云計算的主要好處之一是它為托管資源提供了高可用性。他們可以從任何地方進入。那太好了。但這也意味著您的云基礎設施不可避免地會受到影響-面向互聯(lián)網(wǎng)。這使得任何威脅參與者都可以輕松地嘗試連接到您的服務器和服務，進行端口掃描、字典攻擊和偵察活動。

[[412383]]

云基礎設施需要解決的一些安全問題與內(nèi)部部署的傳統(tǒng)基礎設施相同。有些是不同的，或包括額外的挑戰(zhàn)。第一步是識別與云基礎設施相關的風險。您需要實施應對措施和其他應對措施，以減少或減輕這些風險。確保你真的記錄了它們，并在所有利益相關者在場和參與的情況下排練它們。這將形成您的總體云安全戰(zhàn)略。

沒有云安全策略就像忽視地面網(wǎng)絡的網(wǎng)絡安全一樣。實際上，這可能更糟，因為云的本質(zhì)是面向互聯(lián)網(wǎng)的。

企業(yè)面臨的特定風險略有不同，這取決于使用云的方式以及使用的云產(chǎn)品的組合：基礎設施即服務、平臺即服務、軟件即服務、容器即服務等等。對風險進行分類有不同的方法。我們把他們聚集在一起，形成一個連貫但通用的風險群體?？赡苡幸恍┎贿m用于企業(yè)的確切用例，但在丟棄它們之前，需要確保確實如此。

錯誤配置和人為錯誤

在各種規(guī)模的組織中，由于疏忽、過度工作或根本不知道更好的方法而導致的錯誤仍然比比皆是。忘記的項目和錯過的設置會導致每周的系統(tǒng)故障。2017年Equifax的大規(guī)模漏洞泄露了超過1.6億人的個人數(shù)據(jù)，利用了過時的SSL證書。如果有一個管理可更新項目的流程，并有明確的指導，說明誰應對該流程負責，那么證書很可能會被更新，而且違約行為也不會發(fā)生。

安全研究人員幾乎每周都會使用Shodan之類的工具來發(fā)現(xiàn)不安全的容器，Shodan是一個搜索設備、端口和服務的搜索引擎。其中一些違約和風險敞口的出現(xiàn)是因為人們期望事情在違約時是安全的，而事實并非如此。一旦啟動了遠程服務器，就需要執(zhí)行與其他服務器相同的強化步驟和安全改進。修補也很重要。為了維護服務器防御的完整性，它需要及時應用安全和維護補丁。

應用程序，尤其是數(shù)據(jù)存儲和數(shù)據(jù)庫，如彈性搜索，也需要在安裝后進行加固。默認帳戶需要更改其憑據(jù)，并使用提供的最高安全級別保護API。

如果可用，應使用雙因素或多因素身份驗證。避免基于SMS的雙因素身份驗證，很容易受到影響。如果不需要未使用的API，則應關閉它們，或者使用未發(fā)布的API密鑰和專用API密鑰阻止它們的使用。Web應用程序防火墻將針對SQL注入攻擊和跨站點腳本等威脅提供保護。

缺乏變更控制

與配置錯誤相關的是在更改或更新工作系統(tǒng)時引入的漏洞。應以可控和可預測的方式進行。這意味著計劃并同意更改，檢查代碼，將更改應用到沙盒系統(tǒng)，測試它們，并將它們推出到活動系統(tǒng)。這是非常適合自動化的東西，只要開發(fā)到部署管道是適當?shù)慕训?，并且實際測試您認為它做什么，盡可能徹底地測試您所需要的。

你需要注意的其他變化是在威脅環(huán)境中。您無法控制新的漏洞被發(fā)現(xiàn)并添加到威脅參與者可以使用的漏洞列表中。您可以做的是確保掃描云基礎設施，以便解決所有當前已知的漏洞。

應針對您的云基礎設施運行頻繁且徹底的滲透掃描。發(fā)現(xiàn)并糾正漏洞是保持云投資安全的核心要素。滲透掃描可以搜索忘記的開放端口、薄弱或未受保護的API、過時的協(xié)議棧、常見錯誤配置、常見漏洞和暴露數(shù)據(jù)庫中的所有漏洞，等等。它們可以自動執(zhí)行，并設置為在發(fā)現(xiàn)可操作項時發(fā)出警報。

賬戶劫持

帳戶劫持是指通過訪問授權(quán)人員的電子郵件帳戶、登錄憑據(jù)或任何其他需要對計算機系統(tǒng)或服務進行身份驗證的信息來破壞系統(tǒng)的行為。然后，威脅行為人有權(quán)更改帳戶密碼并進行惡意和非法活動。如果他們破壞了一個管理員的帳戶，他們可以為自己創(chuàng)建一個新帳戶，然后登錄到該帳戶，使管理員的帳戶看起來沒有受到影響。

釣魚攻擊或字典攻擊是獲取憑據(jù)的常見手段。除了使用常用數(shù)字和字母替換的字典單詞和排列之外，字典攻擊還使用來自其他數(shù)據(jù)泄露的密碼數(shù)據(jù)庫。如果任何帳戶持有人在其他系統(tǒng)上被發(fā)現(xiàn)以前的漏洞，并在您的系統(tǒng)上重新使用泄露的密碼，他們已經(jīng)在您的系統(tǒng)上創(chuàng)建了一個漏洞。密碼不應在其他系統(tǒng)上重復使用。

雙因素和多因素身份驗證在這里會有所幫助，自動掃描日志查找失敗的訪問嘗試也會有所幫助。但一定要檢查你的托管服務提供商的政策和程序。你假設他們會遵循行業(yè)最佳實踐，但在2019年，有消息稱谷歌已將G套件密碼以純文本形式存儲了14年。

能見度降低

霧天開車是一項吃力不討好的工作。管理一個沒有安全專業(yè)人員用來監(jiān)視和驗證網(wǎng)絡安全的低層次、細粒度信息的系統(tǒng)也是一個類似的前景。如果你能看到你需要的東西，你就不會做得那么好。

大多數(shù)云服務器通常支持多種連接方法，例如遠程桌面協(xié)議、安全Shell和內(nèi)置web門戶等。所有這些都可以被攻擊。如果攻擊正在發(fā)生，你需要知道。一些托管提供商可以為您提供更好的日志記錄或更透明的日志訪問，但您必須請求這樣做。默認情況下他們不會這么做。

訪問日志只是第一步。你需要分析它們，尋找可疑的行為或不尋常的事件。將來自多個不同系統(tǒng)的日志聚合起來，并在一個時間軸上查看它們，可能比逐個瀏覽每個日志更具啟發(fā)性。要真正做到這一點，唯一的方法就是使用自動工具來尋找無法解釋或可疑的事件。更好的工具還將匹配并找到可能是攻擊結(jié)果的事件模式，這當然值得進一步調(diào)查。

不遵守數(shù)據(jù)保護法規(guī)

不合規(guī)是數(shù)據(jù)保護和數(shù)據(jù)隱私相當于系統(tǒng)配置錯誤。不執(zhí)行法律要求的政策和程序以確保個人數(shù)據(jù)的合法收集、處理和傳輸是另一種類型的脆弱性，但它仍然是脆弱性。

這也是一個容易落入的陷阱。數(shù)據(jù)保護顯然是一件好事，而要求組織以保護和保護人們數(shù)據(jù)的方式運作的立法也是一件好事。但是，如果沒有專家?guī)椭驌碛凶銐蚣寄芎徒?jīng)驗的內(nèi)部資源，跟蹤立法本身是非常困難的。

新的立法一直在頒布，現(xiàn)有的立法也在修訂。當英國在2020年1月31日離開歐洲經(jīng)濟聯(lián)盟(EEU)時，英國公司發(fā)現(xiàn)自己處于一個奇怪的境地。對于他們持有的任何英國公民數(shù)據(jù)，他們必須遵守《2018年英國數(shù)據(jù)保護法》第二章中包含的英國特定版本的一般數(shù)據(jù)保護條例。如果他們持有的任何個人資料屬于居住在歐洲其他地方的人，那么歐盟GDPR就起作用了。

GDPR適用于所有的組織，不管它們在哪里。如果您收集、處理或存儲屬于英國或歐洲公民的個人數(shù)據(jù)，其中一個GDPRs將適用于您，必須處理此問題的不僅僅是英國和歐盟組織。同樣的模式也適用于加州消費者隱私法案(CCPA)。它保護加州居民，不管數(shù)據(jù)處理發(fā)生在哪里。因此，這并不是只有加州的組織才需要解決的問題。重要的不是你的位置。重要的是你正在處理其數(shù)據(jù)的人的位置。

加州并不是唯一一個通過立法解決數(shù)據(jù)隱私問題的州。內(nèi)華達州和緬因州也有立法，紐約、馬里蘭州、馬薩諸塞州、夏威夷和北達科他州也在實施各自的數(shù)據(jù)隱私法。

這是除了垂直集中的聯(lián)邦立法，如健康保險便攜性和責任法案(HIPAA)，兒童在線隱私保護規(guī)則(COPPA)和格萊姆-里奇-布萊利法案(GLBA)的立法，如果其中任何一個適用于您的活動。

如果您通過云基礎設施中的門戶或網(wǎng)站收集信息，或者在托管服務器上處理數(shù)據(jù)，那么這些大量的立法將適用于您。在數(shù)據(jù)泄露的情況下，不合規(guī)行為可能會招致重大的經(jīng)濟處罰，同時還會損害聲譽，并可能引發(fā)集體訴訟。

做得好就是全職工作

安全是一個永無止境的挑戰(zhàn)，云計算帶來了它自己獨特的關注點。謹慎選擇主機或服務提供商是一個關鍵因素。在正式接觸他們之前，確保你做了徹底的盡職調(diào)查。

•他們是否認真對待安全問題?他們的業(yè)績?nèi)绾?

•他們是提供指導和支持，還是向你推銷他們的服務，讓你去做?

•作為服務的一部分，他們提供了哪些安全工具和措施?

•可以使用哪些日志?

當討論云計算時，通常有人會給出這樣一個眾所周知的聲音：“云只是指其他人的計算機。”和所有的聲音一樣，這是一個嚴重的過于簡單化。但這里面還是有些道理的。這是一個清醒的想法。