全球云計(jì)算巨頭如亞馬遜、阿里云和微軟Azure接連遭遇了影響廣泛的安全漏洞和宕機(jī)事故，尤其是最近發(fā)生的網(wǎng)易云停頓事件再次引發(fā)了業(yè)界對云安全和可靠性問題的深刻反思。

云計(jì)算環(huán)境看似是現(xiàn)有業(yè)務(wù)的無縫擴(kuò)展，但實(shí)際操作中，各個(gè)云團(tuán)隊(duì)分布廣泛，有時(shí)可能與網(wǎng)絡(luò)安全團(tuán)隊(duì)的需求背道而馳，這使得云計(jì)算的安全問題更加難以察覺和處理，產(chǎn)生大量安全盲區(qū)。

以下，是CISO最容易忽視或輕視的八個(gè)云安全問題：

一、隱形威脅：臨時(shí)性資源

臨時(shí)性資源在云計(jì)算中的使用越來越頻繁，例如短暫存儲(chǔ)實(shí)例或動(dòng)態(tài)資源分配，這些資源存在時(shí)間很短，通常只執(zhí)行特定功能后就終止。然而，這些短暫資源雖然壽命短，卻極難掃描，成為隱藏惡意軟件的理想場所。一旦被攻破，它們便可成為攻擊者的溫床，為惡意活動(dòng)提供暫時(shí)的庇護(hù)，而不會(huì)留下太多可供法證分析的痕跡。

二、云環(huán)境中的IT資產(chǎn)清點(diǎn)

很多安全專家過去在本地?cái)?shù)據(jù)中心中進(jìn)行IT資產(chǎn)清點(diǎn)時(shí)，常因操作過于復(fù)雜而避之不及。如今，在云端清點(diǎn)資產(chǎn)變得更加簡單，幾乎沒有借口可以再回避這個(gè)問題。云計(jì)算中的一切都可視作API，這使得清點(diǎn)資源變得更加高效和自動(dòng)化。通過快照API，企業(yè)可以掃描服務(wù)器上的應(yīng)用程序和庫，無需擔(dān)心掃描過程對性能的影響。

三、用云服務(wù)賬單監(jiān)測攻擊

云服務(wù)賬單可用于監(jiān)測攻擊，因?yàn)橛行┕粽卟⒉粷M足于竊取數(shù)據(jù)或發(fā)動(dòng)DDoS攻擊，他們通過增加企業(yè)的云服務(wù)開銷來進(jìn)行懲罰性攻擊，這種攻擊方式被稱為“錢包剝奪攻擊”（DoW）。此外，監(jiān)控云服務(wù)賬單開銷的異常波動(dòng)也能成為識別惡意活動(dòng)的早期信號，例如突然的使用量下降可能意味著攻擊者正在刪除備份文件，削弱企業(yè)的安全防護(hù)。

四、SaaS應(yīng)用的安全隱患

SaaS應(yīng)用的風(fēng)險(xiǎn)差異巨大，許多企業(yè)在關(guān)注主要的云服務(wù)提供商時(shí)，往往忽略了對SaaS服務(wù)的安全審查。這些第三方SaaS應(yīng)用可能存儲(chǔ)著代碼庫或其他關(guān)鍵數(shù)據(jù)，但卻未必具備足夠的安全防護(hù)，增加了攻擊者利用的機(jī)會(huì)。

五、不可忽視的DNS指向問題

DNS指向問題在云計(jì)算中看似微不足道，但一旦處理不當(dāng)，可能會(huì)導(dǎo)致嚴(yán)重后果。攻擊者可利用遺留的DNS指針偽裝成合法的企業(yè)網(wǎng)站，從而對用戶發(fā)起網(wǎng)絡(luò)攻擊。

在這個(gè)云計(jì)算主導(dǎo)的時(shí)代，企業(yè)需要不斷更新安全策略，應(yīng)對層出不窮的新威脅。即使看似無關(guān)緊要的云組件，也可能成為潛在的安全漏洞。

六、API的安全隱患

API是云結(jié)構(gòu)的基礎(chǔ)，也是攻擊者進(jìn)入系統(tǒng)的主要途徑之一。許多企業(yè)往往忽視API安全，特別是本地API密鑰的安全管理。例如，即使員工賬戶的單點(diǎn)登錄（SSO）已經(jīng)被禁用，但本地API密鑰卻仍然可能繼續(xù)有效。這種情況下，前員工仍然可能擁有對系統(tǒng)或數(shù)據(jù)的訪問權(quán)限，這無疑是一個(gè)嚴(yán)重的安全隱患。

對于使用多個(gè)云平臺(tái)的企業(yè)，跨平臺(tái)的API訪問問題尤為明顯。例如，如果某個(gè)企業(yè)在多個(gè)云平臺(tái)（如AWS和微軟Azure）中使用相同的身份驗(yàn)證平臺(tái)，那么攻擊者有可能通過攻擊其中一個(gè)API而獲得對整個(gè)云平臺(tái)架構(gòu)的廣泛訪問權(quán)限。

七、云端IDP備份策略的重要性

身份提供商（IDP）的中斷雖然相對較少發(fā)生，但企業(yè)仍然需要一個(gè)IDP備份策略以防不測。尤其在所有身份驗(yàn)證依賴于云服務(wù)的情況下，一旦主要IDP不可用，企業(yè)需要有應(yīng)急方案來繼續(xù)進(jìn)行認(rèn)證和服務(wù)訪問。然而，許多公司在考慮到切換到備份IDP可能對用戶造成的干擾時(shí)，往往選擇放棄這一策略。這導(dǎo)致企業(yè)在IDP中斷時(shí)暴露于嚴(yán)重的身份驗(yàn)證風(fēng)險(xiǎn)。

八、元數(shù)據(jù)服務(wù)的隱患

2024年3月，亞馬遜AWS悄悄更新了其實(shí)例元數(shù)據(jù)服務(wù)（IMDS），引入了版本2（IMDSv2）以提高安全性。元數(shù)據(jù)服務(wù)存儲(chǔ)了安全憑據(jù)和其他關(guān)鍵信息，可能被攻擊者利用，通過服務(wù)端請求偽造（SSRF）竊取這些憑據(jù)。盡管AWS早在2019年就推出了IMDSv2，但許多企業(yè)仍在使用原版IMDSv1，這使得它們暴露于潛在的安全威脅中。AWS的最新更新允許默認(rèn)將所有新創(chuàng)建的實(shí)例設(shè)置為IMDSv2，但現(xiàn)有的IMDSv1實(shí)例仍需要手動(dòng)重新配置。

該漏洞使許多組織在不知不覺中暴露于嚴(yán)重的憑據(jù)盜竊風(fēng)險(xiǎn)中，如果攻擊者利用這些憑據(jù)在企業(yè)內(nèi)部進(jìn)行橫向移動(dòng)，可能導(dǎo)致災(zāi)難性的后果。