2018年我们将面临哪些云数据安全问题？

关键词：

总部位于密苏里州圣路易斯的TierPoint公司，是一家私人投资支持的主机托管和混合云服务供应商，目前已迅速成为数据中心行业一支不可忽视的力量。TierPoint经营着39个数据中心，数据中心空间共计超过60万平方英尺，遍布美国18个州21个市场。经过仅仅5年的发展，它从一个小型本地数据中心整合者，演变成为一家为多个区域市场提供混合IT解决方案的成熟数据中心供应商。

对于数据安全问题，TierPoint也有自己的见解。2018年我们将面临哪些云数据安全问题？TierPoint提出了以下5种威胁。

1. 共享技术中的漏洞

一般来说，采购云服务也就意味着你默认与该供应商的其它客户共享他们的基础架构、平台或应用。供应商的底层基础架构应该在多租户基础架构（IaaS）、平台即服务（PaaS）或软件即服务（SaaS）解决方案的客户之间采取强大的隔离措施（但在实际情况中，真正做到这一点的供应商到底有多少我们无从得知）。

诸如管理程序之类的共享平台组件中一旦产生漏洞或配置错误，攻击者就有可能趁虚而入，攻击该供应商系统，最终殃及大部分甚至所有客户的云端数据，造成后果极为严重的信息泄露事件。

保护云数据安全的关键措施之一就是针对共享基础架构管理制定严格的流程。围绕客户端实现和数据管理的最佳实践有助于防范共享技术的漏洞。此外，还需要对内部服务交付和面向客户的资源进行例行的漏扫和以合规为重点的扫描。

2. DDoS攻击

DDoS攻击指的是通过受感染计算机/互联网设备上的僵尸网络发送大量垃圾流量，导致整个网络、网站和应用程序彻底瘫痪的过程。最著名的案例之一发生在2016年10月，DNS服务提供商Dyn公司的Managed DNS基建遭遇了一波非常严重的DDoS攻击，不仅是Dyn，整个美国、欧洲的主要网站均沦陷。

DDoS攻击还有一个容易被人忽略的危害属性是为数据盗窃、恶意软件感染“打掩护”，最终对云数据安全产生威胁。例如，英国电信运营商Carphone Warehouse曾在2015年曝光受到大量在线流量的攻击，同时240万在线用户的个人信息被窃取，其中包含加密的信用卡数据。

更悲催的是，DDoS攻击发起成本低廉、持续时间长（数小时甚至数天）。有资料显示，花150美金就能在暗网上买到针对小型组织展开为期一周的攻击服务。

3. Web API恶意利用

Web service接口（也称为web API或应用程序编程接口）能够为开发人员和黑客提供云应用程序的控制权。web API的“合法”作用是提供集成、管理、监控以及其它云服务。Web API一旦落入非法用户之手，他们就有可能访问敏感数据、禁用服务器、更改应用程序配置设置、通过云资源窃取发起其它攻击，最终对云数据安全产生严重危害。

云API中的数据安全往往比较脆弱。RedLock在其2017年的《云基础架构安全趋势》报告中提出40%使用云存储服务的企业无意中都公开了一项或多项此类服务。

为了增强云数据的安全性，云服务API应通过加密密钥进行访问，用于API合法用户的验证。开发人员和云提供商都应将其密钥存储在安全的文件存储或硬件设备中。

4. 勒索软件

美国联邦调查局有资料显示，2016年每天发生4000起勒索软件攻击事件，相比2015年增长了300%。2017年，“想哭”勒索软件损毁了全球无数企事业单位的海量数据。其中全球制药业巨头Merck因为“想哭”终止了其生产和配方作业，一个月后，又因勒索软件的破坏导致无法完成订单交付。

勒索病毒的传播途径多样，例如受感染的电子邮件、视频、PDF或网站，能够连接的设备或者通过密码破解进行感染。思科在其2017年年中网络安全报告中指出，越来越多单位的安全措施都在不断完善，因此很多犯罪分子又开始采用电子邮件这种传统的感染方式——看似无害的邮件内容，以及带宏病毒的邮件附件。

勒索软件会对受感染计算机中的一切加密，因此我们必须在云上或另一个系统中进行资料备份。

5. APT高级持续性威胁

狡猾的APT威胁能够完美地藏匿于计算基础架构中，持续数月甚至数年地在目标受害者的网络中窃取数据、知识产权，获取不法经济利益或从事网络间谍活动。通常来说，APT威胁检测难度大，防御方式也不断演变。APT所造成的数据泄露往往发生于无形之中，发现难度大。

云安全联盟在其《The Treacherous 12–Top Threats to Cloud Computing + Industry Insights》报告中指出，APT威胁通过鱼叉式钓鱼、直接攻击、USB设备中的攻击代码等技术或通过对合作方网络的渗透以及使用不安全的或第三方网络等方式潜入包括云服务在内的系统。

TierPoint研究人员认为，高级安全控制措施和严格的流程管理是防范云数据安全威胁的关键。除此之外，针对数据内容本身的安全防护也至关重要，在面对各种漏洞和攻击时，如果已经对需要保护的核心数据做了检查定位、脱敏和监控等技术手段的防护，那么云数据的安全风险将大大降低。

世平信息是一家专注于智能化数据管理与应用的高新技术企业，目前围绕云服务器中存储和使用的核心敏感数据保护也有了对应的产品和解决方案（世平敏感信息风险评估系统、世平数据脱敏系统），可通过阿里云安全市场进行线上购买和使用。

内容参考来源：
https://www.tierpoint.com/top-5-cloud-data-security-threats-in-2018/
由杭州世平信息科技有限公司编译。

2022年云计算面临的5大网络安全威胁

...随着技术的进步不断创新，组织采用的云计算服务将面临更多的网络安全威胁。毫无疑问，冠状病毒疫情为网络攻击者创造了更多的攻击机会。根据思科公司的调查，全球有53％的中小型企业（SMB）遭遇数... 查看详情

云上安全如何解决？

...关注的问题。那云上主要有哪些安全风险和挑战？从图中我们可以看出，过去三年中，爆发了很多安全事件。这些事件通常带来了巨大的经济损失，有些导致敏感数据泄露，也对企业的声誉造成了负面影响。从最初的孟加拉银行... 查看详情

云报修数据安全分析

...有很多企业都在使用SaaS平台，SaaS云服务商也越来越多。我们在使用软件的时候一是关注软件本身能给我们带来的功能性，二就是关注软件的安全性。什么样的SaaS软件才是安全的?SaaS的安全问题包括哪些方面?今天以青鸟报修云，... 查看详情

云时代的it运维面临将会有哪些变化

...在当前企业IT系统向云架构转型的时刻，运维系统再一次面临着新的挑战。所以在数据中心运维的时候，运维人员应该注意哪些问题?在云计算时代，IT系统建设越来越成为企业发展至关重要的一环。业务系统，以及支撑业务系统... 查看详情

2018年人工智能带来了哪些变化，2019年又会发生什么？

...能技术让企业和个人感受到了哪些变化，在发展的过程中我们发现了人工智能技术的拿些问题？2019年人工智能又会朝什么样的方向发展？一起看一看RedHat的两位分析师的观察和看法。AI是激发大众和商业想象力的技术之一，在科... 查看详情

云时代重新定义主机安全：自动化安全闭环是核心

...、防御为一体的安全闭环能力将成为刚需。一、主机安全面临的挑战恶意***仍将持续猖獗所谓擒贼先擒王，主机对于一家企业来说是整个系统的根本，攻陷了主机就等于攻陷了整个企业，因此主机层面的***战争永远硝烟弥漫。挖... 查看详情

云计算将迎来这六大主流趋势

...业已经将大量的业务转移到了云计算上，但这些企业仍然面临着云计算的诸多挑战。上云面临的三大挑战是安全问题、云管理成本和缺乏专业知识。自从公有云出现以来，公司一直担心潜在的安全风险，安全仍然是许多新的云用... 查看详情

云时代重新定义主机安全：自动化安全闭环是核心

...、防御为一体的安全闭环能力将成为刚需。一、主机安全面临的挑战1.恶意攻击仍将持续猖獗所谓擒贼先擒王，主机对于一家企业来说是整个系统的根本，攻陷了主机就等于攻陷了整个企业，因此主机层面的攻防战争永远硝烟弥... 查看详情

2018年iot那些事儿

...由器到监控摄像头统统都开始上网。随着5G网络的发展，我们身边的IoT设备会越来越多。与此同时，IoT的安全问题也慢慢显露出来。 腾讯安全云鼎实验室对IoT安全进行了长期关注，本文通过云鼎实验室听风威胁感知平台收集... 查看详情

云计算核心技术有哪些？云计算零基础学习

...入云计算的最大顾虑。不可否认在安全方面，云计算确实面临许多挑战，但是云计算的一些优秀的特性将不仅能够有效应对这些挑战，而且也将会比已有模式更安全。云计算具体是什么呢？举个例子，可以简单的理解为，好比项... 查看详情

it2018年：manageengine回顾总结

...了大量新技术，这是数据隐私方面向前迈出的一大步。?我们ManageEngine也度过了一个繁忙的一年，所以我们决定重新审视2018年的一些主要趋势和事件以及我们如何应对。发现2018年的趋势随着世界目睹一些关键的全球IT转变，2018年... 查看详情

kinmall分析加密货币的未来将面临哪些问题？

...业用例的严肃性。各种炒作和伪装是毫无严肃性可言的。我们学到了什么区块链技术和加密货币提供了一种在互联网上移动价值而无需依赖中心化中介机构的方法。它们承诺降低验证和网络成本，包括审查、隐私、对账和结算成... 查看详情

阿里云移动研发平台emas，是如何连续5年安全护航双11的？

...阿里云作为阿里巴巴IT基础设施的基石，每年的双十一都面临前所未有的巨大技术挑战。阿里云的EMAS移动研发平台 查看详情

没有信心不会上云？看紫光云如何突破云“鸿沟”？

...年，云计算厂商在加强投资、猛攻市场的同时，也不得不面临新技术的“鸿沟”：从早期采用者到主流市场之间的“大断层”。新技术“鸿沟”普遍存在于创新高科技产品的“技术采纳生命周期”中，凡是能够成功跨越“鸿沟”... 查看详情

网站迁移时有哪些需要注意事项

...的云服务器。那么在做服务器迁移的时候，有哪些是需要我们注意的地方呢?和宵云一起来看看吧。网站迁移到云服务器需要做哪些测试准备?1、功能测试这包括软件即服务(SaaS)和云服务器的管理功能，以及针对性能问题测试端到... 查看详情

cwe4.8：2022年危害最大的25种软件安全问题

摘要：我们来看下新版的《2022年危害最大的25种安全问题》在安全预防上会给了我们哪些安全提示。本文分享自华为云社区《CWE4.8--2022年危害最大的25种软件安全问题》，作者：Uncle_Tom。1.CWE4.8的变化2022年过了一半了&... 查看详情

数字医疗时代的数据安全如何保障？

...：十四五规划下，数据安全成为国家、社会发展面临的重要议题，《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》已陆续施行。如何做好“数据安全建设”是数字时代的必答题。数据安全问题... 查看详情

云计算超融合一体机，加速企业互联网下半程

...践，困扰CIO们继续更进一步推动企业上云；第二，这两年数据安全引发的事故越来越多且影响越来越大，企业对于数据上云越来越慎重。 查看详情