缺乏安全API可引发IaaS风险

网友投稿 207 2023-05-17

IaaS的数据安全风险对企业迁移到云来说是一个长期存在的问题,然而有一些特定的问题需要我们时刻留意。

把数据、系统和应用放到云环境中的风险已经是众所周知的事情。现今像云安全联盟(CSA)这样的组织一直描述各种云部署模型中存在的风险,并在2015年5月发表题为“IaaS云存在的错误可能让你的数据处于危险之中”的文章,Symantec描述了一些可能对基础设施及服务(IaaS)云服务的客户产成风险的主要领域。在一次采访中,亚马逊Web服务的资深安全项目经理Bill Murray表示关于云安全最大的担忧是,客户没有把基本的安全最佳实践应用到他们部署和管理的IaaS资产中。这与Symantec的研究结果相一致,该结果发现16000个已经发现的云域中有0.3%的域文件夹结构很容易被猜到,其不仅可以被访问,而且还导致11000个文件,包含如信用卡交易、用户名和密码、电子邮件地址的敏感数据对任何人都可读。研究人员还发现了一些泄露的可访问的密码凭证,其中有些被硬编码到应用程序中。

Symantec在云安全研究中发现的首要问题包括接口API、共享资源、数据泄露、恶意的内部人员和错误配置的问题。所有这些都和CSA的报告“臭名昭著的九条:2013年云计算主要威胁”所描述的问题一致。Symantec在研究中发现了这些数据安全风险的具体事例,不过,在组织实施和评估云服务的今天,应该提供一些“发人深思的东西”。

提防不安全的API

Symantec报告的一个核心主题是,许多最严重的IaaS风险很大程度是由于云管理员对操作系统,应用程序和云管理界面的错误配置或缺乏安全控制。列出的第一个主要风险是缺乏安全的API,这些API是由云提供商提供以允许用户与他们的服务以及服务管理更无缝的集成。尽管提供商负责提供安全的API和补丁,客户应该自己对这些API进行评估,包括支持的传输方法以及什么样的数据在与供应商的交互过程中被来回发送。API或应用程序的更新很容易导致兼容性问题,甚至也可能引发数据泄露的场景,因此客户应该定期测试他们的程序和API交互的部分。

云提供商的责任

当然云用户本身无法完全减轻内部人员威胁,云提供商必须监控所有的活动和实现可靠的职责和权限管理流程控制的分离。该报告明确提到将加密密钥存储到云里,那里恶意的内部人员有可能访问到这些密钥。虚拟化管理程序的漏洞也存在同样的问题--用户无法查看虚拟机管理程序的配置或控制,因此供应商将需要对虚拟化平台和工具相关的补丁和新缺陷更加细心。大多数云供应商也有对分布式DDoS攻击的强力控制,以及对数据丢失的控制。但是,用户没有对云帐户口令的访问控制权或无法监控IaaS日志来查看非法活动或者帐户使用的情况。攻击者正在黑市上以每个7到8美元的价格贩售云服务帐户。

防御IaaS攻击

Symantec的报告中描述了各种不同的针对IaaS环境的攻击,包括存储枚举,泄露的访问令牌等。建议云客户要在选定IaaS前彻底调研云服务提供商的安全控制和服务水平协议。客户应尽可能利用多因素身份验证,对数据进行加密以减少内部威胁,维护密钥的控制权,并开始比以往任何时候都更关注在云环境中的可用日志。定期扫描基于云的系统漏洞也是一个最佳做法。

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:企业工商四要素核验 API:有效应对商业欺诈和恶意交易的利器
下一篇:常见的免费可用的 API 大全整理
相关文章

 发表评论

暂时没有评论,来抢沙发吧~