什么是云安全？

云安全是計(jì)算機(jī)當(dāng)中核心部分，當(dāng)計(jì)算機(jī)在應(yīng)用過程中存在病毒問題或是安全問題，都需要依賴云安全來進(jìn)行相應(yīng)的操作。“云安全”主要是利用云計(jì)算相關(guān)知識理論來實(shí)現(xiàn)安全管理，并利用互聯(lián)網(wǎng)將殺毒軟件和用戶連接在一起，以此來形成一個(gè)完善且龐大的木馬病毒查殺系統(tǒng)，然后通過云端來對其進(jìn)行分析與處理，再將木馬或是病毒的解決方案上傳到每一個(gè)用戶客戶端當(dāng)中，在該過程中參與者越多，那么系統(tǒng)也就會變得越安全。

云安全技術(shù)在應(yīng)用過程中有著一定的重要性。現(xiàn)階段，病毒對于計(jì)算機(jī)用戶來說已經(jīng)成為系統(tǒng)安全運(yùn)行的重要威脅因素，傳統(tǒng)殺毒方式已經(jīng)無法滿足用戶在病毒查殺上的需求。而云架構(gòu)的出現(xiàn)和應(yīng)用，對于網(wǎng)絡(luò)上的用戶來說是一個(gè)好消息，當(dāng)用戶安裝了與“云端”相連接的軟件程序，當(dāng)人們在瀏覽網(wǎng)頁時(shí)云端殺毒系統(tǒng)便會根據(jù)事先預(yù)存的病毒庫來對用戶瀏覽網(wǎng)頁的行為進(jìn)行判斷，當(dāng)發(fā)現(xiàn)是木馬程序以后，系統(tǒng)便會對其進(jìn)行自動處理。“云安全”的利用能夠涉及到互聯(lián)網(wǎng)中每一個(gè)角落，從而有效降低病毒對用戶電網(wǎng)的入侵，由此來有效解決傳統(tǒng)殺毒軟件本身的滯后性。因此，“云安全”的出現(xiàn)和利用對于保障用戶計(jì)算機(jī)使用的安全性能夠產(chǎn)生非常重要的作用，也是值得人們進(jìn)行不斷推廣和應(yīng)用的技術(shù)，其能夠產(chǎn)生巨大的社會效益。

云安全是安全領(lǐng)域防病毒、防入侵的一個(gè)新的研究方向，現(xiàn)在還有很多技術(shù)問題急待解決。

云安全風(fēng)險(xiǎn)是什么？

云計(jì)算正在持續(xù)改變著企業(yè)使用、存儲和共享數(shù)據(jù)、應(yīng)用程序和工作負(fù)載的方式。與此同時(shí)，這也帶來了許多新的安全威脅和挑戰(zhàn)。公有云的使用量正在快速增長，因此不可避免地會有大量敏感內(nèi)容暴露在風(fēng)險(xiǎn)當(dāng)中。

混合云環(huán)境發(fā)生的安全事件平均數(shù)量最高，托管私有云、本地?cái)?shù)據(jù)中心和公共云。

迄今為止，最常見的安全事件類型是Web應(yīng)用攻擊，后面依次是暴力破解攻擊、偵測和服務(wù)器端勒索軟件。

Web應(yīng)用攻擊最常見的攻擊向量是SQL、Joomla、ApacheStruts和Magento。

Wordpress是最常見的暴力破解攻擊目標(biāo)，其次是MSSQL。

無論是公有云、私有云還是混合云環(huán)境，Web應(yīng)用威脅均為主要威脅。它們之間的區(qū)別是公司所面臨的風(fēng)險(xiǎn)水平。

數(shù)據(jù)顯示，一些平臺比其他平臺更加易受攻擊。LAMP堆棧比基于微軟的應(yīng)用堆棧更加易受攻擊。

內(nèi)容管理系統(tǒng)，尤其是Wordpress、Joomla和Django被作為Web應(yīng)用的平臺，其安全性的脆弱程度大大超出了大多數(shù)人的想象，并且存在著許多漏洞。確保這些系統(tǒng)的安全性是有可能的，但條件是你必須要清楚開發(fā)團(tuán)隊(duì)傾向于使用什么Web框架和平臺。而這個(gè)細(xì)節(jié)通常被安全技術(shù)人員忽視。

最重要的云安全問題

1.數(shù)據(jù)泄露

數(shù)據(jù)泄露可能是有針對性的攻擊所追求的結(jié)果，或者僅僅是人為錯(cuò)誤、應(yīng)用程序漏洞或安全措施不佳所導(dǎo)致的。其可能涉及任何無意被公布的信息，如個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人身份信息、商業(yè)機(jī)密和知識產(chǎn)權(quán)。一個(gè)企業(yè)的云端數(shù)據(jù)可能因不同的原因?qū)Σ煌膶ο缶哂胁煌膬r(jià)值。數(shù)據(jù)泄露的風(fēng)險(xiǎn)并非云計(jì)算所獨(dú)有，但它們始終是云客戶最關(guān)注的問題。

2.身份、憑證和訪問管理不當(dāng)

偽裝成合法用戶、操作員或開發(fā)人員的不法分子可以讀取、修改和刪除數(shù)據(jù)，發(fā)布控制平面和管理功能，窺探傳輸中的數(shù)據(jù)或發(fā)布貌似合法來源的惡意軟件。因此，身份、憑證或密鑰管理不當(dāng)可能會導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問，并可能對組織機(jī)構(gòu)或最終用戶造成災(zāi)難性損害。

3.不安全的接口和應(yīng)用程序編程接口（API）

云服務(wù)提供商都會公開一組供客戶用來管理云服務(wù)并與之交互的軟件用戶界面（UI）或API。配置、管理和監(jiān)控都是通過這些接口執(zhí)行的，一般云服務(wù)的安全性和可用性取決于API的安全性。它們需要能夠防止意外的和惡意的政策規(guī)避操作。

4.系統(tǒng)漏洞

系統(tǒng)漏洞是程序中可利用的漏洞，攻擊者可以利用這些漏洞滲透到系統(tǒng)中竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險(xiǎn)。隨著云端中多租戶的出現(xiàn)，不同企業(yè)的系統(tǒng)彼此相鄰，并且可以訪問共享內(nèi)存和資源，從而為攻擊者創(chuàng)建了新的攻擊面。

5.賬戶劫持

賬戶或服務(wù)劫持并不新鮮，但是云服務(wù)的出現(xiàn)帶來了新的威脅。如果攻擊者獲得了用戶憑據(jù)的訪問權(quán)限，他們就可以監(jiān)控活動和交易、操縱數(shù)據(jù)、返回偽造信息并將客戶端重定向到非法網(wǎng)站。賬戶或服務(wù)實(shí)例可能成為攻擊者的新跳板。憑借竊取的憑據(jù)，攻擊者通常可以訪問云計(jì)算服務(wù)的關(guān)鍵區(qū)域，從而破壞這些服務(wù)的機(jī)密性、完整性和可用性。

6.內(nèi)部威脅

雖然內(nèi)部威脅的威脅程度還存在爭論，但這種威脅是實(shí)實(shí)在在的威脅。不懷好意的內(nèi)部人員（如系統(tǒng)管理員）有可能會訪問敏感信息，并可以對更關(guān)鍵的系統(tǒng)和最終的數(shù)據(jù)進(jìn)行更高級別的訪問。系統(tǒng)如果僅依靠云服務(wù)提供商的安全性，那么將存在巨大的風(fēng)險(xiǎn)。

7.高級持續(xù)威脅（APT）

APT是一種寄生式的網(wǎng)絡(luò)攻擊，它通過向系統(tǒng)滲透以在目標(biāo)公司的IT基礎(chǔ)設(shè)施中建立根據(jù)地，然后竊取數(shù)據(jù)。APT在很長一段時(shí)間內(nèi)會悄悄地追蹤他們的目標(biāo)，以適應(yīng)旨在防御它們的安全措施。一旦到位，APT可以橫向移動通過數(shù)據(jù)中心網(wǎng)絡(luò)并融入正常的網(wǎng)絡(luò)流量當(dāng)中，以實(shí)現(xiàn)其目標(biāo)。

8.數(shù)據(jù)丟失

存儲在云端上的數(shù)據(jù)可能會因惡意攻擊以外的原因而丟失。云服務(wù)提供商的意外刪除，火災(zāi)、地震等物理災(zāi)難可導(dǎo)致客戶數(shù)據(jù)永久丟失，除非提供商或云消費(fèi)者遵循業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的最佳實(shí)踐，采取適當(dāng)措施備份這些數(shù)據(jù)。

9.盡職調(diào)查不徹底

當(dāng)高管們制定業(yè)務(wù)戰(zhàn)略時(shí)，必須要考慮云技術(shù)和服務(wù)提供商。在評估技術(shù)和提供商時(shí)，制定完善的路線圖和盡職調(diào)查清單對于取得全面成功至關(guān)重要。急于采用云技術(shù)并選擇提供商而不進(jìn)行盡職調(diào)查的公司將會面臨許多風(fēng)險(xiǎn)。

10.濫用和惡意使用云服務(wù)

不安全的云服務(wù)部署、免費(fèi)的云服務(wù)試用以及欺詐性注冊的賬戶將使云計(jì)算模型遭受惡意攻擊。不法分子可能會利用云計(jì)算資源來鎖定用戶、組織機(jī)構(gòu)或其他云提供商。濫用云資源的例子包括啟動分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。

11.拒絕服務(wù)（DoS）

DoS攻擊旨在阻止使用服務(wù)的用戶訪問其數(shù)據(jù)或應(yīng)用程序。通過強(qiáng)迫遭到攻擊的云服務(wù)過度消耗有限的系統(tǒng)資源（如處理器能力、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬），攻擊者能夠降低系統(tǒng)處理速度，并使所有合法的服務(wù)用戶無法訪問服務(wù)。

12.共享技術(shù)漏洞

云服務(wù)提供商通過共享基礎(chǔ)架構(gòu)、平臺或應(yīng)用程序提供可擴(kuò)展的服務(wù)。云技術(shù)帶來的“……即服務(wù)”解決方案有時(shí)是以犧牲安全性為代價(jià)的，盡管其優(yōu)勢是不會顯著改變現(xiàn)成的軟硬件。支持云服務(wù)部署的基礎(chǔ)設(shè)施的基本組件可能在設(shè)計(jì)時(shí)并沒有為多租戶架構(gòu)或多客戶應(yīng)用程序提供強(qiáng)大的隔離功能。這導(dǎo)致出現(xiàn)了共享技術(shù)漏洞，這些漏洞可能會在所有交付模型中被利用。

其他云威脅：Meltdown（熔斷）和Spectre（幽靈）

大多數(shù)現(xiàn)代微處理器中的一個(gè)普遍的設(shè)計(jì)漏洞，該漏洞允許惡意的Javascript代碼從內(nèi)存中讀取內(nèi)容，包括加密數(shù)據(jù)。這一漏洞有兩個(gè)變體，分別被稱為Meltdown（熔斷）和Spectre（幽靈），它們能夠影響從智能手機(jī)到服務(wù)器的所有設(shè)備。

Spectre和Meltdown允許旁路攻擊，因?yàn)樗鼈兇蚱屏藨?yīng)用程序之間的原有隔離。能夠通過非特權(quán)登錄訪問系統(tǒng)的攻擊者可以從內(nèi)核讀取信息，或者如果攻擊者是客戶虛擬機(jī)（VM）上的root用戶，那么他們則可以讀取主機(jī)內(nèi)核。

這對云服務(wù)提供商來說是一個(gè)嚴(yán)重的問題。雖然已經(jīng)有了補(bǔ)丁，但也只是讓攻擊者變得難以發(fā)動攻擊而已。與此同時(shí)，由于補(bǔ)丁程序可能會降低性能，因此一些企業(yè)可能會選擇不修補(bǔ)系統(tǒng)。建議更換所有受影響的處理器，但是如果還沒有相應(yīng)的替代品，那么這一建議根本無法做到。

迄今為止，雖然還沒有利用Meltdown或Spectre漏洞的威脅被曝光，但是專家們認(rèn)為這種威脅可能很快就會出來。云提供商防范它們的最佳建議是確保所有最新的補(bǔ)丁都已到位。客戶應(yīng)要求其云提供商提供如何響應(yīng)Meltdown和Spectre的相關(guān)信息。