深度解析云计算的12个顶级安全威胁

导读:

越来越多企业数据和应用程序正在转向于云计算,这造成了云上面临更多的安全挑战。以下是使用云服务时,所要面对的12个顶级安全威胁。

云计算不断改变企业在使用、存储和共享数据的方式,并改善着应用程序和网络负载的方式。它还引入了一系列新的安全威胁和挑战。有了许多的数据接入云计算,特别是接入公共云服务,这些资源自然会成为黑客的目标。

安全专家认为:公有云利用量快速增长,不可避免的会导致更多的潜在的风险。

与许多人认为的相反,云计算中保护公司数据主要责任不在于服务提供商,而在于企业自身。当前许多企业正处在一个云安全过渡期,安全的重点正从供应商转向客户。而企业花费大量时间来判断某个特定的云服务提供商是否'安全',几乎没有任何意义可言。

为了让更多的企业了解云安全问题,以便他们能够就云计算采取做出更明智的决策,某安全机构对其行业进行了一次深入的调查,就云计算中最严重的安全问题给出专业的意见。以下是最重要的云安全问题。(按照调查结果的严重程序排列):

1、数据泄露

数据泄露可能是有针对性的攻击,也可能是人为错误,应用程序漏洞或者安全保护措施不佳的结果。这可能涉及任何不公开发布的信息,包括个人健康信息、财务信息,个人身份信息、商业秘密和知识产权等。由于不同的原因,公司基于云计算的数据可能对不同方有价值。数据泄露的风险并不是云计算所独有的,但它始终是云客户的首要考虑因素。

2、验证授权存在缺陷

黑客伪装成合法用户,编辑或者开发人员进行读取、修改和删除数据;获取发布平台的管理功能;由于验证授权存在缺陷可能导致未经授权的数据访问,并可能对公司或者最终用户造成灾难性的伤害。

3、不安全的接口和可编程SDK

云服务商提供了一些软件管理或者API管理接口与云服务交互。通过供应、管理和监控接口来完成自动化操作,云服务的安全性和可用性均取决于API的安全性。它们需要被设计来防止意外和恶意的绕过策略。

4、系统漏洞

系统漏洞是黑客可用来渗透系统窃取数据,控制系统或中断服务操作的程序中可利用的漏洞。操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。随着云中多租户的出现,来自不同公司的系统互相寄生于宿主机,并且允许访问共享内存和资源,从而创建新的攻击面。

5、帐户劫持

帐户或者服务劫持并不是新的漏洞,但云计算为这一场景增添了新的威胁。如果黑客可以访问用户的验证数据,他们可以窃听操作和交易,操纵数据,返回伪造的信息并将客户重定向到非法的站点。账户或者服务可能成为黑客的新跳板。由于授权数据被盗,黑客可以访问云计算服务的关键区域,从而危及这些服务的机密性完整性和可用性。

6、内鬼

企业的安全威胁,很大一部分在于来自内部的威胁。像系统管理员这样的角色可以访问数据库的数据或者潜在的敏感信息,并且可以越来越多的访问更重要的系统。仅依靠云服务提供商的系统,将面临的更大的挑战。

7、高级持续性威胁(APT)

APT就像一种寄生虫的网络攻击方式,它渗透到目标公司IT基础设施步步为营渗透更多系统,从中窃取敏感数据。APT在很长一段时间内悄悄接近自己的目标,经常适应和抵御目标的安全措施。

8、数据丢失

存储在云中的数据可能因恶意攻击以外的原因而丢失。云服务提供商的意外删除或者火灾或者地震等物理灾难可能导致客户数据永久丢失,除非提供商或者云客户采取适当措施来备份数据,遵循业务连续性的最佳实践,符合灾难恢复要求。

9、技术调研不足

当公司高层制定业务战略时,必须考虑云技术和服务提供商。在评估技术和提供商时,制定一个好的路线图和技术调研清单对于获得最大的成功机会到头重要。急于采用云计算并选择提供商而没有执行深入的技术调研,可能会面临诸多的技术风险。

10、滥用云服务

云服务部署考虑不周全,免费的云服务试用或者测试数据没有删除,暴露在黑客攻击范围内。黑客可能会利用云计算资源来定位用户,公司或者其他云提供商。滥用云端资源且不加以保护,将极易被攻击。

11、拒绝服务

DoS攻击旨在防止服务的用户访问数据或者应用程序。通过强制消耗云服务过多的有限系统资源,如处理器能力、内存、磁盘空间或网络带宽,攻击者可能会导致系统速度下降,并使用所有合法的服务用户无法正常使用。

12、共享技术漏洞

云服务提供商通过共享基础架构,平台或者应用程序来扩展其服务。云技术将'云计算即服务'产品划分几个部分,而不会大幅变成硬件或者软件。有时会以牺牲安全为代价。构成支持云服务部署的底层组件可能并未没有设计为多租房架构或者多客户应用程序提供强大的安全隔离。这可能会导致共享的技术漏洞,可能在所有使用过程中被利用。

本文来自企鹅号 - 互联网产品安全媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

工业物联网需要边缘的五个原因

随着我们生活和工作的空间开始变得对网络有所了解并对其环境中发生的事件做出反应,工业物联网正迅速成为事实。在这些空间中,不同复杂度的“事物”包括测量温度值的传感器...

36590
来自专栏CDA数据分析师

如何在数据农耕时代做个好“数农”?说说数据收集埋点这件事儿

本文由CDA作者库成员王安原创,并授权发布 原文来自公众号数据化决策(Data_Driven_Decision)。 CDA作者库凝聚原创力量,只做更有价值的分享...

233100
来自专栏极乐技术社区

小程序一周报 | 小程序游戏类目开放测试 / 朋友圈小程序广告全量上线

16030
来自专栏日志易的专栏

如何用日志助推航旅支付智能运维升级

“互联网+”时代的到来对传统行业产生了深远影响,尤其是客户对服务和产品需求日益多样化的航旅业,作为其中最重要的环节之一,航旅支付业也面临着业务运维日志监管合规、...

65670
来自专栏CSDN技术头条

即将登上Linux舞台的SQL Server

作者:王翔,架构师、经济学博士,专注业务创新、企业架构、信息安全和贸易经济。 声明:原创投稿,未经许可,禁止任何形式的转载 近日,BBC一篇《Microsof...

20350
来自专栏知晓程序

用小程序发的群公告被刷走了,还能找回来吗?| 小程序问答 #56

如果用过「群里有事」、「群空间助手」这类针对群聊天的小程序,没准会遇到一个问题:在群聊里分享一张小程序卡片,很容易被群里其他人的聊天刷走。想要在聊天里找回这张卡...

10830
来自专栏Debian社区

为什么使用 JavaScript 开发物联网?

嵌入式设备与JavaScript看似是来自两个不同世界的两个物种,八竿子都打不着。但是随着JavaScript 开疆扩土,从浏览器逆袭登陆到服务端之后又与物联网...

67430
来自专栏微信小开发

微信推出“微信使用小助手”,中老年人也能轻松玩转微信

微信推出“微信使用小助手”,中老年人也能轻松玩转微信 一直以来微信一直是年轻人的宠儿,但对一些上了年纪或者不怎么会玩手机的人一直是硬伤。有时候父母也想用微信和你...

225100
来自专栏沃趣科技

从运管到云管,从离散走向集约

刚刚过去的火热七夕节,也恰巧是云计算诞生十周年纪念日。十年前的今天,Google创始人埃里克·施密特在公司年度战略大会上首次公开提出“Cloud Computi...

42460
来自专栏腾讯开源的专栏

Github 开源项目贡献指南:开源的法律问题

向世界分享你们具有创造性的工作,这是一个多么令人激动和有价值的经历。这也意味着你们必须担心一堆你们不清楚的法律问题。幸运的是,你们不必从头开始。我们已经涵盖了你...

1.2K10

扫码关注云+社区

领取腾讯云代金券