人妻无码中文久久久久专区,色窝窝精品一区二区,日韩在线6,欧美91精品国产自产

公共云的利用率正在快速增長，因此不可避免地將會導(dǎo)致更多的敏感內(nèi)容置于潛在風(fēng)險威脅之中。但是，與許多人認(rèn)為的剛好相反，保護(hù)云端中的企業(yè)數(shù)據(jù)的主要責(zé)任不在于云服務(wù)提供商，而在于云客戶本身。我們正處在一個云安全過渡期，重點(diǎn)正從供應(yīng)商轉(zhuǎn)向客戶。

很多企業(yè)開始認(rèn)識到，花費(fèi)大量時間來判斷某個特定的云服務(wù)提供商是否“安全”，幾乎得不到任何結(jié)果，因?yàn)橹饕��?zé)任在于使用者自身。

為了讓企業(yè)了解云安全問題，以便他們能夠就云采用策略做出明智的決策，云安全聯(lián)盟（CSA）近日發(fā)布了最新版本的《12大頂級云安全威脅：行業(yè)見解報告》。

這一報告反映了云計算安全聯(lián)盟（CSA）安全專家當(dāng)前就云計算中最重要的安全問題所達(dá)成的共識。云計算安全聯(lián)盟表示，盡管目前云中存在許多安全問題，但這份報告的重點(diǎn)聚焦在12個涉及云計算的共享和按需特性方面的威脅。

為了確定用戶最關(guān)心的問題，云計算安全聯(lián)盟對行業(yè)專家進(jìn)行了一次調(diào)查，就云計算中最嚴(yán)重的安全問題編寫了一些專業(yè)意見及建議。以下是12個最嚴(yán)重的云安全問題的具體內(nèi)容（按照調(diào)查結(jié)果的嚴(yán)重程度排序）：

1.數(shù)據(jù)泄露

云計算安全聯(lián)盟表示，數(shù)據(jù)泄露可能是有針對性攻擊的主要目標(biāo)，也可能是人為錯誤、應(yīng)用程序漏洞或安全措施不佳所導(dǎo)致的后果。這可能涉及任何非公開發(fā)布的信息，其中包括個人健康信息、財務(wù)信息、個人身份信息（PII）、商業(yè)機(jī)密以及知識產(chǎn)權(quán)等。由于不同的原因，組織基于云端的數(shù)據(jù)可能會對不同的組織具有更大的價值。數(shù)據(jù)泄露的風(fēng)險并不是云計算所獨(dú)有的，但它始終是云計算用戶需要首要考慮的因素。

2.身份、憑證和訪問管理不足

云計算安全聯(lián)盟表示，惡意行為者會通過偽裝成合法用戶、運(yùn)營人員或開發(fā)人員來讀取、修改和刪除數(shù)據(jù)；獲取控制平臺和管理功能；在傳輸數(shù)據(jù)的過程中進(jìn)行窺探，或釋放看似來源于合法來源的惡意軟件。因此，身份認(rèn)證不足、憑證或密鑰管理不善都可能會導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問行為發(fā)生，由此可能對組織或最終用戶造成災(zāi)難性的損害。

3.不安全的接口和應(yīng)用程序編程接口（API）

云計算安全聯(lián)盟表示，云服務(wù)提供商會公開一組客戶使用的軟件用戶界面（UI）或API來管理和與云服務(wù)進(jìn)行交互。其配置、管理和監(jiān)控都是通過這些接口來實(shí)現(xiàn)執(zhí)行的，一般來說，云服務(wù)的安全性和可用性也都取決于API的安全性。它們需要被設(shè)計用來防止意外和惡意的繞過安全協(xié)議的企圖。

4.系統(tǒng)漏洞

系統(tǒng)漏洞是系統(tǒng)程序中存在的可用漏洞，利用這些漏洞，攻擊者能夠滲透進(jìn)系統(tǒng)，并竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。云計算安全聯(lián)盟表示，操作系統(tǒng)組件中存在的漏洞，使得所有服務(wù)和數(shù)據(jù)的安全性都面臨了重大的安全風(fēng)險。隨著云端多租戶形式的出現(xiàn)，來自不同組織的系統(tǒng)開始呈現(xiàn)彼此靠近的局面，且允許在同一平臺／云端的用戶都能夠訪問共享內(nèi)存和資源，這也導(dǎo)致了新的攻擊面的出現(xiàn)，擴(kuò)大了安全風(fēng)險。

5.賬戶劫持

云計算安全聯(lián)盟指出，賬戶或服務(wù)劫持并不是什么新鮮事物，但云服務(wù)為這一景觀增添了新的威脅。如果攻擊者獲得了對用戶憑證的訪問權(quán)限，他們就能夠竊聽用戶的活動和交易行為，操縱數(shù)據(jù)，返回偽造的信息并將客戶重定向到非法的釣魚站點(diǎn)中。賬戶或服務(wù)實(shí)例可能成為攻擊者的新基礎(chǔ)。由于憑證被盜，攻擊者經(jīng)常可以訪問云計算服務(wù)的關(guān)鍵區(qū)域，從而危及這些服務(wù)的機(jī)密性、完整性以及可用性。

6.惡意的內(nèi)部人員

云計算安全聯(lián)盟表示，雖然內(nèi)部人員造成的威脅程度是存在爭議的，但不可否認(rèn)的是，內(nèi)部威脅確實(shí)是一種實(shí)實(shí)在在的威脅。一名懷有惡意企圖的內(nèi)部人員（如系統(tǒng)管理員），他們能夠訪問潛在的敏感信息，并且可以越來越多地訪問更重要的系統(tǒng)，并最終訪問到機(jī)密數(shù)據(jù)。僅僅依靠云服務(wù)提供商提供安全措施的系統(tǒng)勢必將面臨更大的安全風(fēng)險。

7.高級持續(xù)性威脅（APT）

高級持續(xù)性威脅（APT）是一種寄生式的網(wǎng)絡(luò)攻擊形式，它通過滲透到目標(biāo)公司的IT基礎(chǔ)設(shè)施來建立立足點(diǎn)的系統(tǒng)，并從中竊取數(shù)據(jù)。高級持續(xù)性威脅（APT）通常能夠適應(yīng)抵御它們的安全措施，并在目標(biāo)系統(tǒng)中“潛伏”很長一段時間。一旦準(zhǔn)備就緒（如收集到足夠的信息），高級持續(xù)性威脅（APT）就可以通過數(shù)據(jù)中心網(wǎng)絡(luò)橫向移動，并與正常的網(wǎng)絡(luò)流量相融合，以實(shí)現(xiàn)他們的最終目標(biāo)。

8.數(shù)據(jù)丟失

云計算安全聯(lián)盟表示，存儲在云中的數(shù)據(jù)可能會因惡意攻擊以外的原因而丟失。云計算服務(wù)提供商的意外刪除行為、火災(zāi)或地震等物理災(zāi)難都可能會導(dǎo)致客戶數(shù)據(jù)的永久性丟失，除非云服務(wù)提供商或云計算用戶采取了適當(dāng)?shù)拇胧﹣韨浞輸?shù)據(jù)，遵循業(yè)務(wù)連續(xù)性的最佳實(shí)踐，否則將無法實(shí)現(xiàn)災(zāi)難恢復(fù)。

9.盡職調(diào)查不足

云計算安全聯(lián)盟表示，當(dāng)企業(yè)高管制定業(yè)務(wù)戰(zhàn)略時，必須充分考慮到云計算技術(shù)和服務(wù)提供商。在評估云技術(shù)和服務(wù)提供商時，制定一個良好的路線圖和盡職調(diào)查清單對于獲得最大的成功機(jī)會可謂至關(guān)重要。而在沒有執(zhí)行盡職調(diào)查的情況下，就急于采用云計算技術(shù)并選擇提供商的組織勢必將面臨諸多安全風(fēng)險。

10.濫用和惡意使用云服務(wù)

云計算安全聯(lián)盟指出，云服務(wù)部署不充分，免費(fèi)的云服務(wù)試用以及通過支付工具欺詐進(jìn)行的欺詐性賬戶登錄，將使云計算模式暴露于惡意攻擊之下。惡意行為者可能會利用云計算資源來定位用戶、組織或其他云服務(wù)提供商。其中濫用云端資源的例子包括啟動分布式拒絕服務(wù)攻擊（DDoS）、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊等。

11.拒絕服務(wù)（DoS）

拒絕服務(wù)（DoS）攻擊旨在防止服務(wù)的用戶訪問其數(shù)據(jù)或應(yīng)用程序。拒絕服務(wù)（DoS）攻擊可以通過強(qiáng)制目標(biāo)云服務(wù)消耗過多的有限系統(tǒng)資源（如處理器能力，內(nèi)存，磁盤空間或網(wǎng)絡(luò)帶寬），來幫助攻擊者降低系統(tǒng)的運(yùn)行速度，并使所有合法的用戶無法訪問服務(wù)。

12.共享的技術(shù)漏洞

云計算安全聯(lián)盟指出，云計算服務(wù)提供商通過共享基礎(chǔ)架構(gòu)、平臺或應(yīng)用程序來擴(kuò)展其服務(wù)。云技術(shù)將“即服務(wù)”（as-a-service）產(chǎn)品劃分為多個產(chǎn)品，而不會大幅改變現(xiàn)成的硬件/軟件（有時以犧牲安全性為代價）。構(gòu)成支持云計算服務(wù)部署的底層組件，可能并未設(shè)計成為“多租戶”架構(gòu)或多客戶應(yīng)用程序提供強(qiáng)大的隔離性能。這可能會導(dǎo)致共享技術(shù)漏洞的出現(xiàn)，并可能在所有交付模式中被惡意攻擊者濫用。

來源：中國IDC圈

石家莊服務(wù)器托管  石家莊服務(wù)器租用  石家莊機(jī)柜租用  石家莊機(jī)房