成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

規(guī)避IaaS風(fēng)險 你要提防不安全的API

云計算 云安全 IaaS
IaaS的數(shù)據(jù)安全風(fēng)險對企業(yè)遷移到云來說是一個長期存在的問題,然而有一些特定的問題需要我們時刻留意。

[[145186]]

把數(shù)據(jù)、系統(tǒng)和應(yīng)用放到云環(huán)境中的風(fēng)險已經(jīng)是眾所周知的事情。現(xiàn)今像云安全聯(lián)盟(CSA)這樣的組織一直描述各種云部署模型中存在的風(fēng)險,并在2015年 5月發(fā)表題為“IaaS云存在的錯誤可能讓你的數(shù)據(jù)處于危險之中”的文章,Symantec描述了一些可能對基礎(chǔ)設(shè)施及服務(wù)(IaaS)云服務(wù)的客戶產(chǎn)成風(fēng)險的主要領(lǐng)域。在一次采訪中,亞馬遜Web服務(wù)的資深安全項(xiàng)目經(jīng)理Bill Murray表示關(guān)于云安全最大的擔(dān)憂是,客戶沒有把基本的安全最佳實(shí)踐應(yīng)用到他們部署和管理的IaaS資產(chǎn)中。這與Symantec的研究結(jié)果相一致,該結(jié)果發(fā)現(xiàn)16000個已經(jīng)發(fā)現(xiàn)的云域中有0.3%的域文件夾結(jié)構(gòu)很容易被猜到,其不僅可以被訪問,而且還導(dǎo)致11000個文件,包含如信用卡交易、用戶名和密碼、電子郵件地址的敏感數(shù)據(jù)對任何人都可讀。研究人員還發(fā)現(xiàn)了一些泄露的可訪問的密碼憑證,其中有些被硬編碼到應(yīng)用程序中。

IaaS的數(shù)據(jù)安全風(fēng)險對企業(yè)遷移到云來說是一個長期存在的問題,然而有一些特定的問題需要我們時刻留意。

Symantec在云安全研究中發(fā)現(xiàn)的首要問題包括接口API、共享資源、數(shù)據(jù)泄露、惡意的內(nèi)部人員和錯誤配置的問題。所有這些都和CSA的報告“臭名昭著的九條:2013年云計算主要威脅”所描述的問題一致。Symantec在研究中發(fā)現(xiàn)了這些數(shù)據(jù)安全風(fēng)險的具體事例,不過,在組織實(shí)施和評估云服務(wù)的今天,應(yīng)該提供一些“發(fā)人深思的東西”。

提防不安全的API

Symantec報告的一個核心主題是,許多最嚴(yán)重的IaaS風(fēng)險很大程度是由于云管理員對操作系統(tǒng),應(yīng)用程序和云管理界面的錯誤配置或缺乏安全控制。列出的第一個主要風(fēng)險是缺乏安全的API,這些API是由云提供商提供以允許用戶與他們的服務(wù)以及服務(wù)管理更無縫的集成。盡管提供商負(fù)責(zé)提供安全的API和補(bǔ)丁,客戶應(yīng)該自己對這些API進(jìn)行評估,包括支持的傳輸方法以及什么樣的數(shù)據(jù)在與供應(yīng)商的交互過程中被來回發(fā)送。API或應(yīng)用程序的更新很容易導(dǎo)致兼容性問題,甚至也可能引發(fā)數(shù)據(jù)泄露的場景,因此客戶應(yīng)該定期測試他們的程序和API交互的部分。

云提供商的責(zé)任

當(dāng)然云用戶本身無法完全減輕內(nèi)部人員威脅,云提供商必須監(jiān)控所有的活動和實(shí)現(xiàn)可靠的職責(zé)和權(quán)限管理流程控制的分離。該報告明確提到將加密密鑰存儲到云里,那里惡意的內(nèi)部人員有可能訪問到這些密鑰。虛擬化管理程序的漏洞也存在同樣的問題--用戶無法查看虛擬機(jī)管理程序的配置或控制,因此供應(yīng)商將需要對虛擬化平臺和工具相關(guān)的補(bǔ)丁和新缺陷更加細(xì)心。大多數(shù)云供應(yīng)商也有對分布式DDoS攻擊的強(qiáng)力控制,以及對數(shù)據(jù)丟失的控制。但是,用戶沒有對云帳戶口令的訪問控制權(quán)或無法監(jiān)控IaaS日志來查看非法活動或者帳戶使用的情況。攻擊者正在黑市上以每個7到8美元的價格販?zhǔn)墼品?wù)帳戶。

防御IaaS攻擊

Symantec的報告中描述了各種不同的針對IaaS環(huán)境的攻擊,包括存儲枚舉,泄露的訪問令牌等。建議云客戶要在選定IaaS前徹底調(diào)研云服務(wù)提供商的安全控制和服務(wù)水平協(xié)議。客戶應(yīng)盡可能利用多因素身份驗(yàn)證,對數(shù)據(jù)進(jìn)行加密以減少內(nèi)部威脅,維護(hù)密鑰的控制權(quán),并開始比以往任何時候都更關(guān)注在云環(huán)境中的可用日志。定期掃描基于云的系統(tǒng)漏洞也是一個最佳做法。

原文鏈接:http://www.searchcloudcomputing.com.cn/showcontent_90164.htm

責(zé)任編輯:Ophira 來源: TechTarget中國
相關(guān)推薦

2015-08-13 10:20:29

2021-12-08 07:31:40

Linux安全病毒

2015-07-01 14:48:51

2023-06-01 19:24:16

2012-04-16 10:12:54

Java線程

2015-08-10 17:33:20

2020-11-03 12:32:25

影子物聯(lián)網(wǎng)物聯(lián)網(wǎng)IOT

2020-04-22 20:35:02

HashMap線程安全

2021-04-04 23:16:52

安全刷臉銀行

2009-08-03 16:58:59

C#不安全代碼

2024-01-19 08:42:45

Java線程字符串

2014-04-09 09:37:29

2018-09-27 14:37:09

風(fēng)險云計算安全

2022-12-12 08:17:29

2014-09-12 17:44:23

2020-04-23 10:36:45

容器云安全云計算

2019-08-01 17:38:39

2022-07-19 11:30:29

接口安全

2018-01-26 10:49:19

2019-03-30 14:39:11

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號

主站蜘蛛池模板: 亚洲综合无码一区二区 | 一区二区三区欧美 | 中文日韩字幕 | 日韩1区 | 久久99精品久久久久久 | 久久精品亚洲欧美日韩精品中文字幕 | 欧美精品一区二区在线观看 | 中文字幕国产精品 | 国产乱码久久久 | av在线免费观看不卡 | 欧美日韩专区 | 精品久久久久久亚洲综合网 | 国产视频线观看永久免费 | 国产精品黄色 | 欧美在线一区二区三区 | 欧美国产91 | 免费观看毛片 | 一级黄在线观看 | 亚洲国产欧美日韩 | 国产农村一级片 | 国产精品久久久久一区二区三区 | 午夜免费观看体验区 | 日韩视频在线免费观看 | 免费毛片网站 | 99re在线播放 | 午夜免费电影院 | 91看片在线观看 | 综合精品在线 | 国产精品不卡 | 亚洲入口| 成人毛片视频在线播放 | 久久69精品久久久久久久电影好 | 黄色在线免费观看视频网站 | 伊人中文字幕 | 中文字幕日韩在线观看 | tube国产| 成人久久久 | 亚洲欧美在线免费观看 | 超碰地址 | 91精品在线播放 | 自拍视频网站 |