能破坏企业运营环境的6个云计算安全事情

有些企业认为云计算可以自动保护其工作负载和数据免受攻击、盗窃和其他不当行为侵害，这是一种错误的想法。因为即使在云平台中，安全漏洞和潜在的网络攻击也是不可避免的。

云平台是一种多租户环境，可以在分布在全球各地的客户之间共享基础设施和资源。云计算提供商必须努力维护其共享基础设施的完整性。与此同时，云计算是一个自助服务平台，每个客户都必须仔细定义其每个工作负载和资源的具体控制。

在深入研究这些云安全挑战以及如何防范安全风险之前，企业必须了解三种主要危险类型之间的差异：威胁、漏洞、风险。这些术语通常可以互换使用，但是对于IT安全专业人员来说它们具有不同的含义。

• 威胁是指组织必须防范的实际发生的事情，例如拒绝服务(DoS)攻击、人为错误或自然灾害。
• 漏洞是指组织安全态势中的疏忽、漏洞、弱点或其他缺陷。这可能包括配置不当的防火墙、未修补的操作系统或未加密的数据。
• 风险是需要仔细评估的组织脆弱性的潜在威胁。例如，有人将未加密的数据存储在公共云中，人为错误可能会导致数据被访问或更改。这可能被认为是必须防范的重大业务风险。

当用户了解公共云漏洞时，他们可以识别潜在的安全漏洞和常见错误。IT团队需要识别并解决各种类型的危险，以防止其系统被利用。以下是六个最常见的云计算的安全问题：

1.配置错误

用户自己负责配置，因此企业的IT团队需要优先掌握各种设置和选项。云计算资源受到一系列配置设置的保护，这些设置详细说明了哪些用户可以访问应用程序和数据。配置错误和疏忽可能会泄露数据，并允许误用或更改该数据。

每个云计算提供商都使用不同的配置选项和参数。用户有责任学习和理解承载其工作负载的平台如何应用这些设置。

IT团队可以通过多种方式减少配置错误：

• 除非特权对于特定的业务或应用程序任务是必需的，否则采用并执行最低特权或零信任的策略来阻止对所有云计算资源和服务的访问。
• 采用云计算服务策略以确保默认情况下资源为私有。
• 创建并使用清晰的业务策略和准则，概述云计算资源和服务所需设置的配置。
• 学习云计算提供商的配置和安全设置，可以考虑学习提供商提供特定的课程和认证。
• 在默认情况下，使用加密来保护静止和传输中的数据。
• 使用Intruder和Open Raven等工具检查配置错误和审核日志。

2.访问控制不良

未经授权的用户利用不良的访问控制绕过薄弱或缺乏的身份验证或授权方法。

例如，恶意行为者利用弱密码来猜测凭据。强大的访问控制可实现其他要求，例如最小密码长度、大小写混合、标点符号或符号以及频繁更改密码。

访问控制的安全性可以通过几种常见的策略来增强。

• 强制使用强密码，并要求定期重置。
• 使用多因素身份验证技术。
• 要求用户定期重新认证。
• 采用最低特权或零信任的策略。
• 避免使用第三方访问控制，而对云平台中的服务和资源采用基于云计算的访问控制。
• 

（编辑：南通站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!