云计算平台面临的安全威胁有哪些？

在云计算领域每一家企业都无时无刻不面临着安全风险、威胁和挑战。这三个词语看起来意思很相近，但是在云计算领域他们不表示同同一件东西，事实上这些术语有许多差别，了解它们能帮助企业和个人更好的保护云资产。

 

云安全的风险、威胁和挑战

风险是指数据丢失或弱点被攻击的可能性；

威胁是一种攻击手段或攻击者；

挑战是组织在实施或使用云安全方面遇到的阻碍。

具体一点，例如存在云中并暴露于公公互联网上的API端点是风险；试图使用该API访问敏感数据的攻击者是威胁；而企业和云安全人员的挑战则是保护API并让合法的用户正常使用。看起来三者不同但又各有联系，以下是有关云安全面临的12个问题：

 

一、云安全四大风险

风险没有办法完全消除，只能通过管理来降低风险，提前了解风险对于云安全人员来说可以做到防患于未然。什么是云安全四大风险？

 

1.攻击面

攻击面是指云环境的完整暴露面。每个工作负载都会增加攻击面。如果不加以严格的管理，可能会直到被攻击才意识到基础设施疏于维护。导致攻击的细微信息泄露也属于攻击面，只要你使用公共互联网或云，你的攻击面就不可避免的暴露出去。

 

2. 人为错误

据Gartner预测，到2025年，99%的云安全故障都是有一定程度的人为错误造成的。在构建庞大复杂的云构架时不可避免会存在人为失误。

 

3. 配置错误

     随着云计算的发展，云提供商会添加新的服务，云配置不断增长。许多公司同时使用了多个供应商的配置。提供行有不同的默认配置每个服务都有细微的差别。在企业和其云安全人员精通保护各种不同的云服务之前攻击者会持续地利用这些错误配置。

 

4. 数据泄露

     在企业的重要信息在不知情或者未经授权的情况下离开，就会发生数据泄露。数据高价值的资源，它是大多数攻击者的目标，云配置错误和缺乏专业运维经验可能会让黑客大开眼界。

 

如何管理云安全风险？

定期进行风险评估；

确定并实施安全措施的优先级；

记录下并重新审视可以承担的任何风险等

 

二、云安全四大威胁

威胁是指利用风险试图对云资产攻击。什么是云安全的四种常见威胁？

  

1. 零日漏洞被利用

术语“零日”指的是云安全团队没意识到他们的软件漏洞，他们只有“0”天的时间来发布安全补丁或者更新来解决问题。零日漏洞的利用是恶意行为者用来利用攻击系统的技术或者的策略。当攻击者云安全团队修补漏洞之前利用漏洞进行恶意行为就会发生零日攻击。零日漏洞是极其危险的没因为它们是很难被检测的。

 

2. 高级持续性威胁

     高级持续威胁 (APT) 是一种复杂、持续的网络攻击，入侵者在网络中建立未被发现的存在，以便在较长时间内窃取敏感数据。APT 攻击经过精心策划和设计，可渗透到特定组织、规避现有安全措施并在监控下悄无声息的运行。这些攻击很危险，他们可能开始使用零日攻击然后几个月都不被发现。

3. 内部威胁

内部威胁是来自企业或组织内部的网络安全威胁，一般是由前任员工或现任员工等可以直接访问公司网络、敏感数据和知识产权以及业务流程的人实施的遏制内部威胁需要巨大的成本，并且会造成巨大的声誉损害，云数据安全团队应该制定专门解决内部威胁的方案。

4. 网络攻击

  网络攻击是网络罪犯、黑客或其他数字对手为了更改、窃取、破坏或暴露信息试图访问计算机网络或系统。比如恶意软件、网络钓鱼、SQL注入以及物联网攻击等。

如何应对云安全威胁?

构建微服务时要遵守安全编码的标准；

多次检查云配置以杜绝漏洞；

在有了安全基础之后不能松懈，持续进行威胁狩猎等

三、云安全四大挑战

挑战是理论与实践的差距。什么是云安全四大挑战？

1. 缺乏云安全策略和技能

对于传统的数据中心安全模型是不是用于云环境下的，云安全管理员必须掌握用于云环境下的特定策略和技能。

2. 身份和访问管理

为拥有数以千计的员工的企业创建身份和访问权限管理是一项庞大且复杂的工作。整体的身份和访问管理策略分为三个步骤：角色设计、特权访问管理和实施。

3. 影子IT

影子IT使员工用云服务完成工作的结果，云资源可以轻松的上下旋转，这使得控制其增长变的困难。例如，开发人员可以使用他们的帐户快速生成工作负载。不幸的是，以这种方式创建的资产可能无法通过默认密码和错误配置得到充分保护和访问。影子 IT挑战安全性，它规避了标准的 IT 审批和管理流程。

4. 云合规

组织要合法的保护敏感数据，为了确保合法合规，许多企业限制访问权限以及用户在获得访问权限后可以执行的操作。如果没有设置访问控制措施，监控网络将是一项大挑战。

     

如何克服云安全挑战

每个挑战都是各不相同的，因此不同的挑战需要不同的方案来解决。在使用任何云服务之前进行设计和计划。针对每个挑战制定行动计划。

 

面对云安全的风险、威胁和挑战

为了应对这些风险、威胁和挑战CCSK应运而生：CCSK（Certification of Cloud Security Knowledge）即：云计算安全知识认证，是由国际云安全联盟CSA（Cloud Security Alliance）颁发的针对云安全的国际认证。全面阐述了云计算的安全概念及解决方案，为组织提供了面对云安全问题的答案，帮助组织培养云安全人才，使云安全从业者提升自身知识储备以及实践技能。CCSK帮助企业以及个人能更好的处理云计算发展过程中需要面临的风险、威胁和挑战，是云安全领域的权威认证。