切記！云安全的12個(gè)陰暗面

原創(chuàng)2019-08-06小艾老師

CCSK云計(jì)算安全知識(shí)認(rèn)證知識(shí)體系考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問(wèn)

CCSK是云計(jì)算安全領(lǐng)域第一個(gè)也是重要的認(rèn)證，反映個(gè)人對(duì)于云計(jì)算安全的能力。由CSA云安全聯(lián)盟自2010年發(fā)起，全球第一個(gè)面向個(gè)人的云計(jì)算安全管理認(rèn)證，已成為云計(jì)算安全專家黃金認(rèn)證，CCSK旨在確保與云計(jì)算相關(guān)的從業(yè)人員對(duì)云安全威脅和云安全最佳實(shí)踐有一個(gè)全面的了解和廣泛的認(rèn)知。

中文名CCSK云計(jì)算安全知識(shí)認(rèn)證
英文名Certificate of Cloud Security Knowledge
英文簡(jiǎn)稱CCSK
頒證機(jī)構(gòu)CSA云安全聯(lián)盟
證書類別信息安全
同類認(rèn)證CISSP、CISM、CISA

過(guò)去十年，云計(jì)算和云安全已經(jīng)取得長(zhǎng)足進(jìn)步，越來(lái)越多的企業(yè)對(duì)云安全的認(rèn)知，從_初的顧忌和恐慌，轉(zhuǎn)變?yōu)槊つ康男湃魏鸵蕾嚒５墙陙?lái)隨著國(guó)內(nèi)外云安全事件的不斷發(fā)作，企業(yè)必須重新審視云安全問(wèn)題，制定不偏不倚的云安全策略。以下，CTOCIO列舉企業(yè)云計(jì)算安全問(wèn)題的12個(gè)陰暗面，以期能夠拋磚引玉，幫助企業(yè)在云時(shí)代樹立正確的安全觀：

同樣的安全漏洞仍然存在

云計(jì)算并非企業(yè)安全的革命，云實(shí)例與我們的臺(tái)式機(jī)或獨(dú)立服務(wù)器其實(shí)運(yùn)行著相同的操作系統(tǒng)。如果Ubuntu 14中有一個(gè)后門，可以讓攻擊者闖入你的服務(wù)器機(jī)房中的機(jī)器，那幾乎可以肯定，同一個(gè)后門也會(huì)讓某人進(jìn)入你的云端的服務(wù)器版本。我們熱愛(ài)的云實(shí)例能夠替換我們的私有硬件，遺憾的是，同樣的漏洞也會(huì)被替換到云端。

云服務(wù)商善意的偷窺

你在云服務(wù)商提供的私家泳池中一絲不掛地裸泳，卻沒(méi)有留意到樹梢里暗藏的監(jiān)控頭正注視著你的一舉一動(dòng)，以便在你你溺水時(shí)_時(shí)間發(fā)出警報(bào)。云服務(wù)商往往會(huì)在客戶的系統(tǒng)中暗中植入對(duì)客戶不可見(jiàn)的賬戶，以提高客戶服務(wù)和系統(tǒng)調(diào)試的效率，這一切都是為了客戶，但是不可否認(rèn)的是，這種做法也可能會(huì)被用于惡意目的。

客戶對(duì)云計(jì)算服務(wù)商的信任是無(wú)條件的，包括對(duì)其商業(yè)倫理和廉潔的100%授信，然鵝，沒(méi)有企業(yè)能夠確保100%的員工三觀無(wú)暇。

云計(jì)算還有一層你無(wú)法控制

云實(shí)例通常附帶一層額外的軟件，位于操作系統(tǒng)下，完全超出您的控制范圍。你可以獲得對(duì)操作系統(tǒng)的root訪問(wèn)權(quán)限，但你不會(huì)知道下面發(fā)生了什么。這個(gè)大多數(shù)情況下都無(wú)文檔記錄可循的層可對(duì)流經(jīng)的客戶數(shù)據(jù)執(zhí)行任何操作。

切記！云安全的12個(gè)陰暗面 -- 第1張

工作人員的老板不是你

云提供商鼓吹自己能提供額外的支持和安全團(tuán)隊(duì)，這些團(tuán)隊(duì)有助于云實(shí)例的安全性和穩(wěn)定性。而大多數(shù)公司都沒(méi)有能力自建這樣的團(tuán)隊(duì)，因此云計(jì)算公司很容易解決小公司無(wú)法解決的問(wèn)題。

但有一個(gè)基本事實(shí)需要明確，云安全團(tuán)隊(duì)的老板不是作為用戶的你。他們不會(huì)向你報(bào)告，他們的未來(lái)與你的底線也沒(méi)什么關(guān)系。你可能不會(huì)知道他們的名字，你_終可能會(huì)通過(guò)不露面的故障單與他們溝通 – 如果他們回信的話。也許這就是你所需要的一切，或者，你也可以雙手合十祈禱。

你不知道誰(shuí)在你的服務(wù)器上

云的巨大經(jīng)濟(jì)優(yōu)勢(shì)在于您與其他人分?jǐn)傔\(yùn)維和物理成本，作為代價(jià)，你也將失去硬件的完全控制權(quán)。你不知道正在與誰(shuí)共享同一臺(tái)機(jī)器，可能是一些心地善良的教堂修女正在維護(hù)一個(gè)教區(qū)居民的數(shù)據(jù)庫(kù)，也可能是一個(gè)精神病患者。更糟糕的是，它可能是一個(gè)試圖竊取你的秘密或資金的小偷。

規(guī)模經(jīng)濟(jì)是柄雙刃劍

云計(jì)算規(guī)模經(jīng)濟(jì)的好處是能夠降低成本，因?yàn)樵朴?jì)算公司擁有大量的機(jī)架和硬件，但這也會(huì)導(dǎo)致單一化，使攻擊者變得更輕松和高效，在一個(gè)實(shí)例中找到的漏洞可以快速覆蓋所有類似實(shí)例。

云安全會(huì)增加云成本

云計(jì)算公司已經(jīng)陷入了困境。他們可以通過(guò)關(guān)閉分支預(yù)測(cè)來(lái)抵御分支預(yù)測(cè)等攻擊，但這會(huì)導(dǎo)致一切都變慢。結(jié)果，云服務(wù)商不想降低性能，客戶也不想。而且，在云中，較慢的機(jī)器沒(méi)有價(jià)格優(yōu)勢(shì)。

不同的公司有不同的安全需求

你可能會(huì)經(jīng)營(yíng)一項(xiàng)數(shù)十億美元的銀行業(yè)務(wù)，但也有客戶也許只是一個(gè)圖片社交創(chuàng)業(yè)公司。事實(shí)上，市場(chǎng)上并沒(méi)有“萬(wàn)靈藥”類型的安全業(yè)務(wù)，但云計(jì)算公司從事著標(biāo)準(zhǔn)化和產(chǎn)品化的業(yè)務(wù)，他們的安全標(biāo)準(zhǔn)是面向關(guān)鍵業(yè)務(wù)和應(yīng)用的高標(biāo)準(zhǔn)？還是偷工減料為非關(guān)鍵應(yīng)用程序提供低價(jià)套餐？沒(méi)有正確的決定，因?yàn)槊總€(gè)客戶都是不同的，實(shí)際上，客戶也有不同的需求。甚至每個(gè)應(yīng)用程序內(nèi)的每個(gè)微服務(wù)都是不同的。

一切都是不透明的

云本質(zhì)上是一個(gè)黑暗的計(jì)算能力池，這個(gè)不透明往往使我們陷入一種蜜汁自信——如果我們不知道自己的芯片在哪里，攻擊者也不知道。但我們只是祈禱并假設(shè)攻擊者無(wú)法找到共享我們機(jī)器的方法，原因很可笑，因?yàn)槲覀円膊恢涝品?wù)商如何分配機(jī)器。但是，如果有一種模式可以被利用呢？如果有一些秘密漏洞可以用來(lái)大幅改變攻防賠率怎么辦？

惡意訪問(wèn)依然能夠“耗干”你的云資源

云計(jì)算的一個(gè)關(guān)鍵特性是它可以自動(dòng)升級(jí)擴(kuò)容來(lái)匹配需求波動(dòng)。如果訪問(wèn)請(qǐng)求數(shù)量激增（例如惡意訪問(wèn)），云計(jì)算可以啟動(dòng)新的實(shí)例來(lái)_性能。麻煩的是，創(chuàng)造虛假需求非常容易。攻擊者可以觸發(fā)您的某個(gè)應(yīng)用，通過(guò)數(shù)千次快速訪問(wèn)來(lái)啟動(dòng)新實(shí)例。如果云計(jì)算公司在需求激增時(shí)為新硬件供電，該怎么辦？如果所有新實(shí)例都停留在這個(gè)新啟動(dòng)的硬件上怎么辦？攻擊者可以在觸發(fā)云擴(kuò)展后立即請(qǐng)求新實(shí)例，這樣一來(lái)，每個(gè)人共享相同內(nèi)存空間的可能性要大得多。

太多克隆增加了攻擊面

許多云架構(gòu)師喜歡使用許多小型機(jī)器的模塊，這些機(jī)器可以隨著需求的上升和下降而啟動(dòng)和停止。大量克隆的小機(jī)器同時(shí)也意味著私密數(shù)據(jù)被不斷克隆。如果有一些私鑰用于簽署文檔或登錄數(shù)據(jù)庫(kù)，則所有克隆的實(shí)例都將擁有它。這意味著攻擊者有N個(gè)目標(biāo)而不是一個(gè)，大大增加了攻擊者登陸相同物理硬件的可能性。

云安全的黑暗森林法則

雖然云計(jì)算的攻擊已經(jīng)不是假設(shè)，但并不容易執(zhí)行。云安全的一大優(yōu)勢(shì)在于它是一個(gè)體量龐大的暗黑計(jì)算池。攻擊者很難找到特定的目標(biāo)數(shù)據(jù)？而且他們闖入同一個(gè)內(nèi)存空間的幾率也不高？大多數(shù)客戶相信，在云計(jì)算的暗黑森林中，黑客很難找到我們，因此我們是安全的，是嗎？

【艾威（中國(guó)）】簡(jiǎn)介：

　　艾威（AVTECH）總部設(shè)在美國(guó)NEW JERSEY，是北美排行_的專業(yè)培訓(xùn)機(jī)構(gòu),設(shè)有4大分校，數(shù)十個(gè)培訓(xùn)點(diǎn)遍布北美、西歐和東亞;2000年進(jìn)入中國(guó)，以培養(yǎng)國(guó)際化的中高端信息人才為己任,專注于國(guó)際前沿的新技術(shù)研發(fā)與信息科技新興行業(yè)的開(kāi)拓教育。

艾威培訓(xùn)（Avtech Institute of Technology)，源于美國(guó)，始于1998；是北美著名的培訓(xùn)機(jī)構(gòu)，公司總部位于美國(guó)新澤西州，2000年進(jìn)入中國(guó)，以培養(yǎng)國(guó)際化的中高端信息人才為己任,專注于國(guó)際前沿的新技術(shù)研發(fā)新興行業(yè)的開(kāi)拓教育,艾威主要的服務(wù)為培訓(xùn)與咨詢兩大類，目前培訓(xùn)的主要產(chǎn)品有：項(xiàng)目管理培訓(xùn)、IT管理培訓(xùn)、IT技術(shù)培訓(xùn)、云計(jì)算大數(shù)據(jù)培訓(xùn)、需求管理培訓(xùn)、產(chǎn)品管理培訓(xùn)，信息安全類，AI人工智能等....近十類上幾百門的課程的培訓(xùn)與咨詢服務(wù)。
艾威進(jìn)入中國(guó)這十八年來(lái)已經(jīng)服務(wù)了超過(guò)5000多家客戶，獲得了良好的口碑！也成為了眾多500強(qiáng)企業(yè)指定的培訓(xùn)服務(wù)供應(yīng)商.
● 艾威培訓(xùn)(Avtech Institute of Technology)，源于美國(guó)，始于1998.
● 艾威培訓(xùn)(Avtech Institute of Technology)是Prometric，VUE，PSI等眾多國(guó)際認(rèn)證中心授權(quán)的考點(diǎn)

　　● 2003年成為國(guó)際項(xiàng)目管理協(xié)會(huì)PMI授權(quán)的全球(PMP,PGMP,ACP,PBA)教育機(jī)構(gòu)

　　● 2008年成為國(guó)際需求管理協(xié)會(huì)IIBA授權(quán)的全球(CCBA,CBAP)教育機(jī)構(gòu)

　　● 2012年成為IT服務(wù)管理官方EXIN授權(quán)的ITIL，ITIL EXPERT,Prince2,EXIN Agile Scrum Master教育機(jī)構(gòu)

　　● 2016年成為國(guó)際信息審計(jì)協(xié)會(huì)ISACA授權(quán)的CISA,CISM,CRISC,CGEIT,COBIT教育機(jī)構(gòu)

　　● 2017年成為The Open Group授權(quán)的TOGAF企業(yè)架構(gòu)的官方培訓(xùn)機(jī)構(gòu)。
● 2017年成為EPI 授權(quán)的數(shù)據(jù)中心CDCP培訓(xùn)機(jī)構(gòu)，華東地區(qū)_CDCP授權(quán)培訓(xùn)機(jī)構(gòu)，同時(shí)也是CDCP認(rèn)證考試考場(chǎng)。
● 2017年成為國(guó)際外包專業(yè)協(xié)會(huì)(IAOP)_授權(quán)外包治理國(guó)際認(rèn)證SGF(Sourcing GovernanceFoundation)。

文章來(lái)自IT經(jīng)理網(wǎng)

原文鏈接

贊

官宣！2023年軟考工作計(jì)劃及各科目考試安排 01 2023年軟考開(kāi)考資格計(jì)考辦(原軟考辦)發(fā)布《2023年全國(guó)計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格(水平)考試工作安排》（具體見(jiàn)下文），根據(jù)工作安排，信息系統(tǒng)項(xiàng)目管理師、系統(tǒng)集成項(xiàng)目管理工程師、網(wǎng)絡(luò)工程師、軟 …...
什么是業(yè)務(wù)架構(gòu)？塑造企業(yè)未來(lái)與個(gè)人卓越的橋梁什么是業(yè)務(wù)架構(gòu)？它是塑造企業(yè)未來(lái)與個(gè)人卓越的橋梁在企業(yè)的日常運(yùn)營(yíng)中，業(yè)務(wù)架構(gòu)經(jīng)常被提及。但究竟什么是業(yè)務(wù)架構(gòu)，為什么它如此重要？這篇科普文將為您揭示這個(gè)問(wèn)題。 1. 業(yè)務(wù)架構(gòu)的核心概念簡(jiǎn)單來(lái)說(shuō) …...
從BA小白到業(yè)務(wù)高管，一文解鎖BA職業(yè)潛能大家好，愉快的小長(zhǎng)假結(jié)束了，無(wú)論是工作還是學(xué)習(xí)，都讓我們重新聚焦，以飽滿的精神和積極的態(tài)度迎接每一天的挑戰(zhàn)和機(jī)遇，加油！今天小艾來(lái)為大家科普一下從BA新手到業(yè)務(wù)高管的職業(yè)進(jìn)階！?。?在當(dāng)今以數(shù) …...
職場(chǎng)迷茫的IT經(jīng)理：下一步應(yīng)該怎么走？在IT的浩瀚海洋中，每一位IT經(jīng)理都是那個(gè)航行的船長(zhǎng)。你或許曾在閃耀的科技星辰間迷失，問(wèn)著自己：“我，該何去何從？” 是啊，作為IT部門的領(lǐng)航人，你得一邊保持團(tuán)隊(duì)的士氣，一邊確保項(xiàng)目的順利進(jìn)行，還得與 …...
揭秘市場(chǎng)主流敏捷認(rèn)證：哪一種是您的菜？在當(dāng)前迅速變化的商業(yè)環(huán)境中，敏捷方法日益受到青睞。敏捷認(rèn)證不僅可以驗(yàn)證你的敏捷知識(shí)和技能，還可以幫助您在職場(chǎng)上更勝一籌。以下是我們結(jié)合近20年的國(guó)際認(rèn)證行業(yè)經(jīng)驗(yàn)做的總結(jié)，列出了一些比較知名和受 …...
那么多人學(xué)習(xí)敏捷，它的真正魔力在哪里？時(shí)下最火熱的概念——敏捷。無(wú)論是ScrumMaster、項(xiàng)目經(jīng)理、還是開(kāi)發(fā)者，似乎都在與之相識(shí)、相伴、深諳其妙處。那么，敏捷到底有什么魔法？首先，讓我們看看每個(gè)崗位的痛點(diǎn)： ScrumMaster，是不是覺(jué)得團(tuán)隊(duì)合 …...