| 标题 | 云服务的11个威胁 |
| 范文 | 余梁 一项行业调查显示,许多企业都需要注意安全问题,而不是将任务交给云提供商。云安全联盟对241名行业专家进行调查,发现了一个“令人震惊的”云安全问题。 该调查的作者指出,2020年许多安全问题都将安全责任指向了用户企业,而不是依赖于服务提供商,传统云服务提供商在云安全问题上的排名有所下降。诸如拒绝服务、共享技术漏洞、CSP数据丢失以及系统漏洞等问题,这些在以前都是受关注颇高的安全问题,现在的排名则有所下降。这表明CSP负责的传统安全问题似乎不那么令人担忧。相反,高级管理层决策所带来的技术堆栈是更值得注意的安全问题。 这与Forbes Insights和VMware最近的另一项调查结果一致,该调查发现,部分公司正在极力避免将安全措施移交给云提供商,只有31 %的领导者表示要将安全措施移交给云提供商。尽管如此,94 %的公司在某些安全方面采用了云服务。 CSA的最新报告强调了2020年的主要安全问题 1.数据泄露 报告的作者指出,数据正成为网络攻击的主要目标,定义数据的业务价值及其损失的影响对于拥有或处理数据的企业非常重要。此外,保护数据正演变成谁有权访问数据的问题。加密技术可以帮助保护数据,但会对系统性能产生负面影响,同时降低应用程序的用户友好度。 2.配置错误和变更控制不足 基于云的资源非常复杂和动态,使配置具有挑战性。传统控制和变更管理方法在云中无效。公司应该采用自动化技术,采用能持续扫描错误配置资源并实时修复问题的技术。 3.缺乏云安全架构和策略 确保安全架构与业务的目标保持一致,开发并实施安全架构框架。 4.身份、凭据、访问和密钥管理不足 安全帐户包括双因素身份验证和有限的根帐户使用。对云用户和身份实行最严格的身份访问控制。 5.账户劫持 这是一个必须认真对待的威胁,深度防御和IAM控制是减少账户劫持的关键。 6.内部威胁 采取措施尽量减少内部疏忽,有助于减轻内部威胁的后果。为安全团隊提供培训,以便正确安装、配置和监视计算机系统、网络、移动设备和备份设备。CSA实施还敦促“定期的员工培训意识”,为正式员工提供培训,告诉他们如何处理安全风险,比如网络钓鱼,以及保护他们在公司外部笔记本电脑和移动设备上携带的公司数据。 7.不安全的接口和API 保证良好API的做法包括对库存、测试、审核以及异常活动保护等项目进行认真的监督。此外,考虑使用标准和开放的API框架,例如,开放式云计算接口(OCCI)和云基础设施管理接口(CIMI)。 8.弱控制平面 企业应该进行详尽的调查,并确定打算使用的云服务是否拥有足够的控制平面。 9.元结构和应用结构故障 云服务提供商必须提供可见性和公开缓解措施,以抵消租户对云缺乏透明性的看法,所有CSP都应进行渗透测试,并向客户提供结果。 10.有限的云使用可视性 降低风险始于从上到下开发完整的云可见性工作。要求全公司范围内培训公认的云使用策略并实施,所有未经批准的云服务都必须经过云安全架构师或第三方风险管理人员的审核和批准。 11.滥用和恶意使用云服务 企业应该监控为安排云工作的员工,因为传统机制无法减轻云服务使用带来的风险。 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。