2018年我們將面臨哪些云數據安全問(wèn)題？

總部位于密蘇里州圣路易斯的TierPoint公司，是一家私人投資支持的主機托管和服務(wù)供應商，目前已迅速成為行業(yè)一支不可忽視的力量。TierPoint經(jīng)營(yíng)著(zhù)39個(gè)數據中心，數據中心空間共計超過(guò)60萬(wàn)平方英尺，遍布美國18個(gè)州21個(gè)市場(chǎng)。經(jīng)過(guò)僅僅5年的發(fā)展，它從一個(gè)小型本地數據中心整合者，演變成為一家為多個(gè)區域市場(chǎng)提供混合IT解決方案的成熟數據中心供應商。

對于數據安全問(wèn)題，TierPoint也有自己的見(jiàn)解。2018年我們將面臨哪些云數據安全問(wèn)題？TierPoint提出了以下5種威脅。

1. 共享技術(shù)中的漏洞

一般來(lái)說(shuō)，采購也就意味著(zhù)你默認與該供應商的其它客戶(hù)共享他們的基礎架構、平臺或應用。供應商的底層基礎架構應該在多租戶(hù)基礎架構（IaaS）、平臺即服務(wù)（PaaS）或軟件即服務(wù)（SaaS）解決方案的客戶(hù)之間采取強大的隔離措施（但在實(shí)際情況中，真正做到這一點(diǎn)的供應商到底有多少我們無(wú)從得知）。

諸如管理程序之類(lèi)的共享平臺組件中一旦產(chǎn)生漏洞或配置錯誤，攻擊者就有可能趁虛而入，攻擊該供應商系統，最終殃及大部分甚至所有客戶(hù)的云端數據，造成后果極為嚴重的信息泄露事件。

保護云數據安全的關(guān)鍵措施之一就是針對共享基礎架構管理制定嚴格的流程。圍繞客戶(hù)端實(shí)現和數據管理的最佳實(shí)踐有助于防范共享技術(shù)的漏洞。此外，還需要對內部服務(wù)交付和面向客戶(hù)的資源進(jìn)行例行的漏掃和以合規為重點(diǎn)的掃描。

2. DDoS攻擊

DDoS攻擊指的是通過(guò)受感染計算機/互聯(lián)網(wǎng)設備上的僵尸網(wǎng)絡(luò )發(fā)送大量垃圾流量，導致整個(gè)網(wǎng)絡(luò )、網(wǎng)站和應用程序徹底癱瘓的過(guò)程。最著(zhù)名的案例之一發(fā)生在2016年10月，DNS服務(wù)提供商Dyn公司的Managed DNS基建遭遇了一波非常嚴重的DDoS攻擊，不僅是Dyn，整個(gè)美國、歐洲的主要網(wǎng)站均淪陷。

DDoS攻擊還有一個(gè)容易被人忽略的危害屬性是為數據盜竊、惡意軟件感染“打掩護”，最終對云數據安全產(chǎn)生威脅。例如，英國電信運營(yíng)商Carphone Warehouse曾在2015年曝光受到大量在線(xiàn)流量的攻擊，同時(shí)240萬(wàn)在線(xiàn)用戶(hù)的個(gè)人信息被竊取，其中包含加密的信用卡數據。

更悲催的是，DDoS攻擊發(fā)起成本低廉、持續時(shí)間長(cháng)（數小時(shí)甚至數天）。有資料顯示，花150美金就能在暗網(wǎng)上買(mǎi)到針對小型組織展開(kāi)為期一周的攻擊服務(wù)。

3. Web API惡意利用

Web service接口（也稱(chēng)為web API或應用程序編程接口）能夠為開(kāi)發(fā)人員和黑客提供云應用程序的控制權。web API的“合法”作用是提供集成、管理、監控以及其它云服務(wù)。Web API一旦落入非法用戶(hù)之手，他們就有可能訪(fǎng)問(wèn)敏感數據、禁用服務(wù)器、更改應用程序配置設置、通過(guò)云資源竊取發(fā)起其它攻擊，最終對云數據安全產(chǎn)生嚴重危害。

云API中的數據安全往往比較脆弱。RedLock在其2017年的《云基礎架構安全趨勢》報告中提出40%使用云存儲服務(wù)的企業(yè)無(wú)意中都公開(kāi)了一項或多項此類(lèi)服務(wù)。

為了增強云數據的安全性，云服務(wù)API應通過(guò)加密密鑰進(jìn)行訪(fǎng)問(wèn)，用于A(yíng)PI合法用戶(hù)的驗證。開(kāi)發(fā)人員和云提供商都應將其密鑰存儲在安全的文件存儲或硬件設備中。

4. 勒索軟件

美國聯(lián)邦調查局有資料顯示，2016年每天發(fā)生4000起勒索軟件攻擊事件，相比2015年增長(cháng)了300%.2017年，“想哭”勒索軟件損毀了全球無(wú)數企事業(yè)單位的海量數據。其中全球制藥業(yè)巨頭Merck因為“想哭”終止了其生產(chǎn)和配方作業(yè)，一個(gè)月后，又因勒索軟件的破壞導致無(wú)法完成訂單交付。

勒索病毒的傳播途徑多樣，例如受感染的電子郵件、視頻、PDF或網(wǎng)站，能夠連接的設備或者通過(guò)密碼破解進(jìn)行感染。思科在其2017年年中網(wǎng)絡(luò )安全報告中指出，越來(lái)越多單位的安全措施都在不斷完善，因此很多犯罪分子又開(kāi)始采用電子郵件這種傳統的感染方式——看似無(wú)害的郵件內容，以及帶宏病毒的郵件附件。

勒索軟件會(huì )對受感染計算機中的一切加密，因此我們必須在云上或另一個(gè)系統中進(jìn)行資料備份。

5. APT高級持續性威脅

狡猾的APT威脅能夠完美地藏匿于計算基礎架構中，持續數月甚至數年地在目標受害者的網(wǎng)絡(luò )中竊取數據、知識產(chǎn)權，獲取不法經(jīng)濟利益或從事網(wǎng)絡(luò )間諜活動(dòng)。通常來(lái)說(shuō)，APT威脅檢測難度大，防御方式也不斷演變。APT所造成的數據泄露往往發(fā)生于無(wú)形之中，發(fā)現難度大。

聯(lián)盟在其《The Treacherous 12–Top Threats to Cloud Computing Industry Insights》報告中指出，APT威脅通過(guò)魚(yú)叉式釣魚(yú)、直接攻擊、USB設備中的攻擊代碼等技術(shù)或通過(guò)對合作方網(wǎng)絡(luò )的滲透以及使用不安全的或第三方網(wǎng)絡(luò )等方式潛入包括云服務(wù)在內的系統。

TierPoint研究人員認為，高級安全控制措施和嚴格的流程管理是防范云數據安全威脅的關(guān)鍵。除此之外，針對數據內容本身的安全防護也至關(guān)重要，在面對各種漏洞和攻擊時(shí)，如果已經(jīng)對需要保護的核心數據做了檢查定位、脫敏和監控等技術(shù)手段的防護，那么云數據的安全風(fēng)險將大大降低。