阻止云計(jì)算攻擊的安全指南

發(fā)布時(shí)間:2024-03-12
如今,越來(lái)越多的組織將其業(yè)務(wù)從內(nèi)部部署基礎(chǔ)設(shè)施遷移到云平臺(tái)。根據(jù)調(diào)研機(jī)構(gòu)gartner公司的預(yù)測(cè),到2022年,云計(jì)算服務(wù)行業(yè)的增長(zhǎng)速度將比整體it服務(wù)快三倍。典型的業(yè)務(wù)依賴于公共云和私有云的組合以及傳統(tǒng)的內(nèi)部部署基礎(chǔ)設(shè)施。隨著越來(lái)越多的企業(yè)將關(guān)鍵業(yè)務(wù)轉(zhuǎn)移到云計(jì)算應(yīng)用程序(例如,選擇salesforce進(jìn)行客戶關(guān)系管理或使用microsoft azure托管其數(shù)據(jù)庫(kù)),網(wǎng)絡(luò)攻擊手段不斷發(fā)展。
;
不過(guò),隨著混合云和多云戰(zhàn)略的不斷采用,僅僅保護(hù)云中的資產(chǎn)是不夠的。組織還需要保護(hù)進(jìn)出云平臺(tái)以及云平臺(tái)之間和云平臺(tái)內(nèi)部的數(shù)據(jù)途徑。外部托管的服務(wù)和應(yīng)用程序并不是孤立的,它們可以連接到企業(yè)的運(yùn)營(yíng)環(huán)境。對(duì)擴(kuò)展生態(tài)系統(tǒng)的一部分帶來(lái)風(fēng)險(xiǎn)就會(huì)對(duì)其整體帶來(lái)風(fēng)險(xiǎn)。
;
此外,主要的云計(jì)算提供商只提供有限的內(nèi)部部署安全控制措施。這些通常包括安全組、web應(yīng)用程序防火墻和日志流。但是,這些安全控制措施本身不足以抵御網(wǎng)絡(luò)攻擊和高級(jí)持續(xù)威脅(apt)。這存在許多漏洞,尤其是那些使網(wǎng)絡(luò)攻擊者在云中和云平臺(tái)之間橫向移動(dòng)幾乎完全不受阻礙的漏洞。
;
全方位的威脅
;
然而,組織可以跨混合生態(tài)系統(tǒng)保護(hù)業(yè)務(wù),在網(wǎng)絡(luò)攻擊者能夠觸及業(yè)務(wù)關(guān)鍵資產(chǎn)之前就阻止其惡意攻擊。云計(jì)算安全戰(zhàn)略需要解決四個(gè)潛在的問(wèn)題:
;
從一個(gè)云平臺(tái)轉(zhuǎn)到另一個(gè)云平臺(tái):網(wǎng)絡(luò)攻擊者在侵入一個(gè)云平臺(tái)環(huán)境之后,其目標(biāo)可能是轉(zhuǎn)到另一個(gè)云平臺(tái)或在同一云計(jì)算基礎(chǔ)設(shè)施中分段的其他系統(tǒng)。
;
在云平臺(tái)資產(chǎn)之間:例如,嘗試獲得更高的特權(quán)以訪問(wèn)關(guān)鍵服務(wù),例如存儲(chǔ)或配置資產(chǎn);或破壞應(yīng)用程序服務(wù)器(例如tomcat),以攻擊其各自連接的云計(jì)算數(shù)據(jù)庫(kù)。
;
從組織網(wǎng)絡(luò)到云計(jì)算網(wǎng)絡(luò):惡意行為者可能試圖捕獲內(nèi)部devops團(tuán)隊(duì)使用的microsoft azure憑據(jù),以獲得對(duì)云計(jì)算系統(tǒng)的更高特權(quán)訪問(wèn)。在進(jìn)行這項(xiàng)工作之前,可能需要在組織網(wǎng)絡(luò)內(nèi)進(jìn)行大量橫向移動(dòng)以到達(dá)devops機(jī)器。一旦進(jìn)入azure環(huán)境,網(wǎng)絡(luò)攻擊者就可以開(kāi)始努力在系統(tǒng)和服務(wù)之間移動(dòng),尋找有價(jià)值的數(shù)據(jù)以及特權(quán)用戶和角色。
;
從云計(jì)算到內(nèi)部部署資產(chǎn):在這種情況下,惡意攻擊者會(huì)使用多種技術(shù)(例如暴力攻擊)來(lái)破壞面向公眾的web應(yīng)用程序服務(wù)器,并將其作為獲取后端企業(yè)系統(tǒng)憑據(jù)的工具。一旦網(wǎng)絡(luò)攻擊者獲得訪問(wèn)權(quán)限,他可能最終將目標(biāo)鎖定在內(nèi)部部署數(shù)據(jù)庫(kù)上,并希望從云平臺(tái)連接內(nèi)部部署環(huán)境,或者可能是有擁有azure 訪問(wèn)權(quán)限的具有惡意的內(nèi)部人員試圖轉(zhuǎn)移到另一個(gè)目標(biāo)。
;
為了打擊網(wǎng)絡(luò)攻擊者,這種方法仍然很常見(jiàn):發(fā)現(xiàn)、監(jiān)視和消除連接和憑證違規(guī)行為,同時(shí)提倡基于端點(diǎn)的欺騙策略,在整個(gè)網(wǎng)絡(luò)的端點(diǎn)和服務(wù)器上散布對(duì)網(wǎng)絡(luò)攻擊者有用的偽造對(duì)象?,F(xiàn)在還提供了一些新功能,可以解決針對(duì)云計(jì)算環(huán)境中的許多挑戰(zhàn),防止網(wǎng)絡(luò)攻擊者移動(dòng)到任何地方。
;
廣泛的欺騙和更高的可見(jiàn)性
;
以下優(yōu)秀實(shí)踐將使安全團(tuán)隊(duì)能夠在云生態(tài)系統(tǒng)中獲得更大的可見(jiàn)性和潛在的漏洞。
;
發(fā)現(xiàn)并糾正特權(quán)證書(shū)違規(guī):在所有常見(jiàn)的saas應(yīng)用程序(包括g suite、box、salesforce等)上,查看不安全的使用情況和用戶,可以緩解由影子it管理者、未啟用多因素身份驗(yàn)證的用戶、外部帳戶和已禁用帳戶創(chuàng)建的違規(guī)行為。
;
管理云攻擊面:可視化并自動(dòng)發(fā)現(xiàn)哪些云計(jì)算數(shù)據(jù)是需要保護(hù)的重要資產(chǎn),查找并消除針對(duì)該數(shù)據(jù)的常見(jiàn)攻擊者途徑。
;
將特權(quán)訪問(wèn)和違規(guī)行為鏈接到云端并返回。映射和連接云計(jì)算服務(wù)提供商的高特權(quán)用戶,并將他們連接到內(nèi)部部署目錄服務(wù)中的信息。發(fā)現(xiàn)并識(shí)別憑證和saas應(yīng)用程序的緩存連接,以及來(lái)自授權(quán)部門的saas應(yīng)用程序的憑證信息的存在。這為安全團(tuán)隊(duì)提供了云計(jì)算內(nèi)部和外部的全面可見(jiàn)性和修復(fù)能力。
;
創(chuàng)建監(jiān)視和補(bǔ)救規(guī)則:實(shí)施程序以確定應(yīng)用于云計(jì)算用戶和應(yīng)用程序的配置錯(cuò)誤或保護(hù)層不足,并糾正這些違規(guī)行為。
;
由于組織看到了效率和降低成本的可能性,因此云遷移繼續(xù)進(jìn)行。但是擴(kuò)大風(fēng)險(xiǎn)范圍也是一種現(xiàn)實(shí)的可能性,組織必須對(duì)這些風(fēng)險(xiǎn)進(jìn)行評(píng)估,并利用當(dāng)今的功能來(lái)提高對(duì)云計(jì)算環(huán)境的可見(jiàn)性和監(jiān)視能力。欺騙技術(shù)在使網(wǎng)絡(luò)攻擊者遠(yuǎn)離關(guān)鍵數(shù)據(jù)(無(wú)論他們?nèi)绾螄L試接近關(guān)鍵數(shù)據(jù))方面發(fā)揮著至關(guān)重要的作用。這種廣泛的安全性將使組織有信心在內(nèi)部部署數(shù)據(jù)中心和云平臺(tái)中擴(kuò)展業(yè)務(wù)活動(dòng)。
上一個(gè):權(quán)利人怎么領(lǐng)取提存標(biāo)的?
下一個(gè):plc在工業(yè)中的應(yīng)用

Nginx隱藏和偽造版本號(hào)
版權(quán)的產(chǎn)生原則是怎樣的
茶花栽培管理注意事項(xiàng)
園林植物質(zhì)量的檢驗(yàn)方法及措施有哪些?
相機(jī)照片誤刪如何恢復(fù)(相機(jī)刪掉的圖片怎么恢復(fù))
筆記本加裝機(jī)械硬盤注意事項(xiàng),給筆記本裝機(jī)械硬盤要注意什么
喝茶時(shí),有些茶湯的表面上會(huì)有一層“油”?還能喝嗎?
干燥電動(dòng)機(jī)的方法
不得不說(shuō)的普洱茶拼配
CR1206F41R74G 麗智電阻1206 1.74Ω ±1%
十八禁 网站在线观看免费视频_2020av天堂网_一 级 黄 色 片免费网站_绝顶高潮合集Videos