云計算環境中與安全性有關的弱點或缺陷可能會給企業帶來沉重打擊。在網絡攻擊者進行攻擊之前，企業需要找出其薄弱環節。

有些企業認為云計算可以自動保護其工作負載和數據免受攻擊、盜竊和其他不當行為侵害，這是一種錯誤的想法。因為即使在云平臺中，安全漏洞和潛在的網絡攻擊也是不可避免的。

云平臺是一種多租戶環境，可以在分布在全球各地的客戶之間共享基礎設施和資源。云計算提供商必須努力維護其共享基礎設施的完整性。與此同時，云計算是一個自助服務平臺，每個客戶都必須仔細定義其每個工作負載和資源的具體控制。

在深入研究這些云安全挑戰以及如何防范安全風險之前，企業必須了解三種主要危險類型之間的差異：威脅、漏洞、風險。這些術語通常可以互換使用，但是對于IT安全專業人員來說它們具有不同的含義。

威脅是指組織必須防范的實際發生的事情，例如拒絕服務（DoS）攻擊、人為錯誤或自然災害。 漏洞是指組織安全態勢中的疏忽、漏洞、弱點或其他缺陷。這可能包括配置不當的防火墻、未修補的操作系統或未加密的數據。 風險是需要仔細評估的組織脆弱性的潛在威脅。例如，有人將未加密的數據存儲在公共云中，人為錯誤可能會導致數據被訪問或更改。這可能被認為是必須防范的重大業務風險。

當用戶了解公共云漏洞時，他們可以識別潛在的安全漏洞和常見錯誤。IT團隊需要識別并解決各種類型的危險，以防止其系統被利用。以下是六個最常見的云計算的安全問題：

1.配置錯誤

用戶自己負責配置，因此企業的IT團隊需要優先掌握各種設置和選項。云計算資源受到一系列配置設置的保護，這些設置詳細說明了哪些用戶可以訪問應用程序和數據。配置錯誤和疏忽可能會泄露數據，并允許誤用或更改該數據。

每個云計算提供商都使用不同的配置選項和參數。用戶有責任學習和理解承載其工作負載的平臺如何應用這些設置。

IT團隊可以通過多種方式減少配置錯誤：

除非特權對于特定的業務或應用程序任務是必需的，否則采用并執行最低特權或零信任的策略來阻止對所有云計算資源和服務的訪問。 采用云計算服務策略以確保默認情況下資源為私有。 創建并使用清晰的業務策略和準則，概述云計算資源和服務所需設置的配置。 學習云計算提供商的配置和安全設置，可以考慮學習提供商提供特定的課程和認證。 在默認情況下，使用加密來保護靜止和傳輸中的數據。 使用Intruder和Open Raven等工具檢查配置錯誤和審核日志。

2.訪問控制不良

未經授權的用戶利用不良的訪問控制繞過薄弱或缺乏的身份驗證或授權方法。

例如，惡意行為者利用弱密碼來猜測憑據。強大的訪問控制可實現其他要求，例如最小密碼長度、大小寫混合、標點符號或符號以及頻繁更改密碼。

訪問控制的安全性可以通過幾種常見的策略來增強。

強制使用強密碼，并要求定期重置。 使用多因素身份驗證技術。 要求用戶定期重新認證。 采用最低特權或零信任的策略。 避免使用第三方訪問控制，而對云平臺中的服務和資源采用基于云計算的訪問控制。

3.影子IT

任何人都可以創建公共云帳戶，然后可以使用其帳戶來提供服務以及遷移工作負載和數據。但是那些不精通安全標準的人常常會誤解安全選項——留下可利用的云漏洞。在許多情況下，這種“影子IT”部署甚至可能永遠不會識別或報告漏洞。這使得企業在損失發生很久之后才有機會緩解問題。

當今的企業對影子IT的容忍度更高，但實施標準配置和實踐至關重要。業務用戶、部門和其他實體必須遵守業務的既定標準，以消除漏洞并保持整個組織的安全。

4.不安全的API

不相關的軟件產品使用API進行通信和互操作，而無需了解彼此代碼的內部工作原理。API通常需要敏感的業務數據，并授予對這些數據的訪問權。許多API被公開以幫助加速采用，使外部開發人員和業務合作伙伴能夠訪問企業的服務和數據。

但是有時會在沒有足夠的身份驗證和授權的情況下實現API。它們完全向公眾開放，因此任何具有互聯網連接的人都可以訪問并可能危害數據。因此，不安全的API迅速成為黑客和其他惡意行為者的主要攻擊向量。

無論是使用云計算提供商的API還是創建部署在云中的業務API，使用以下內容開發和使用API都是很重要的：

強身份驗證 數據加密 活動監控和記錄 訪問控制

開發和實現API的企業應將API視為敏感代碼，并應該進行全面的安全審查，包括滲透測試。云計算和其他外部API應該受到同樣的審查。避免使用不符合既定安全準則的外部API。

5.違規

在云計算服務的應用中，云計算提供商負責云平臺的安全性，而客戶負責其數據的安全性。

在這種共享責任模型中，云計算提供商維護基礎設施的完整性和操作，并控制客戶資源和數據的分離。客戶負責配置應用程序和數據安全，例如訪問控制。

當威脅成功利用漏洞并在沒有適當的商業目的的情況下訪問數據時，企業應對該破壞和任何后續后果承擔全部責任。考慮以下常見的例子：

敏感的客戶數據被盜，使企業違反了現行的監管義務，并損害了其聲譽。 重要數據被盜，這會導致知識產權損失，損害企業的競爭地位，并危害產生該數據的投資。 內部業務數據被更改或擦除，這會產生大量潛在影響，例如生產問題。

違規行為通常會對企業造成處罰。例如，違反監管義務的行為可能導致處罰和罰款。涉及為客戶或客戶存儲的數據的違規行為可能會導致違反合同的行為，從而導致耗時的訴訟和成本高昂的補救措施。

確保配置正確，并遵循本文概述的其他預防措施，以減輕任何監管或法律風險。

6.中斷

云計算基礎設施非常龐大，但確實會發生故障——通常會導致影響廣泛的云中斷。這種中斷是由硬件問題和配置疏忽造成的，正是影響傳統數據中心的問題。

云平臺也可能受到分布式拒絕服務和其他旨在損害云計算資源和服務可用性的惡意機制的攻擊。如果網絡攻擊者可以使公共云資源或云計算服務不可用，它將影響使用這些資源和服務的云計算用戶。云計算提供商擅長應對網絡攻擊，當特定業務工作負載受到網絡攻擊時，企業的支持團隊可以提供幫助。

盡管企業和其他公共云用戶無法防止云計算中斷和攻擊，需要考慮此類中斷對云計算工作負載和數據源的影響，并將此類事件作為災難恢復策略的一部分進行規劃。

鑒于公共云的廣泛性質，通常可以通過跨云區域或區域實施的高可用性架構解決災難恢復。不過這并不是自動的，企業必須仔細設計它們并定期進行測試，以確保業務不會受到任何影響。
責任編輯：YYX