云基础设施漏洞

您已经听到很多关于使用云和远程工作格式来维护甚至发展业务有多方便的信息。 Cloud4Y建议谈论如何保护新的工作格式。

因此，为了不成为网络攻击的受害者，请使用以下简单技巧来保护您的IT基础架构。

对我来说，作为从事金融部门工作的人，IT安全是编写每一行代码的重要元素。与我以前的工作相比，安全测试的次数和整个过程的额外费用简直是疯狂。尽管我认为所有这些都不是一件坏事，但是将这些测试自动化以将它们包括在基于云的管道中以进行连续组装和部署应用程序（CI / CD）时，仍然存在一些困难。但是，有许多常规安全策略和测试可以帮助防止在部署云时出现一些常见错误。

在云中托管应用程序时，可能会产生哪些额外的安全风险？我们描述其中的六个：

违反数据隐私；
配置错误和变更控制不充分；
云和安全架构中缺乏安全策略；
缺乏识别，权利分离和访问控制程序；
黑客入侵和盗窃帐户；
内部威胁

威胁1.违反数据隐私

有什么威胁？

未经授权的人可能会发布，查看或窃取敏感和机密信息。

可能是什么原因

目标攻击
人为错误
应用程序漏洞
缺乏安全措施

云细节

共享资源和共享资源导致攻击面扩大
云服务提供商由于其受欢迎程度和存储的大量数据而经常成为黑客的诱人目标。
当客户端负责数据安全，而云提供商仅负责基础架构和工具的可用性时，责任就会分配。

攻击方案

建议和防护措施

深度保护-在客户端云中创建保护；
最小特权原则；
在云中引入监视和日记程序；
可靠且经过验证的事件响应计划；
加密可以帮助保护数据，但会对系统性能产生不利影响。

威胁2。配置错误和控制不充分

“几乎所有对云服务的成功攻击都是由于客户端配置错误，管理不当或错误引起的。” -Neil MacDonald，Gartner分析师

云详细信息

配置错误的云服务器，包括：

公共云存储
不安全的云数据库
保护不当的备份
打开连接到Internet的NAS

建议和保护措施

基础设施生命周期的完整描述
灵活，主动的云管理
机密数据加密
记录配置更改

威胁3.缺乏云安全策略和安全架构

有什么威胁？

缺乏适当的云安全体系结构使组织容易受到攻击。

造成威胁的因素：

安全的云架构需要新功能和新工具。
在采用云时，组织必须学习新技术。

云细节

使用了新的因此复杂的技术；
需要一种新的混合云安全模型；
在创新和控制之间需要适当的平衡；
没有参考架构或文档。

建议和保护措施

确保您的安全体系结构符合您的业务目标。
设计和实现安全体系结构框架。
确保威胁模型不断更新。
确保连续可见实际的安全状态。

威胁4.身份识别，权限分离和访问控制程序不充分

有什么威胁？

由于缺乏通过身份和访问控制（IAM）的保护，未经授权访问敏感数据。

安全事件是由于：

凭证保护不足。
缺乏定期自动旋转密码密钥，密码和证书的功能。
缺乏可扩展的身份访问控制系统。
拒绝使用多因素身份验证和强密码。

特定于云的

攻击者使用被盗的密钥或凭据可以：

读取，过滤，修改和删除数据
获得管理和控制权限
观看传输的数据
通过伪装成从合法来源获取来引入恶意软件

建议和保护措施

使用临时安全凭证（AWS IAM角色）代替长期访问密钥
不要将访问键直接插入代码中。对不同的应用程序使用不同的键。
定期更改密钥
删除未使用的访问密钥
为您最重要的任务设置多因素身份验证。

威胁5.黑客和帐户盗窃

有什么威胁？

攻击者可以访问具有高特权或敏感数据的帐户。

可能是什么原因：

身份和访问控制（IAM）措施不足。
在帐户级别缺少日志，监控和警报。
客户端云中缺乏保护（深度保护）
缺乏针对网络钓鱼和被盗凭证的保护。

云细节

它很可能获得云服务帐户和服务。
不确定性源于云服务交付模型。
数据和应用程序驻留在可通过云帐户或订阅获得的云服务中。
/
,

,
IAM : , , , .
IP-,

6.

有什么威胁？

员工有可能（恶意或无意）对组织产生不利影响。内部人员，可以直接访问网络，计算机系统和机密数据的公司代表就是一个例子。

建议和保护措施

使用身份和访问策略（IAM）和最小特权来限制潜在影响的半径。
防止“意外的内幕行为”。
默认为员工提供安全的工作环境
自动化的配置管理，初始化和保护。
引入了针对云环境（SaaS / PaaS / Iaas）的新监视和发现功能。
制定业务连续性计划。

在Cloud4Y博客上阅读还有什么有用的东西

→ 90年代的计算机品牌，第3部分，最终
→ 宇宙的几何是什么？
→ 瑞士的地形图上的复活节彩蛋
→ 黑客的母亲如何入狱并感染老板的计算机
→ 银行如何“打破”

订阅我们的电报频道，以免错过其他文章。我们每周写不超过两次，仅在商务上写。

All Articles