云安全和傳統(tǒng)安全的區(qū)別

云安全與傳統(tǒng)安全最大的區(qū)別就是責任范圍，傳統(tǒng)安全用戶100%是自己的安全責任，云安全由用戶和云供應(yīng)商共同承擔責任，共同責任模式是云安全的典型特征。

共同責任模式概述了云服務(wù)商或用戶處理的安全因素。責任范圍因客戶使用云服務(wù)而異。這些服務(wù)包括軟件即服務(wù)、平臺即服務(wù)和基礎(chǔ)結(jié)構(gòu)即服務(wù)。

根據(jù)企業(yè)使用的云服務(wù)提供商，責任分工不同。

SaaS：如果企業(yè)只使用SaaS應(yīng)用，則擔心的云安全問題最少。云服務(wù)提供商負責包含應(yīng)用和基礎(chǔ)設(shè)施。企業(yè)必須保護和管理它們放入云中的數(shù)據(jù)。此外，企業(yè)還應(yīng)管理哪些員工正在使用應(yīng)用以及如何使用。

PaaS：使用PaaS服務(wù)的企業(yè)必須確保與SaaS產(chǎn)品相同的元素，以及應(yīng)用程序部署和管理。云服務(wù)提供商負責保護運行這些服務(wù)的基礎(chǔ)設(shè)施和操作系統(tǒng)的安全。

IaaS：企業(yè)能更多的控制IaaS服務(wù)的云環(huán)境；但是，這意味著更多的云安全責任。除了類似SaaS的責任外，企業(yè)還負責OS安全，并配置保護基礎(chǔ)設(shè)施的安全軟件或防火墻等服務(wù)。

云安全的挑戰(zhàn)及應(yīng)對

云的所有收益，敏捷，提高效率，靈活性，伴隨著重大挑戰(zhàn)安全性。安全與其他因素是相輔相成的關(guān)系，如果安全出現(xiàn)問題，所有的收益都會為零，甚至會給企業(yè)帶來嚴重的損失。

云使安全問題更加復雜，傳統(tǒng)的安全控制通常無法滿足云的安全需求。許多企業(yè)無法整理云服務(wù)提供商(CSP)的責任界限，面臨許多漏洞。云的擴展性也增加了潛在攻擊面。

為了幫助公司理解他們面臨的云挑戰(zhàn)，云安全聯(lián)盟(CSA)整理了11個最常見的云安全挑戰(zhàn)

1.數(shù)據(jù)泄露

2.配置錯誤和變更控制不足

3.缺乏云安全架構(gòu)和策略

4.身份、憑據(jù)、訪問和關(guān)鍵管理不足

5.帳戶劫持

6.內(nèi)部威脅

7.不安全的接口和API

8.弱控制平面

9.元結(jié)構(gòu)和應(yīng)用列表失敗

10.有限的可視化

11.濫用云服務(wù)

1.數(shù)據(jù)泄露

數(shù)據(jù)泄露是CSP及其客戶的共同責任，也是主要的云安全威脅。數(shù)據(jù)泄露可能會使公司屈服，對其聲譽造成不可逆轉(zhuǎn)的損害，造成的財務(wù)困境，法律責任，事故響應(yīng)成本以及市場價值下降。

CSA建議如下：

定義數(shù)據(jù)價值及其損失的影響；

通過加密保護數(shù)據(jù)；

有一個完善的，經(jīng)過充分測試的事件響應(yīng)計劃。

CSA云管控矩陣（CCM）規(guī)范包括以下內(nèi)容：

執(zhí)行數(shù)據(jù)輸入和輸出完整性程序；

將最低特權(quán)原則應(yīng)用于訪問控制；

制定安全數(shù)據(jù)刪除和處置的政策和流程。

2.配置錯誤和變更控制不足

當資產(chǎn)配置錯誤時，容易受到攻擊。除了不安全的存儲之外，過多的權(quán)限和使用默認憑據(jù)也是漏洞的另外兩個主要來源。

與此相關(guān)的是，無效的變更控制可能導致云配置錯誤。在按需實時云環(huán)境中，應(yīng)自動進行變更控制，以支持快速變更。

CSA建議如下：

特別注意通過互聯(lián)網(wǎng)訪問的數(shù)據(jù)；

定義數(shù)據(jù)的業(yè)務(wù)價值及其損失的影響；

創(chuàng)建并維護強大的事件響應(yīng)計劃。

CCM規(guī)范包括：

確保外部合作伙伴遵守內(nèi)部開發(fā)人員使用的變更管理、發(fā)布和測試程序；

定期進行風險評估；

與承包商、第三方用戶和員工一起進行安全意識培訓。

3.缺乏云安全架構(gòu)和策略

太多的企業(yè)在沒有適當?shù)募軜?gòu)和策略的情況下使用云。在使用云之前，用戶必須了解面臨的威脅、如何安全遷移到云以共同責任模型。

如果沒有適當?shù)囊?guī)劃，用戶將容易受到網(wǎng)絡(luò)攻擊，這些攻擊可能導致財務(wù)損失、聲譽損害以及法律和合規(guī)問題。

CSA 建議如下：

確保安全架構(gòu)與業(yè)務(wù)目標和目標一致；

制定和實施安全架構(gòu)框架；

實施連續(xù)的安全監(jiān)控流程。

CCM規(guī)范包括：

確保風險評估策略，包括流程、標準和控制以保持相關(guān)性；

根據(jù)商定的服務(wù)級別和容量級別、IT治理以及服務(wù)管理策略和流程，設(shè)計、開發(fā)和部署業(yè)務(wù)應(yīng)用程序，及API設(shè)計和配置，網(wǎng)絡(luò)和系統(tǒng)組件；

限制和監(jiān)控網(wǎng)絡(luò)環(huán)境中受信任和不信任的連接之間的流量。

4. 身份、憑據(jù)、訪問權(quán)限和關(guān)鍵管理不足

大多數(shù)云安全威脅（以及一般的網(wǎng)絡(luò)安全威脅）可能與身份和訪問管理（IAM）問題相關(guān)聯(lián)。根據(jù)CSA指南，這源于以下問題：

不適當?shù)膽{據(jù)保護；

缺少自動加密密鑰、密碼和證書；

IAM可擴展性挑戰(zhàn)；

缺少多因素身份驗證；

弱密碼。

通過管理配置、僵尸帳戶、過度帳戶、繞過IAM控件以及定義角色和權(quán)限，進一步進行跟蹤、監(jiān)控和管理所需云帳戶的總數(shù)。

作為客戶責任，CSA 建議如下：

使用雙重身份驗證；

對云用戶和身份實施嚴格的IAM控制；

密鑰，刪除未使用的憑據(jù)和訪問權(quán)限，并采用中心、程序化密鑰管理。

CCM規(guī)范包括：

確定關(guān)鍵管理人并制定和維護關(guān)鍵管理政策；

分配、記錄和傳達履行解雇或程序變更的職責和職責；

及時取消用戶對數(shù)據(jù)和網(wǎng)絡(luò)組件的訪問。

5. 帳戶劫持

云帳戶劫持是云帳戶的披露、意外泄漏、暴露或其他對云環(huán)境的操作、管理。這些高度特權(quán)和敏感的帳戶如果被破壞，可能會造成巨大的后果。

從網(wǎng)絡(luò)釣魚、憑據(jù)填充、弱密碼或被盜憑據(jù)到不當編碼，帳戶泄露可能導致數(shù)據(jù)泄露和服務(wù)中斷。

作為CSP和用戶的責任，CSA建議如下：

記住，帳戶劫持不僅僅是一個密碼重置；

使用深度防御和IAM 控制。

CCM規(guī)范包括：

制定、記錄和采用統(tǒng)一的業(yè)務(wù)連續(xù)性計劃；

將生產(chǎn)和非生產(chǎn)環(huán)境分開；

維護并定期更新合規(guī)聯(lián)絡(luò)，為需要快速參與執(zhí)法調(diào)查做準備。

6. 內(nèi)部威脅

與員工和其他在企業(yè)網(wǎng)絡(luò)內(nèi)工作的人相關(guān)的風險不僅限于云。無論是疏忽還是故意，內(nèi)部人員（包括現(xiàn)任和前任員工、承包商和合作伙伴）都可能導致數(shù)據(jù)丟失、系統(tǒng)停機、客戶信心下降和數(shù)據(jù)泄露。

必須解決客戶的責任、涉及泄露或被盜數(shù)據(jù)的內(nèi)部威脅、憑據(jù)問題、人為錯誤和云配置錯誤。

CSA 建議如下：

開展安全意識培訓；

修復配置錯誤的云服務(wù)器；

限制對關(guān)鍵系統(tǒng)的訪問。

CCM 規(guī)范包括：

在搬遷或傳輸硬件、軟件或數(shù)據(jù)之前需要授權(quán)；

授權(quán)和重新驗證用戶訪問控制，并計劃間隔；

從其他租戶分割多租戶應(yīng)用程序、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。

7. 不安全的接口和 API

用戶通過 CSP UI 和 API 與云服務(wù)進行交互，是云環(huán)境中最暴露的組件之一。任何云服務(wù)的安全性都始于這些服務(wù)的維護程度，并且是客戶和 CSP 的責任。

必須確保安全集成，客戶必須努力管理、監(jiān)控。CSA 建議如下：

良好的 API 習慣；

避免 API 密鑰重復使用；

使用標準和開放的API框架。

CCM 規(guī)范包括：

按照行業(yè)領(lǐng)先標準設(shè)計、開發(fā)、部署和測試 API，并遵守適用的法律、法規(guī)和監(jiān)管義務(wù)；

隔離和限制對與企業(yè)信息系統(tǒng)交互的審計工具的訪問，以防止數(shù)據(jù)披露和篡改；

限制能夠覆蓋系統(tǒng)、對象、網(wǎng)絡(luò)、VM 和應(yīng)用程序控制的實用程序。

8. 控制平面弱

云控制平面是收集企業(yè)使用的云管理控制臺和接口，是用的責任。根據(jù)CSA的數(shù)據(jù)，它還包括數(shù)據(jù)復制、遷移和存儲。被破壞的控制平面可能導致數(shù)據(jù)丟失、監(jiān)管罰款和其他后果，以及品牌聲譽受損，可能導致收入損失。

CSA 建議如下：

需要從 CSP 獲得足夠的控制；

盡職調(diào)查以確定潛在的云服務(wù)是否有足夠的控制平面。

CCM 規(guī)范包括：

建立和制定信息安全政策和程序，供內(nèi)部人員和外部業(yè)務(wù)關(guān)系審查；

實施和運用防御深入措施，及時發(fā)現(xiàn)和應(yīng)對網(wǎng)絡(luò)攻擊；

制定策略來標記、處理和安全包含數(shù)據(jù)的數(shù)據(jù)和對象。

9. 元結(jié)構(gòu)和應(yīng)用列表失敗

CSA 定義的元結(jié)構(gòu)是"提供基礎(chǔ)設(shè)施層和其他層之間接口的協(xié)議和機制"，換句話說，"連接技術(shù)并實現(xiàn)管理和配置的膠水"。

也被稱為水線，元結(jié)構(gòu)是CSP和客戶之間的分界線。這里存在許多安全威脅，例如，CSA 列舉了 CSP 執(zhí)行不良的 API 或客戶使用不當?shù)脑茟?yīng)用。此類安全挑戰(zhàn)可能導致服務(wù)中斷和配置錯誤，并造成財務(wù)和數(shù)據(jù)損失后果。

應(yīng)用列表的定義是"部署在云中的應(yīng)用程序和用于構(gòu)建它們的基礎(chǔ)應(yīng)用程序服務(wù)（例如，PaaS 功能，如消息隊列、AI 分析或通知服務(wù)）。

報告的新威脅是客戶和 CSP 的責任。CSA 建議如下：

CSP 提供可見性和暴露緩解措施，以抵消租戶缺乏透明度；

CSP 進行滲透測試，向客戶提供調(diào)查結(jié)果；

客戶在云原生設(shè)計中實現(xiàn)功能和控制。

CCM 規(guī)范包括：

制定和維護審計計劃，以解決業(yè)務(wù)流程中斷問題；

實施加密，以保護存儲、使用和傳輸中的數(shù)據(jù)；

制定存儲和管理身份信息的政策和程序。

10. 有限的可視化

云可視化長期以來一直是企業(yè)管理員關(guān)注的問題，有限的可視化會導致兩個關(guān)鍵挑戰(zhàn)：

未經(jīng)批準的應(yīng)用使用；

批準的應(yīng)用未按預期使用，包括授權(quán)使用該應(yīng)用程序的用戶，以及通過 SQL 注入或 DNS 攻擊獲得的被盜憑據(jù)訪問的未經(jīng)授權(quán)的個人。

CSA說，這種有限的可見性導致缺乏治理、意識和安全性，所有這些都可能導致網(wǎng)絡(luò)攻擊、數(shù)據(jù)丟失和泄露。

CSA 建議如下：

從上到下開發(fā)云可視化；

強制和執(zhí)行全公司范圍內(nèi)對可接受的云使用策略的培訓；

要求所有未經(jīng)批準的云服務(wù)由云安全架構(gòu)師或第三方風險管理機構(gòu)審核和批準。

CCM 規(guī)范包括：

定期進行風險評估；

使所有人員了解其合規(guī)和安全職責；

進行清點、記錄和維護數(shù)據(jù)流。

11. 濫用云服務(wù)

云可以被惡意使用，對合法的 SaaS、PaaS 和 IaaS 產(chǎn)品的邪惡使用都會影響個人、云用戶和 CSP。用戶容易受到以下云服務(wù)的濫用：

分布式拒絕服務(wù)攻擊

網(wǎng)絡(luò)釣魚

加密

單擊欺詐

蠻力攻擊

托管惡意或盜版內(nèi)容

泄露和濫用的云服務(wù)可能導致費用發(fā)生，例如，惡意挖礦或攻擊者付款，客戶在不知不覺中托管惡意軟件，數(shù)據(jù)丟失等。

CSA 建議 CSP 努力通過事件響應(yīng)框架檢測和減輕此類攻擊。CSP 還應(yīng)提供其客戶可用于監(jiān)控云工作負載和應(yīng)用程序的工具和控制。

作為客戶和 CSP 的責任，CSA 建議如下：

監(jiān)控員工云的使用；

使用云數(shù)據(jù)丟失預防技術(shù)。

CCM 規(guī)范包括：

采取技術(shù)措施管理移動設(shè)備風險：

確定企業(yè)和用戶擁有的終端（包括工作站、筆記本電腦和移動設(shè)備）的限額和使用權(quán)限

創(chuàng)建并維護已批準的應(yīng)用程序和應(yīng)用程序商店列表。

以上就是云安全和傳統(tǒng)安全有什么區(qū)別以及會遇到哪些問題的介紹，億聯(lián)云提供企業(yè)私有云和公有云，以及企業(yè)多云直連的云專線業(yè)務(wù)，可以快速、有效的為客戶提供高速、穩(wěn)定的專有通道。如果您有相關(guān)的業(yè)務(wù)場景，歡迎咨詢，我們有專業(yè)的技術(shù)團隊可以為您提供更好的建議和方案。