为什么云端会不断泄漏数据?

更新日期: 2019-09-09阅读: 3.1k标签: 数据

虽然数据泄露的程度可能会有所不同,并且数据可能因内部威胁、黑客攻击和员工疏忽而丢失,但所有数据泄露都包含了可能会被盗窃者轻易读取的个人身份信息。而云端发生的数据泄露,影响就会放大了,动辄几亿用户数据遭到外泄,这给企业和用户带来了不可估量的严重后果。那么,为什么云端会不断泄露数据呢?Terry Sweenry 采访了安全界的几位大佬,从各方面剖析了云端不断泄露数据的原因。

最具破坏性的云数据泄漏是由相同类型的常见云安全挑战和配置错误造成的,以下是你需要知道的事情。

尽管云计算服务有很多受欢迎的好处: 节省成本、减少人员、提高生产率 ——专家称,随着信息安全专家将组织的更多安全功能转移到云端中,他们遇到了一些常规配置方面的挑战。

云安全联盟(Cloud Security Alliance,CSA)的培训总监 Ryan Bergsma 说,“当我们发现问题时,我们就会看到客户端的配置问题。”最常见的问题是什么?他说:“我们在密钥管理、访问控制和公开数据存储方面面临许多挑战。”

这些问题通常很容易解决,但首先,我们需要了解为什么云中的安全服务会带来与典型的云服务不同的挑战是很有帮助的。


服务提供商的局限性

安全服务(及其相关配置)并不是通用性解决方案,不像其他 XaaS(X 即服务)云服务,它们中的许多云服务依赖于模块化的方法来访问和存储数据。然而,在安全性方面,客户配置是高度定制的,以便处理一些遗留系统、法规要求和组织实践的某种组合,从而保护客户、用户及其所有数据。

那么,为什么 Amazon Web Services(AWS) 、Microsoft Azure 和 Google 不为企业客户做更多的故障排除工作呢?每个优秀的安全从业者都知道,警惕和恐怖之间有一条微妙的界线,大多数云服务提供商都在努力确保自己不会跨越这条界线。

咨询公司 Enterprise Strategy Group 高级分析师兼集团总监 Doug Cahill 表示,云服务提供商在向客户提供云安全最佳实践方面做得很好。但他们很少分享。

他补充道:

“主流的云服务提供商有理由保持缄默,不提供关于云环境配置的大量细节,这样他们就不会把自己的剧本交给潜在的对手。”

云服务提供商可以提供关于特定客户配置的建议;例如,Microsoft 会扫描一些 GitHub 帖子来查看源代码中存储了什么内容,如果客户错误配置了 S3 存储桶,AWS 就会提醒客户,Cahill 解释道。

Cahill 大声说:“但是,云服务提供商应该在多大程度上扫描客户的环境,并就管理不善或公开的敏感数据向他们发出警告呢?这就是主要的云服务提供商真正需要努力解决的问题。”


默认情况下的公开曝光

配置不当的数据存储是一个问题,可能会导致未经授权的访问和数据丢失。事实上,Digital Shadows 最近的研究发现, 有 23 亿个文件以这种方式被曝光了 。CSA 全球研究副总裁 John Yeoh 表示,不幸的是,“公共”是许多云数据存储配置的默认访问设置。

他说,“为了安全使用,需要与受过良好教育的架构师和开发人员对服务进行适当的管理。”他希望能看到云服务商在终端用户错误配置、服务更改和默认设置等问题加强他们的通知机制。例如,Amazon 最近发布了针对 EC2 账户的 Block Public Access 工具来解决这一问题。


访问控制

据 CSA 的 Bergsma 称, 访问控制,包括特权用户访问,似乎是数据泄露或丢失的最大原因 。他补充说,问题的根源在于不安全的默认配置,以及对访问控制的草率维护,比如旧用户未删除,或者允许过度使用管理控制。

因此,一些网络正在转向零信任方法,只允许以前审查过的资源访问网络,并通过使用软件定义边界的网络进一步保护这些连接。

Bergsma 说:“对于面向公众的服务和云计算,多因素身份验证及使用多个账户来获取权限是这样的一种方式,限制账户泄漏和任何受威胁账户的访问。”

尤其是,互联网即服务( Internet-as-a-service,IaaS)的主要关注点是,在创建根账户时立即锁定它,并为即将开始的工作创建超级管理账户。他强调道,“根账户的密钥需要以永远不会丢失或泄露的方式进行管理。”

然而,Bergsma 补充道,最主要的问题是允许过多的访问。“记录和实施最低权限策略是必须的。”


密钥管理

大多数云客户在一定程度上使用加密,这就要求他们拥有灵活、健壮的密钥管理流程。CSA 的 Yeoh 建议,公司须明确自己的要求,特别是:

  • 检查合规性要求,以确定是否有义务使用硬件安全模块(Hardware Security Module,HSM),这是一种外部设备,用于管理和保护数字密钥以实现强身份验证,并处理加密过程。
  • 组织内部创建的治理策略,也可能还需要特定的密钥管理方法。要与法律和风险管理主管沟通协商。
  • 某些客户合同可能需要以某种方式处理密钥。销售和法律人员可以在这方面提供帮助。

Yeoh 补充说,无论加密数据是在本地还是在云端中,以一种可行的方式扩展密钥管理是客户面临的主要挑战。

“最大的风险是关键管理组件的职责分离和数据分离,这些组件被用于跨多云服务、本地自建(on-premises)环境、云代理和管理自己密钥的客户。”他解释道。

然而,云服务提供商仍然使用自己的密钥管理解决方案,这就使情况进一步复杂化。

这就是为什么许多客户转向使用第三方密钥管理代理的原因。但这并适用于所有的客户,更不用说增加另一家服务商来管理,并支付费用。

行业接受用于云密钥管理的开放 api 可能是跨 IaaS、PaaS、SaaS 和本地自建环境管理密钥的潜在解决方案。Yeoh 说。“尽可能使用客户管理的关键解决方案是 CSA 的建议之一。”


未来展望

综上所述,CSA 的建议不仅将改善基于云端的安全服务的安全功能,还将改善所有云服务的总体安全功能。但很明显的是,这一点仍然遥遥无期。

ESG 的 Cahill 指出,“在云安全准备方面存在差距。企业使用云计算的程度,已远远超过了他们安全使用这些服务的能力。”

原文链接:Why Clouds Keep Leaking Data


链接: https://fly63.com/article/detial/5815

双向数据绑定与单向数据绑定的各自优势和关系

在react中是单向数据绑定,而在vue和augular中的特色是双向数据绑定。为什么会选择两种不同的机制呢?我猜测是两种不同的机制有不同的适应场景,查了一些资料后,总结一下。

原生JS数据绑定的实现

双向数据绑定是非常重要的特性 —— 将JS模型与HTML视图对应,能减少模板编译时间同时提高用户体验。我们将学习在不使用框架的情况下,使用原生JS实现双向绑定 —— 一种为Object.observe

JavaScript判断数据类型的多种方法【 js判断一个变量的类型】

js判断数据类型的多种方法,主要包括:typeof、instanceof、 constructor、 prototype.toString.call()等,下面就逐一介绍它们的异同。

javascript中的typeof返回的数据类型_以及强制/隐式类型转换

由于js为弱类型语言拥有动态类型,这意味着相同的变量可用作不同的类型。 typeof 运算符返回一个用来表示表达式的数据类型的字符串,目前typeof返回的字符串有以下这些: undefined、boolean、string、number、object、function、“symbol

使用typeof obj===‘object’潜在的问题,并不能确定obj是否是一个对象?

在js中我们直接这样写typeof obj===‘object’有什么问题呢?发现Array, Object,null都被认为是一个对象了。如何解决这种情况,能保证判断obj是否为一个对象

js进制数之间以及和字符之间的转换

js要处理十六进制,十进制,字符之间的转换,发现有很多差不多且书写不正确的方法.一个一个实践才真正清楚如何转换,现在来记录一下它们之间转换的方法。

js判断数字是奇数还是偶数的2种方法实现

奇数和偶数的判断是数学运算中经常碰到的问题,这篇文章主要讲解通过JavaScript来实现奇偶数的判断。2种判断方法:求余% 、&1

js算法_判断数字是否为素数/质数

质数又称素数。指在一个大于1的自然数中,除了1和此整数自身外,没法被其他自然数整除的数。比如100以内共25个,js实现代码如下。

Js数据类型转换_JavaScript 那些不经意间发生的数据类型自动转换

JavaScript自动类型转换真的非常常见,常用的一些便捷的转类型的方式,都是依靠自动转换产生的。比如 转数字 : + x 、 x - 0 , 转字符串 : \\\"\\\" + x 等等。现在总算知道为什么可以这样便捷转换。

Js中实现XML和String相互转化

XML是标准通用标记语言 (SGML) 的子集,非常适合 Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。 这篇文章主要介绍Js中实现XML和String相互转化

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!