1、当前企业数字化和云计算技术发展都在加速,企业面临混合云、多云管理等复杂场景时,缺乏整体统一的多云安全架构,容易导致云上应用缺乏整体的安全规划、缺乏一致的安全策略编排、难以快速对齐云计算新技术演进带来的机会和风险,尤其当面临多种法律法规政策标准等合规监管条件下,如何能够做到兼顾合规与风险管控是极具挑战的事情。公有云风险共担模型不统一也加重了该问题的风险,:虽然业界各家公有云厂商都有自己的公有云-租户风险共担模型,但模型并不统一,目前主要有两种云安全责任共担模型:一种是云服务商和云租户责任完全划清,分为云服务商安全责任+云租户安全责任两部分。另一种是云服务商和云租户之间存在责任共担部分,分为云服务
2、商安全责任+共担责任+云租户安全责任三部分,国内的公有云厂商更倾向后一种方式,目前业界也缺乏统一的标准,这容易导致云租户在不同公有云之间进行应用系统部署、数据存储、安全资源共享时由于责任划分的不同导致产生风险黑洞。安全策略统一规划在多云背景下除了继续提升安全治理部门在组织内的战略位置外,技术上依赖 4.3 节中的透明性解决,另外支撑租户安全策略规划落地需要不同云厂商安全架构模型的统一,零信任是一个方向。随着越来越多的组织采用云计算,企业越来越依赖应用程序编程接口(API)来弹性扩展当前服务。但多云下 API 的使用带来额外的风险,一方面暴露的API 会让企业容易受到攻击,尤其是一些传统中间件服
3、务,在 API 设计上还没有原生化,直接对外开放接口会导致非常多的安全风险,另一方面跨服务 API调用是云技术栈多的典型特点,服务与服务之间的调用如果在 API 细粒度权限策略上设置上(一般通过委托)没有遵循最小化原则,非常容易产生中间服务的越权访问。多云互联会增加的另外一类攻击面是多个云互联自身引入的,这其中又分从公有云租户资源触发对本地私有云的攻击和从本地私有云触发对公有云租户资源的攻击。具体攻击形式取决于多云服务之间的防护短板。这类攻击目前集中在 DDOS 僵尸攻击、挖矿、勒索等,我们拿勒索病毒作一分析,存在以下三种攻击:勒索病毒同步至云文件共享服务;RansomCloud 攻击(针对云数据的勒索病毒攻击);租户公有云资源(比如 ECS)发起对本地数据的勒索病毒攻击。解决或缓解此类攻击没有捷径,针对整个业务架构、流程做威胁建模,识别高风险攻击面并加以处理是必经之路,尤其是针对不同云服务边界。
1、下载报告失败解决办法 2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。 3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。 4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
云安全联盟:云安全现状、挑战和安全事件(16页).pdf
云安全联盟:云安全指南V4.0(161页).pdf
云安全联盟:数字货币交易所Top 10安全风险(21页).pdf
云安全联盟:云计算的11类顶级威胁(47页).pdf
云安全联盟:数字货币溯源技术白皮书(11页).pdf
云安全联盟:智能合约安全指南(59页).pdf
云安全联盟:云应用安全技术规范(15页).pdf
云安全联盟:物联网安全控制框架指南(14页).pdf
云安全联盟:公认隐私原则(67页).pdf
云安全联盟:解读SSE(2023)(20页).pdf
三个皮匠报告专业的行业报告下载站,每日更新,欢迎大家关注!
copyright@2008-2013 长沙景略智创信息技术有限公司版权所有 网站备案/许可证号:湘B2-20190120
专属顾问
机构入驻、侵权投诉、商务合作
三个皮匠报告官方公众号
验证即登录,未注册将自动创建三个皮匠报告账号
使用 微信 扫一扫登陆