近年來,雲端的採用率急遽成長。雲端運算為組織提供了各種潛在的好處,包括靈活性、彈性和節省成本的潛力。因此,幾乎所有公司都在使用某種形式的雲端運算。
但是,這些好處也有其缺點。 由於網路犯罪分子利用不安全的雲端基礎設施或受信任的內部人員濫用對企業雲端和資料的存取權限,雲端資安事件和資料外洩已成為常態。
雲端環境與本地環境具有許多相同的脆弱性和安全性風險。例如,部署在本地或「提升並轉移」到雲端的相同應用程式將容易受到相同的攻擊。
然而,雲端環境的獨特性也帶來了新的潛在雲端脆弱性和安全性風險。雲端供應商營運複雜的基礎設施,支援數千或數百萬組織的營運。雲端客戶在與他們習慣的環境顯著不同且可能無法完全理解的環境中部署資料和應用程式。
公司在雲端面臨各種安全風險。然而,大多數雲端資料外洩和其他安全事件源自於以下7個雲端脆弱性中的一個或多個。
雲端環境具有各種安全設置,必須正確配置這些設置才能保護環境及其包含的資料和應用程式免受攻擊。安全性配置錯誤是雲端資料外洩的主要原因之一。例如,許多雲端儲存解決方案提供基於連結的文件共享,任何擁有正確網址的人都可以存取該文件。雖然這是一個方便的選項,但它也使得任何能夠猜測或竊取網址的人都可以存取該檔案。
許多組織使用多種雲端服務,這一事實加劇了雲端資安配置錯誤的挑戰。每個供應商都將擁有自己的一系列配置和內建工具,增加了正確且安全地配置雲端環境的複雜性。
暗影 IT 是指員工在工作場所設置 IT 解決方案。 由於 IT 和安全團隊不知道這些解決方案,因此他們無法正確監控和保護它們。 由於雲端平台和軟體即服務(SaaS) 解決方案的使用者友善性,影子 IT 是雲端中一個特別重要的問題。雲端儲存與電子郵件帳戶捆綁在一起,用戶只需點擊幾下即可註冊許多軟體即服務產品。
這給組織帶來了安全風險,因為敏感的公司資料可以輕鬆轉移到私有雲端儲存或軟體即服務應用程式。一旦發生這種情況,資料更有可能被這些內部人員或攻擊者利用安全性較差的個人雲端環境洩露。
應用程式介面(應用程式開發界面)是許多基於雲端的解決方案的關鍵元件。應用程式開發介面可以互連雲端中的微服務或提供對雲端託管解決方案中的資料或功能的存取。
然而,如果未能正確管理和保護這些應用程式開發界面,可能會使它們容易受到利用。例如,缺乏適當的存取控製或速率限制可能使攻擊者能夠向應用程式開發介面發出許多垃圾郵件請求,從而消耗寶貴的雲端資源。或者,攻擊者可能能夠利用應用程式開發介面的錯誤配置來執行權限升級並獲得對敏感資料的未經授權的存取。
應用程式開發介面金鑰和其他驗證令牌的洩漏是雲端環境中另一個常見的應用程式開發介面安全風險。例如,應用程式開發介面金鑰意外推送到公用 GitHub 儲存庫可能會允許攻擊者未經授權存取組織的線上帳戶。
雲端環境是建構在多層軟體之上的複雜基礎架構。雲端供應商使用軟體解決方案來隔離其基礎架構上的租戶,並在不同的雲端服務模式下提供服務。雲端客戶可以在此基礎架構上進行構建,部署他們的應用程式和系統。
零日脆弱性是指在軟體製造商識別並分發修補程式之前被網路威脅行為者識別和利用的脆弱性。這些脆弱性在雲端環境中尤其危險,因為許多雲端客戶共享相同的環境並使用相同的軟體解決方案。利用雲端平台中的零日脆弱性可能允許攻擊者竊取敏感資料、實現遠端程式碼執行或阻止合法用戶存取其雲端服務。
雲端環境位於傳統網路邊界之外,可透過公共互聯網存取。這使得攻擊者更容易存取易受攻擊的雲端基礎設施。增加這些安全風險的因素之一是許多雲端環境的存取控制不合格。一些常見問題包括弱密碼、未能使用多重身份驗證(MFA) 以及授予雲端使用者過多權限。
所有這些因素使攻擊者更容易存取雲端環境並在雲端環境中執行惡意操作。錯誤的密碼很容易猜測,缺乏 MFA 使這些密碼成為組織唯一的防禦線,而過度的存取使攻擊者可以通過存取任何超權限的使用者帳戶來實現其目標。
缺乏可見性是公司在雲端環境中面臨的最大安全挑戰之一。這項挑戰源自於雲端環境的設計和許多公司龐大的雲端部署。
在雲端環境中,公司依靠雲端供應商來管理其基礎設施堆疊的一部分,其百分比取決於所使用的雲端服務模型。在這些場景中,雲端基礎架構堆疊中受提供者控制的部分對雲端客戶來說是不透明的,從而降低了雲端的可見性,並使用於本地資料中心的安全工具無效。
由於大多數雲端用戶擁有跨不同供應商平台的多雲部署,因此雲端可見度也會降低。這些環境中的每一個都有其內建的配置和工具,這些配置和工具可能會在組織的 IT 架構中創建孤島,並使跨本地和雲端環境實現全面、整合的可見性變得更加困難。
內部人員可能會因配置錯誤、影子 IT 和疏忽而意外地將組織的資料和雲端基礎設施置於風險之中。但是,組織也面臨內部人員可能會對組織採取故意惡意行動的風險。
例如,保留對企業雲端基礎設施的存取權限的被解僱員工可能會嘗試破壞組織的系統。這可以透過刪除有價值的應用程式或資料、植入勒索軟體或破壞企業雲端中儲存的敏感資訊來實現。
雲端資安已成為許多公司面臨的重大挑戰。一方面,許多公司正在尋求擴大雲端支出,以利用其承諾的業務優勢。另一方面,雲端的採用速度往往超過雲端資安,為網路犯罪分子留下了巨大的安全缺口和脆弱性。若要了解更多有關雲端網路威脅現狀的資訊以及公司需要採取哪些措施來保護其雲端投資,請查看 Check Point 的2023 年雲端資安報告。
Check Point 的雲端原生應用程式保護平台(CNAPP) 提供了企業克服常見雲端資安挑戰並彌補這些安全缺口所需的功能。在終極雲端資安購買者指南中了解有關為您的組織選擇正確的 CNAPP 解決方案的更多資訊。