摘要：爲了讓組織機構瞭解雲安全問題的最新動態，以便他們能夠就雲使用策略做出明智的決策，雲安全聯盟 (Cloud Security Alliance, CSA) 發佈了最新版本的《雲計算十二大頂級威脅：行業洞察報告》。雲服務供應商意外刪除或物理災難（如火災或地震）可能導致客戶數據的永久性丟失，除非供應商或雲消費者進行了數據備份，遵循了業務連續性和災難恢復方面的最佳實踐。

越來越多的數據和應用程序正在轉移到雲上，這一趨勢帶來了獨特的信息安全挑戰。以下是企業在使用雲服務時所面臨的十二大頂級安全威脅。

雲計算正在持續改變組織機構使用、存儲和共享數據、應用程序和工作負載的方式。這也帶來了一系列新的安全威脅和挑戰。隨着大量數據數據進入雲計算——特別是公共雲服務，這些資源自然就成爲了壞人的目標。

Gartner 公司副總裁兼雲安全主管 Jay Heiser 表示：公共雲的使用量正在快速增長，因此不可避免地會導致大量敏感內容暴露在潛在風險當中。

與大多數人的認知可能相反，保護雲中企業數據的主要責任不在於服務供應商，而在於雲客戶。

爲了讓組織機構瞭解雲安全問題的最新動態，以便他們能夠就雲使用策略做出明智的決策，雲安全聯盟 (Cloud Security Alliance, CSA) 發佈了最新版本的《雲計算十二大頂級威脅：行業洞察報告》 。

該報告描述了 CSA 安全專家一致認爲的目前雲所面對的最大安全問題。CSA 表示，儘管雲計算存在很多安全問題，但本文主要關注12個與雲計算的共享和按需分配特性相關的問題。後續報告《雲計算的最大威脅：深度挖掘》(Top Threats to Cloud Computing: Deep Dive) 列舉了有關這12種威脅的案例研究。

爲了確定主要威脅，CSA 對行業專家進行了調查，就雲計算面臨的主要安全問題收集了專業意見。下面是調查得出的一些頂級雲安全問題（按調查結果的嚴重程度排序）：

CSA 表示，數據泄露可能是因爲有針對性的攻擊，也可能只是人爲錯誤、應用程序漏洞或糟糕的安全措施導致的。數據泄露可能涉及任何不打算公開的信息，包括個人健康信息、財務信息、個人身份信息、商業祕密和知識產權信息。一個組織機構的雲數據可能對不同的對象有不同的價值。數據泄露風險並非只有雲計算獨有，但它始終是雲客戶最關心的問題。

他在其《深度挖掘》(Deep Dive) 的報告中引用了2012年 LinkedIn 密碼遭黑客攻擊作爲主要例證。由於 LinkedIn 沒有加密密碼數據庫，攻擊者竊取了1.67億個密碼。該報告表示，這次泄露警示組織機構應始終對包含用戶憑據的數據庫進行加鹽哈希加密處理，並進行日誌記錄和異常行爲分析。

假扮成合法用戶、操作人員或開發人員的外部入侵者可以讀取、修改和刪除數據；發佈控制面板和管理功能；監視傳輸中的數據或發佈來源似乎合法的惡意軟件。因此，身份、憑據或密鑰管理不當可能導致未經授權的數據訪問，並可能對組織機構或終端用戶造成災難性的結果。

根據 Deep Dive 的報告，訪問管理不當的一個例子是 MongoDB 數據庫默認安裝設置存在風險。該數據庫在默認安裝設置中打開了一個端口，允許訪問者在不進行身份驗證的情況下對數據庫進行訪問。該報告建議在所有周邊環境中實施預防性控制，並要求組織機構掃描託管、共享和公共環境中的漏洞。

雲供應商公開了一套軟件用戶界面 (UI) 或 API，客戶通過這些工具管理雲服務並與之進行交互。CSA 表示，供應、管理和監測都是使用這些接口執行的，一般雲服務的安全性和可用性取決於 API 的安全性。它們需要被設計成能夠阻擋企圖避開政策的意外和惡意企圖。

系統漏洞是程序中可利用的漏洞，攻擊者可以利用這些漏洞潛入系統竊取數據、控制系統或中斷服務操作。CSA 表示，操作系統組件中的漏洞使所有服務和數據的安全性面臨重大風險。隨着雲端用戶增加，不同組織機構的系統彼此靠近，並被賦予了訪問共享內存和資源的權限，從而產生了一個新的攻擊角度。

CSA 指出，帳戶或服務劫持並不新鮮，但云服務的出現帶來了新的威脅。如果攻擊者獲得了對用戶憑證的訪問權，他們就可以監視用戶活動和交易，操縱數據，返回僞造的信息，並將客戶重定向到非法站點。帳戶或服務實例可能成爲攻擊者的新依據。使用竊取的憑證，攻擊者可以訪問雲計算服務的關鍵部分，從而破壞這些服務的機密性、完整性和可用性。

Deep Dive 報告中的一個例子：Dirty Cow 高級持續威脅 (APT) 小組能夠通過薄弱的審查或社會工程接管現有帳戶，從而獲得系統root權限。該報告建議對訪問權限實行 “需要知道” 和 “需要訪問” 策略，並對帳戶接管策略進行社交工程訓練。

CSA 表示，儘管威脅程度有待商榷，但內部威脅會製造風險這一事實毋庸置疑。惡意內部人員（如系統管理員）可以訪問潛在的敏感信息，並且逐漸可以對更關鍵的系統進行更高級別的訪問，並最終訪問數據。如果僅依靠雲服務供應商來保持系統安全，那麼系統將面臨巨大的安全風險。

報告中引用了一名心懷不滿的 Zynga 員工的例子，該員工下載並竊取了公司的機密商業數據。當時沒有防丟失控制措施。Deep Dive 報告建議實施數據丟失防護 (DLP) 控制，提高安全和隱私意識，以改進對可疑活動的識別和報告。

APTs 是一種寄生形式的網絡攻擊，它滲透到系統中，在目標公司的IT基礎架構紮根，然後竊取數據。APT 在很長一段時間內會祕密追蹤自己的目標，通常能適應那些旨在防禦它們的安全措施。一旦到位，APT 可以橫向移動通過數據中心網絡，並融入到正常的網絡流量中來實現他們的目標。

存儲在雲中的數據可能會因爲惡意攻擊以外的原因丟失，CSA 說道。雲服務供應商意外刪除或物理災難（如火災或地震）可能導致客戶數據的永久性丟失，除非供應商或雲消費者進行了數據備份，遵循了業務連續性和災難恢復方面的最佳實踐。

CSA 表示，當高管制定業務策略時，必須考慮到雲技術和服務提供商。在評估技術和供應商時，制定一個完善的路線圖和盡職調查清單至關重要。那些急於採用雲技術，但沒有在進行盡職調查的情況下選擇供應商的組織機構將面臨很多風險。

CSA 表示，不安全的雲服務部署、免費的雲服務試用以及欺詐賬戶註冊，都將雲計算模型暴露在惡意攻擊之下。惡意人員可能會利用雲計算資源來針對用戶、組織機構或其他雲供應商。濫用雲關聯資源的例子包括髮起分佈式拒絕服務攻擊、垃圾郵件和釣魚攻擊。

DoS 攻擊旨在阻止使用服務的用戶訪問他們的數據或應用程序。通過強制目標雲服務消耗過多的系統資源（如處理能力，內存，磁盤空間或網絡帶寬）， 攻擊者可以使系統速度降低，並使所有合法的服務用戶無法訪問服務。

DNS 供應商 Dyn 是 Deep Dive 報告中 DoS 攻擊的一個主要例子。一個外部組織使用 Mirai 惡意軟件通過物聯網設備， 在 Dyn 上啓動分佈式拒絕服務 (DDoS)。這次攻擊之所以能成功，是因爲受到攻擊的物聯網設備使用了默認憑證。該報告建議分析異常的網絡流量，並審查和測試業務連續性計劃。

CSA 指出，雲服務供應商通過共享基礎架構、平臺或應用程序來提供可擴展的服務。雲技術帶來了 “即服務” 概念，而沒有對現有的硬件和軟件進行實質性改動——有時是以犧牲安全性爲代價的。組成支持雲服務部署的基礎組件，其設計目的可能不是爲了多用戶架構或多用戶應用程序提供強大的隔離功能。這可能導致共享技術漏洞，這些漏洞可能會在所有交付模型中被利用。

Deep Dive 報告中的一個例子是 Cloudbleed 漏洞，在這個漏洞中，一個外部人員能夠利用其軟件中的一個漏洞從安全服務供應商 Cloudflare 中竊取 API 密鑰、密碼和其他憑據。該報告建議對所有敏感數據進行加密，並根據敏感級別對數據進行分段。

2018年1月，研究人員報告了大多數現代微處理器的一個常見設計特性，利用該特性使用惡意 Javascript 代碼可以從內存中讀取內容，包括加密數據。這一漏洞的兩種變體分別被稱爲熔斷 (Meltdown) 和幽靈 (Spectre)，它們影響了從智能手機到服務器的各種設備。正因爲後者，我們才把它們列入這個雲威脅列表中。

Spectre 和 Meltdown 都能進行旁路攻擊，因爲它們打破了應用程序之間的相互隔離。能夠通過非特權登錄訪問系統的攻擊者可以從內核讀取信息，如果攻擊者是客戶虛擬機 (VM) 上 root 用戶，則可以讀取主機內核。

對於雲服務提供商來說，這是一個巨大的問題。當補丁可用時，攻擊者會更難發動攻擊。補丁可能會降低性能，因此一些企業可能選擇不給系統打補丁。CERT 建議更換所有受影響的處理器——但還沒有代替品時，很難做到這一點。

到目前爲止，還沒有任何已知的利用 Meltdown 或 Spectre 的漏洞，但專家們一致認爲，這些漏洞很可能很快就會出現。對於雲供應商來說，防範它們的最佳建議是確保所有最新補丁都已到位。客戶應該要雲供應商提供他們應對 Meldown 和 Spectre 的策略。

《雲計算十二大頂級威脅：行業洞察報告》:

https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/