系统漏洞大曝光 2018年我们将面临哪些云数据安全问题？

总部位于密苏里州圣路易斯的TierPoint公司，是一家私人投资支持的主机托管和混合云服务供应商，目前已迅速成为数据中心行业一支不可忽视的力量。TierPoint经营着39个数据中心，数据中心空间共计超过60万平方英尺，遍布美国18个州21个市场。经过仅仅5年的发展，服务器租用免备案服务器，它从一个小型本地数据中心整合者，演变成为一家为多个区域市场提供混合IT解决方案的成熟数据中心供应商。

对于数据安全问题，TierPoint也有自己的见解。2018年我们将面临哪些云数据安全问题？TierPoint提出了以下5种威胁。

1. 共享技术中的漏洞

一般来说，采购云服务也就意味着你默认与该供应商的其它客户共享他们的基础架构、平台或应用。供应商的底层基础架构应该在多租户基础架构（IaaS）、平台即服务（PaaS）或软件即服务（SaaS）解决方案的客户之间采取强大的隔离措施（但在实际情况中，真正做到这一点的供应商到底有多少我们无从得知）。

诸如管理程序之类的共享平台组件中一旦产生漏洞或配置错误，攻击者就有可能趁虚而入，攻击该供应商系统，最终殃及大部分甚至所有客户的云端数据，造成后果极为严重的信息泄露事件。

保护云数据安全的关键措施之一就是针对共享基础架构管理制定严格的流程。围绕客户端实现和数据管理的最佳实践有助于防范共享技术的漏洞。此外，还需要对内部服务交付和面向客户的资源进行例行的漏扫和以合规为重点的扫描。

2. DDoS攻击

DDoS攻击指的是通过受感染计算机/互联网设备上的僵尸网络发送大量垃圾流量，导致整个网络、网站和应用程序彻底瘫痪的过程。最著名的案例之一发生在2016年10月，DNS服务提供商Dyn公司的Managed DNS基建遭遇了一波非常严重的DDoS攻击，不仅是Dyn，整个美国、欧洲的主要网站均沦陷。

DDoS攻击还有一个容易被人忽略的危害属性是为数据盗窃、恶意软件感染“打掩护”，最终对云数据安全产生威胁。例如，英国电信运营商Carphone Warehouse曾在2015年曝光受到大量流量的攻击，同时240万用户的个人信息被窃取，其中包含加密的数据。

更悲催的是，DDoS攻击发起成本低廉、持续时间长（数小时甚至数天）。有资料显示，花150美金就能在暗网上买到针对小型组织展开为期一周的攻击服务。

3. Web API恶意利用

Web service接口（也称为web API或应用程序编程接口）能够为开发人员和黑客提供云应用程序的控制权。web API的“合法”作用是提供集成、管理、监控以及其它云服务。Web API一旦落入非法用户之手，他们就有可能访问敏感数据、禁用服务器、更改应用程序配置设置、通过云资源窃取发起其它攻击，最终对云数据安全产生严重危害。系统漏洞大曝光

云API中的数据安全往往比较脆弱。RedLock在其2017年的《云基础架构安全趋势》报告中提出40%使用云存储服务的企业无意中都公开了一项或多项此类服务。

为了增强云数据的安全性，云服务API应通过加密密钥进行访问，用于API合法用户的验证。开发人员和云提供商都应将其密钥存储在安全的文件存储或硬件设备中。

4. 勒索软件

美国联邦调查局有资料显示，2016年每天发生4000起勒索软件攻击事件，相比2015年增长了300%.2017年，“想哭”勒索软件损毁了全球无数企事业单位的海量数据。其中全球制药业巨头Merck因为“想哭”终止了其生产和配方作业，一个月后，又因勒索软件的破坏导致无法完成订单交付。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-75489-1.html