企业上云后究竟会面临什么样的安全风险

（文章来源：西部数码）

数据和各类服务向云端迁移不禁让很多企业开始重新思考自己的网络安全体系。企业上云后究竟会面临什么样的安全风险？对乙方来说，本文是一个可作参考的 checklist——我采购的云安全工具与服务是否能够保护我所有的敏感数据？是否能够抵御以下每一项细分的云安全威胁？是否能够防御云环境中的六大攻击模式？

对于安全厂商来说，也可以反思自己的云安全产品与服务现状：我现有的云安全能力能够保护哪些敏感数据？能够抵御哪些细分的云安全威胁？针对多样的云攻击模式，我已经具备哪些对应的解决方案？2018 年 10 月，迈克菲发布了一个名为《Cloud Adoption and Risk Report 2018》的报告。该研究表明，2018 年通过云共享敏感数据的数量比上一年增加 53％——这是一个巨大的涨幅。

迈克菲的报告指出，云上的所有文件中，有 21% 是敏感数据，并且其中有 48% 的敏感文件最终会被共享。仅去年一年就有超过 28% 的机密数据存储在云端。敏感数据包括企业机密数据 (27%)、电子邮件数据 (20%)、密码保护数据 (17%)、个人身份信息 (PII) (16%)、付款信息 (12%) 以及个人病历 (9%)。随着人们对云计算的信任度和依赖度不断提高，云上的机密数据也面临了越来越高的安全风险。

而被黑客窃取不是这些数据所面临的唯一风险。迈克菲发现，每个企业平均有 14 个配置错误的 IaaS（基础架构即服务）在运行，每月平均有 2200 个错误配置引起的安全事件发生。而 SANS 今年 5 月发布了《 2019 年云安全报告》，调查样本达数百个，涵盖金融、IT、政府等多个行业，所在企业规模跨度大、地域分布广，从事职业包括安全分析师、IT部门管理人员、CSO、CISO、合规分析师等等。

该调查显示，云上存储量最大的是与商业智能相关的数据 (48.2%)，知识产权类数据几乎持平 (47.7%)，其次是客户个人数据 (47.7%) 和财务数据 (41.7%)，另外存储量较大的还包括企业员工信息 (37.7%)。详见下图：云安全厂商 Alert Logic 曾统计过一组关于与本地数据中心相比，每种形式的云环境所面临的风险性质和数量的数据。该调查总共历时 18 个月，分析了 3800 多家客户 147 PB 的数据，对安全事件进行量化和分类。主要发现如下：

在混合云环境下，每个用户平均遭遇的安全事件数最高，达977件，其次是托管私有云 (684)、本地数据中心 (612) 和公共云 (405)。到目前为止，最常见的事件类型是 Web 应用程序攻击 (75％)，其次是暴力攻击 (16％)、侦察 (5％) 与服务器端勒索软件 (2％)。Web 应用程序攻击最常见的方法是 SQL (47.74％)，其次是 Joomla (26.11％)、Apache Struts (10.11％) 和 Magento (6.98％)。

第二组云环境所面临威胁的数据仍来自于 SANS InsTItute 的《 2019 年云安全报告》。该调查发现，最严重的云威胁是身份劫持 (Account or credenTIal hijacking0，达到 48.9%，其次是云服务的错误配置 (42.2%)，该数据也与前文迈克菲研究报告中发现的现象相吻合——“黑客攻击不是云上敏感数据所面临的唯一风险，错误配置问题也是导致大量安全事件的主要原因”。

排名第三的威胁是内部用户的权限滥用 (Privileged user abuse)。其它威胁还包括未授权的应用程序组件、不安全的 API 接口、“影子IT”、拒绝服务攻击、敏感数据直接从云应用上外泄、利用云厂商本身存在的漏洞或开放的 API、虚拟化攻击、与其它托管云应用交叉使用过程中产生的安全风险等等。

对未知程序进行白名单访问拦截，包括对组织中使用的每个应用程序进行风险评估。 掌握整个修复过程并提高修复工作的优先级。 根据当前用户职责限制访问权限——对应用程序与操作系统的权限进行实时更新。随着越来越多企业向私有云和公有云中的虚拟化和容器化数据中心过渡，传统的安全防御措施显然力不从心。很多安全专家认为安全工具必须适应虚拟基础架构之间或其中的的新界限，在恰当的时间部署在合适的位置上。

云计算的便利性和适用性在科技飞速发展的今天已经体现得淋漓尽致，不但优化了用户的采购和管理等工作，还为物联网和加密货币的新技术应用提供了有利条件。但是云环境中的业务安全与数据安全问题也变得更加令人担忧。总体来说，云安全的整体发展尽管缓慢，但仍在正向改善。很多云安全厂商也在努力弥合云上与云下安全措施的实施差距，根据云环境独有的特点定向研发安全产品。