規(guī)避IaaS風(fēng)險(xiǎn) 你要提防不安全的API

作者：翻譯：談翔 2015-08-13 11:27:08

云計(jì)算

云安全

IaaS IaaS的數(shù)據(jù)安全風(fēng)險(xiǎn)對企業(yè)遷移到云來說是一個(gè)長期存在的問題，然而有一些特定的問題需要我們時(shí)刻留意。

成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都做網(wǎng)站、成都網(wǎng)站建設(shè)、新疆網(wǎng)絡(luò)推廣、重慶小程序開發(fā)、新疆網(wǎng)絡(luò)營銷、新疆企業(yè)策劃、新疆品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供新疆建站搭建服務(wù)，24小時(shí)服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

把數(shù)據(jù)、系統(tǒng)和應(yīng)用放到云環(huán)境中的風(fēng)險(xiǎn)已經(jīng)是眾所周知的事情?，F(xiàn)今像云安全聯(lián)盟(CSA)這樣的組織一直描述各種云部署模型中存在的風(fēng)險(xiǎn)，并在2015年 5月發(fā)表題為“IaaS云存在的錯(cuò)誤可能讓你的數(shù)據(jù)處于危險(xiǎn)之中”的文章，Symantec描述了一些可能對基礎(chǔ)設(shè)施及服務(wù)(IaaS)云服務(wù)的客戶產(chǎn)成風(fēng)險(xiǎn)的主要領(lǐng)域。在一次采訪中，亞馬遜Web服務(wù)的資深安全項(xiàng)目經(jīng)理Bill Murray表示關(guān)于云安全最大的擔(dān)憂是，客戶沒有把基本的安全最佳實(shí)踐應(yīng)用到他們部署和管理的IaaS資產(chǎn)中。這與Symantec的研究結(jié)果相一致，該結(jié)果發(fā)現(xiàn)16000個(gè)已經(jīng)發(fā)現(xiàn)的云域中有0.3%的域文件夾結(jié)構(gòu)很容易被猜到，其不僅可以被訪問，而且還導(dǎo)致11000個(gè)文件，包含如信用卡交易、用戶名和密碼、電子郵件地址的敏感數(shù)據(jù)對任何人都可讀。研究人員還發(fā)現(xiàn)了一些泄露的可訪問的密碼憑證，其中有些被硬編碼到應(yīng)用程序中。

IaaS的數(shù)據(jù)安全風(fēng)險(xiǎn)對企業(yè)遷移到云來說是一個(gè)長期存在的問題，然而有一些特定的問題需要我們時(shí)刻留意。

Symantec在云安全研究中發(fā)現(xiàn)的首要問題包括接口API、共享資源、數(shù)據(jù)泄露、惡意的內(nèi)部人員和錯(cuò)誤配置的問題。所有這些都和CSA的報(bào)告“臭名昭著的九條：2013年云計(jì)算主要威脅”所描述的問題一致。Symantec在研究中發(fā)現(xiàn)了這些數(shù)據(jù)安全風(fēng)險(xiǎn)的具體事例，不過，在組織實(shí)施和評(píng)估云服務(wù)的今天，應(yīng)該提供一些“發(fā)人深思的東西”。

提防不安全的API

Symantec報(bào)告的一個(gè)核心主題是，許多最嚴(yán)重的IaaS風(fēng)險(xiǎn)很大程度是由于云管理員對操作系統(tǒng)，應(yīng)用程序和云管理界面的錯(cuò)誤配置或缺乏安全控制。列出的第一個(gè)主要風(fēng)險(xiǎn)是缺乏安全的API，這些API是由云提供商提供以允許用戶與他們的服務(wù)以及服務(wù)管理更無縫的集成。盡管提供商負(fù)責(zé)提供安全的API和補(bǔ)丁，客戶應(yīng)該自己對這些API進(jìn)行評(píng)估，包括支持的傳輸方法以及什么樣的數(shù)據(jù)在與供應(yīng)商的交互過程中被來回發(fā)送。API或應(yīng)用程序的更新很容易導(dǎo)致兼容性問題，甚至也可能引發(fā)數(shù)據(jù)泄露的場景，因此客戶應(yīng)該定期測試他們的程序和API交互的部分。

云提供商的責(zé)任

當(dāng)然云用戶本身無法完全減輕內(nèi)部人員威脅，云提供商必須監(jiān)控所有的活動(dòng)和實(shí)現(xiàn)可靠的職責(zé)和權(quán)限管理流程控制的分離。該報(bào)告明確提到將加密密鑰存儲(chǔ)到云里，那里惡意的內(nèi)部人員有可能訪問到這些密鑰。虛擬化管理程序的漏洞也存在同樣的問題--用戶無法查看虛擬機(jī)管理程序的配置或控制，因此供應(yīng)商將需要對虛擬化平臺(tái)和工具相關(guān)的補(bǔ)丁和新缺陷更加細(xì)心。大多數(shù)云供應(yīng)商也有對分布式DDoS攻擊的強(qiáng)力控制，以及對數(shù)據(jù)丟失的控制。但是，用戶沒有對云帳戶口令的訪問控制權(quán)或無法監(jiān)控IaaS日志來查看非法活動(dòng)或者帳戶使用的情況。攻擊者正在黑市上以每個(gè)7到8美元的價(jià)格販?zhǔn)墼品?wù)帳戶。

防御IaaS攻擊

Symantec的報(bào)告中描述了各種不同的針對IaaS環(huán)境的攻擊，包括存儲(chǔ)枚舉，泄露的訪問令牌等。建議云客戶要在選定IaaS前徹底調(diào)研云服務(wù)提供商的安全控制和服務(wù)水平協(xié)議?？蛻魬?yīng)盡可能利用多因素身份驗(yàn)證，對數(shù)據(jù)進(jìn)行加密以減少內(nèi)部威脅，維護(hù)密鑰的控制權(quán)，并開始比以往任何時(shí)候都更關(guān)注在云環(huán)境中的可用日志。定期掃描基于云的系統(tǒng)漏洞也是一個(gè)最佳做法。

新聞名稱：規(guī)避IaaS風(fēng)險(xiǎn)你要提防不安全的API
文章出自：http://www.dlmjj.cn/article/dheesci.html