十一大问题揭露云计算内部威胁 企业何去何从

日期:2013-6-20作者:Paul Kirvan

【TechTarget中国原创】

安全性通常是计划投资基于云的技术时最优先考虑的问题。当然,在云环境中,技术通常处于企业的网络边界外部,因此用户可以利用资源,而不能使用物理机架、服务器、电力系统和其他相关设备。可以肯定的一个重要问题是,关键数据(如客户数据、医疗记录)和知识产权不会受其他客户系统和数据文件的影响。

  本文中,我们将研究企业云环境的另一个安全性问题:内部威胁。我们将探讨基于云的关键资源的蓄意(计划的)攻击和意外(偶然的)破坏。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Paul Kirvan
Paul Kirvan

Paul Kirvan是一名独立IT顾问,拥有超过22年的IT经验,主要擅长业务连续性、容灾、安全和企业风险管理等领域。

云的数据保护>更多

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 企业须知:虚拟机隔离技术

    Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

  • 公有云安全:多一重身份 多一份保障

    云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。

  • 公有云:如何实现多因素认证方法

    多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上,这里未授权用户可能会破坏重要的应用,并导致巨大的云上开支。

相关推荐

技术手册>更多

  • 私有云安全风险与部署技巧指导

    与传统数据中心相比,私有云架构的定义是什么呢?私有云环境的安全风险是什么?企业如何建立虚拟云环境虚拟服务器连接?本技术手册将为您一一讲解。

  • 主流云计算服务模式安全攻略

    毫无疑问,云计算具备了众多的好处。从规模经济到应用可用性,云计算绝对能够为您的应用环境带来一些积极的因素。如今,在广大云计算供应商和支持者的推崇下,众多企业用户已开始跃跃欲试。但是,对于公共云计算平台而言,无论是SaaS(软件即服务)、IaaS(基础设施即服务),还是PaaS(平台即服务),都无法拿出真正可靠的云安全方案来。而对于私有云而言,也不同程度地面临着类似的问题,这也正是广大用户最为担心的方面。本手册为用户介绍如何在SaaS、IaaS及PaaS模式下保证应用和数据的安全性。

  • 解密后端即服务(BaaS)

    后端即服务(BaaS)作为通向后端的一个不同方法已经兴起—它包含服务器、应用程序和支持应用程序面向用户的前端数据库—通过引入云服务架构通向后端流程。虽然是新的,但它已经有了许多的厂商,随着BaaS商场的不断增长,越来越多的开发团队开始注意到移动应用领域的这个新生儿。

  • 平台即服务(PaaS)实操指南

    市场上为开发者提供了各种PaaS。虽然看起来PaaS厂商都极为相似,但是却也存在诸多不同。要跟上市场的变化,在选择PaaS平台时,有一些关键性能需要注意。在这本技术指南中我们将重点介绍平台即服务的市场现状以及如何将遗留开发转移到PaaS之上,同时我们会给出最新的私有PaaS概念和产品选择指导。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】

安全性通常是计划投资基于云的技术时最优先考虑的问题。当然,在云环境中,技术通常处于企业的网络边界外部,因此用户可以利用资源,而不能使用物理机架、服务器、电力系统和其他相关设备。可以肯定的一个重要问题是,关键数据(如客户数据、医疗记录)和知识产权不会受其他客户系统和数据文件的影响。

  本文中,我们将研究企业云环境的另一个安全性问题:内部威胁。我们将探讨基于云的关键资源的蓄意(计划的)攻击和意外(偶然的)破坏。

探讨云计算的内部威胁

  调查内部威胁主要的问题时,攻击者已经存在于内部。从本文目的出发,我们假设“内部人士”为云服务厂商工作,并且有一个或多个客户端环境。内部人士可以协调客户信息的保密性、完整性和可用性。

  蓄意攻击的类型包括信息窃取、数据破坏或者数据毁灭、服务于特定客户的系统受到损害、用户使用的软件和服务遭到损害、破坏和欺诈。

  尽管很难想象无意的云计算内部威胁,但是由于错误的指令,这种威胁经常发生,从而对客户系统、服务和数据产生负面影响。然而,也可能是由于缺乏管理客户系统、服务和数据的培训。例如,一个操作员或者技术人员可能会收到特殊服务的命令,或者可能是更新特定服务的命令,并且,由于缺乏特殊活动的培训,就会输入错误的数据。一个数据库管理员可能意外地访问了错误的客户数据库,输入错误的命令,以至于损坏了整个数据库。

云计算内部威胁:研究风险及风险的缓解措施

云计算内部威胁:研究风险及风险的缓解措施

  事实上,看似恶意的内部活动可能是完全偶然的。然而这样的事件却引发了这样的问题:如果有人知道如何安全访问并使用复杂的基于云的系统和服务,“事故”还会发生吗?

  因此,我们要关注蓄意攻击,关注蓄意攻击的潜在影响以及如何防止或者减轻其影响。假设犯罪者具有安全许可,对于一个企业来说,信息或知识产权窃取则是一场噩梦。商业秘密、工程文件、财务数据、客户数据和许多其他有价值的资产可以被复制,并出售给出价最高的人或者是任何地方的人。这些可能正在悄悄地发生。

  一旦数据被破坏或者毁灭,内部人士就可以获取关键的客户档案和数据库并且删除数据,引入病毒或蠕虫,或者引入逻辑炸弹来破坏/擦除数据。如果这些关键数据没有备份/或者没有复制到其他位置,那么其损失将会导致公司破产。

  公司如果使用被恶意操纵、更改的基于云的系统和服务,就会突然发现他们重要的面向客户型的应用程序出现故障或者不能运行。这意味着,他们的客户可能无法正常办理业务,从而导致诉讼,业务和声誉遭受损失。重新获得客户信任,可能会很困难,甚至不可能,尤其是如果面向客户型的系统已经严重损坏。

  上述情况可能是一种蓄意行为,正如许多内部攻击。基于云的服务组织的人员可能对组织不满或者对特定的公司抱有个人恩怨,而这个人恰好是云服务组织的一个客户。这个人具有安全许可,只要他喜欢,他几乎可以做任何事情,来慢慢破坏目标组织和公司。使用各种技术来窃取信息,创建虚假财务数据或者破坏出现运行“中断”的组织,但总的来说,这可能是更大的、更险恶破坏计划的一部分。

  最后,像许多其他恶意行为一样,在云环境中也经常发生欺诈行为。然而公司内部的犯罪者可能只能够获取该公司的资源,而在云环境,犯罪者可以访问许多组织。例如,我们听到的关于内部人士操纵金融系统的事件,比如臭名昭著的兴业银行欺诈事件,导致数百万损失,不然的话就会使组织受害,导致数十亿美元的损失。在云环境中,犯罪者可以安全访问多个客户系统和数据,并且只会受到他或她的计算机技能的限制。

防止内部威胁:需要询问的问题

  一个恶意的内部人士可能是一个系统的管理员或者其他技术人才。这样的人进行的非法攻击可能被称为“流氓”管理员或技术人员。

  计划使用基于云资源的组织,必须积极评估云服务厂商的安全态势。需要解决的问题包括以下几点:

  在与云服务厂商签订合同之前(询问他们关于你自己的内部IT组织问题和其他问题并不影响)。即使是最成功的以及备受尊敬的云公司内部可能也存在这样的人,他们在等待合适的时机,一旦时机到来,他们就会采取恶意行为来中饱私囊或来达到他们自己的利益。虽然要找出一个犯罪者几乎是不可能的,除非一切为时已晚,发出了警告信号。不满、糟糕的绩效考核、不加薪水、家庭问题、忙于工作并且偶尔发脾气,这些都是警告信号。看起来可能毫不重要,但是要确保你的厂商的人力资源团队能够协助员工筛选过程和员工绩效的持续监控。在评估你的组织的安全态势时,采取这些方法。就像你的供应商一样,你的组织可能会成为内部威胁的目标。

  在出现完全可靠的员工筛选、系统/网络监控、检测预示内部攻击的人类绩效变化的方法之前,像许多其他的IT服务公司一样,基于云的服务厂商,不得不保持高水平的尽职调查和积极主动的工作监督,以防止恶意的内部攻击。所以一定要考虑以上的建议。使厂商保持最高标准将有助于减少云计算内部威胁。