隨著企業努力保護他們的雲計算環境,他們需要知道哪種型別的攻擊最有可能發生。雲計算已存在多年,但雲計算安全性在過去一年左右才成為正式規範。隨著雲計算的發展,攻擊者正在尋找一些新的、先進的方式來侵入企業環境。
公共雲安全事件通常源於對共享責任模式的不了解,這種模式將管理雲計算使用者和提供商如何承擔安全負擔。我們談論的許多威脅都是組織不了解公共雲威脅模型的結果。客戶很難在公共雲中使用安全工具,而傳統的企業工具無法在雲計算環境的動態特性中執行。
隨著企業以更快的速度將更多**投入生產,如今的雲計算正面臨著幾種型別的威脅。我們看到大多數攻擊都是編排或跨雲攻擊,或資料中心攻擊,這些事件的整體上公升歸因於雲採用率的上公升。
在這裡,兩位雲安全專家指出了不同型別的網路攻擊,並解釋了它們如何影響雲環境。
(1)跨雲攻擊
網路攻擊者通常使用公共雲環境滲透到本地資料中心。當客戶將其中乙個工作負載移動到公共雲環境中,並使用directconnect(或任何其他vpn隧道)在公共雲之間移動到私有雲時,就會出現這些型別的威脅。然後,在安全工具的雷達下,攻擊者破壞其中乙個環境可以橫向移動。
第二階段更難以發現,可以從公共雲遷移到私有資料中心,在攻擊者掃瞄環境後,他可以使用傳統的漏洞和攻擊來獲得公共雲的優勢。這種威脅可能會在公共雲中**獲,但防禦在那裡比在本地環境中更弱。攻擊者在公共雲和私有雲之間移動方面具有優勢,並且可以利用他的位置在目標網路中持久存在。網路殺傷鏈變成了網路殺傷迴圈,從偵察開始,開始傳播惡意軟體,開始橫向移動,然後再次啟動偵察。
(2)編排攻擊
雲計算協調用於配置伺服器,獲取和分配儲存容量,處理網路,建立虛擬機器以及管理身份以及雲中的其他任務。編排攻擊旨在竊取可以重用的帳戶或加密金鑰,以便為雲計算資源分配許可權。例如,攻擊者可以使用被盜帳戶建立新虛擬機器或訪問雲儲存,
他們取得多大成功取決於他們竊取的賬戶的特權。但是,一旦編排帳戶被破壞,攻擊者就可以使用他們的訪問許可權為自己建立備份帳戶,然後使用這些帳戶訪問其他資源。編排攻擊針對的是雲計算api層,因此無法使用標準的網路流量檢測工具進行檢測。安全團隊希望觀察基於網路的行為和帳戶行為。
(3)加密劫持
2023年人們面臨的威脅仍然是雲計算的主要問題。這仍然非常非常普遍,如果人們關注這個訊息,就會看到加密估值的起起落落,但實際上,竊取計算能力的網路犯罪分子實際上比偷竊實際資料更有利可圖。
黑客是專門針對企業公共雲環境的加密器進行攻擊,因為它們是彈性計算環境。許多組織還沒有成熟的雲計算安全計畫,使其雲端容易受到攻擊。雲計算安全平台的不成熟以及位元幣和乙太網等加密貨幣的日益普及,這推動了雲中加密劫持的興起。企業將全面受到影響,雲計算提供商本身正在嘗試採取更多措施來幫助其平台使用者。
定期輪換訪問金鑰,限制出站流量,並為web瀏覽器安裝加密***。
(4)跨租戶攻擊
如果企業是雲計算提供商或為某些租戶提供計算,其租戶可以請求配置工作負載。租戶可以交換資料和共享服務,從現有資源生成流量,這在擁有私有資料中心的組織中很常見。不幸的是,這種流量留下了安全漏洞。由於許多租戶使用相同的雲平台,因此無論資源位於何處,周邊安全性都會逐漸消失。這會導致it組織及其資產增長時出現問題,但外圍或安全裝置不會隨之增長。如果一名員工的業務遭到攻擊,攻擊者可以使用共享服務滲透財務、人力資源和其他部門。
租戶可以使用門戶來配置虛擬私有雲;但是,這些網路中的流量通常不是通過傳統的安全控制來傳送的。「企業必須擴充套件私人資料中心或私有雲,為租戶提供服務。」他補充道。隨著私有資料中心的發展以及企業依賴公共雲服務,這將繼續成為乙個問題。
(5)跨資料中心攻擊
(6)即時元資料api的誤用
即時元資料api是所有雲計算提供商提供的特定功能。沒有錯誤或漏洞利用,但鑑於它不存在於本地資料中心,它通常不能得到妥善保護或監控。攻擊者可能以兩種可能的方式利用它。
首先是易受攻擊的反向**。反向**在公共雲環境中很常見,並且可以通過某人可以設定主機來呼叫即時元資料api並獲取憑據的方式進行配置。如果有人在雲環境中啟動**,則可以通過以下方式對其進行配置:如果其中乙個雲計算例項通過該反向**訪問全球網際網路,則可以儲存這些憑據。「如果某人沒有正確設定該特定例項的訪問憑證的許可權,他們可以做任何許可權授予該例項的任何內容
第二種方式是通過惡意docker映象。開發人員通過dockerhub共享docker映象,但易用性導致了公開信任可能利用惡意命令來提取訪問金鑰的影象的行為。網路攻擊可能會從受感染的容器擴充套件到攻擊者訪問公共雲帳戶。「這是乙個很棒的功能,但你必須知道如何處理它,chiodi建議監控雲中的使用者行為,並在頒發憑證時遵循最小許可權原則。
(7)無伺服器攻擊
shieldx公司nedbal稱這是雲計算攻擊的「下一級」。無伺服器或功能即服務(faas)架構相對較新且流行,因為使用者無需部署、維護和擴充套件自己的伺服器。雖然它使管理變得簡單,但無伺服器架構的棘手部分是實施安全控制的挑戰。
faas服務通常具有可寫的臨時檔案系統,因此攻擊者可以在臨時檔案系統中使用其攻擊工具。faas功能可以訪問具有敏感資料的公司資料庫。因此,攻擊者可以使用他們的攻擊工具洩漏資料並洩露資料。使用錯誤的許可權,faas功能可以幫助他們建立新的虛擬機器,訪問雲儲存或建立新帳戶或租戶。「傳統的安全控制措施真的很少,因為無伺服器甚至可以從安全管理員手中奪走虛擬網路,無伺服器攻擊非常難以應對傳統的安全控制,而.對於無伺服器攻擊,企業需要一種在流量功能即服務之前重定向流量的方法。」
(8)跨工作負載攻擊
為了降低違規風險,具有不同安全要求的工作負載應該位於不同的時區。應該使用一系列豐富的安全控制措施來檢查遍布這些區域的流量,例如就像南北周邊防禦系統所預期的安全控制措施。
人工智慧、大資料、雲計算和物聯網的未來發展值得重視,均為前沿產業,多智時代專注於人工智慧和大資料的入門和科譜,在此為你推薦幾篇優質好文:
企業為何採用雲計算?主要用途是什麼?
企業雲計算的基本特徵是什麼,在建設過程中主要分為哪幾個階段?
什麼是雲計算技術,對雲計算技術的產生、概念、原理、應用和前景又在**?
多智時代-人工智慧和大資料學習入門**|人工智慧、大資料、物聯網、雲計算的學習交流**
資訊保安面臨的威脅
人為威脅包括兩大類 被動攻擊 主動攻擊 被動攻擊主要是指竊聽,是對系統的保密性進行的攻擊。被動攻擊又分為兩類 獲取訊息的內容 進行業務流分析 主動攻擊包含對資料流的篡改 偽造等方面 中斷 對系統可用性進行攻擊 篡改 對系統完整性進行攻擊 偽造 對系統真實性進行攻擊 惡意程式包括兩類,一類是需要主程式...
病毒紛紛「失蹤」「自殺」 網路安全面臨威脅
病毒的進步是必然的 2007年11月5日到11月9日,江民反病毒中心共截獲病毒27831種,全國共有871339臺計算機感染了病毒,其中新病毒共截獲1937種,新病毒感染計算機283641臺。為了逃避防毒軟體查殺,更好地保護自身,越來越多的病毒開始使用 失蹤 自殺 等花招隱藏自身。江民反病毒中心監測...
IBM推出全新雲安全產品 全面保護網路
近日,ibm公司宣布推出新的服務 硬體與軟體,旨在提高雲計算環境的安全性,確保資料的保密性,以及防範針對應用程式的攻擊。ibm的x force安全研究團隊的最新研究結果顯示,全球犯罪組織正以驚人的速度開發新的攻擊技術。與此同時,企業正在越來越多地部署更加協作化的業務模式,並使用包括雲計算 虛擬化及w...