云安全和传统安全有什么区别以及会遇到哪些问题

云安全和传统安全的区别

云安全与传统安全最大的区别就是责任范围，传统安全用户100%是自己的安全责任，云安全由用户和云供应商共同承担责任，共同责任模式是云安全的典型特征。

共同责任模式概述了云服务商或用户处理的安全因素。责任范围因客户使用云服务而异。这些服务包括软件即服务、平台即服务和基础结构即服务。

根据企业使用的云服务提供商，责任分工不同。

SaaS：如果企业只使用SaaS应用，则担心的云安全问题最少。云服务提供商负责包含应用和基础设施。企业必须保护和管理它们放入云中的数据。此外，企业还应管理哪些员工正在使用应用以及如何使用。

PaaS：使用PaaS服务的企业必须确保与SaaS产品相同的元素，以及应用程序部署和管理。云服务提供商负责保护运行这些服务的基础设施和操作系统的安全。

IaaS：企业能更多的控制IaaS服务的云环境；但是，这意味着更多的云安全责任。除了类似SaaS的责任外，企业还负责OS安全，并配置保护基础设施的安全软件或防火墙等服务。

云安全的挑战及应对

云的所有收益，敏捷，提高效率，灵活性，伴随着重大挑战安全性。安全与其他因素是相辅相成的关系，如果安全出现问题，所有的收益都会为零，甚至会给企业带来严重的损失。

云使安全问题更加复杂，传统的安全控制通常无法满足云的安全需求。许多企业无法整理云服务提供商(CSP)的责任界限，面临许多漏洞。云的扩展性也增加了潜在攻击面。

为了帮助公司理解他们面临的云挑战，云安全联盟(CSA)整理了11个最常见的云安全挑战

1.数据泄露

2.配置错误和变更控制不足

3.缺乏云安全架构和策略

4.身份、凭据、访问和关键管理不足

5.帐户劫持

6.内部威胁

7.不安全的接口和API

8.弱控制平面

9.元结构和应用列表失败

10.有限的可视化

11.滥用云服务

1.数据泄露

数据泄露是CSP及其客户的共同责任，也是主要的云安全威胁。数据泄露可能会使公司屈服，对其声誉造成不可逆转的损害，造成的财务困境，法律责任，事故响应成本以及市场价值下降。

CSA建议如下：

定义数据价值及其损失的影响；

通过加密保护数据；

有一个完善的，经过充分测试的事件响应计划。

CSA云管控矩阵（CCM）规范包括以下内容：

执行数据输入和输出完整性程序；

将最低特权原则应用于访问控制；

制定安全数据删除和处置的政策和流程。

2.配置错误和变更控制不足

当资产配置错误时，容易受到攻击。除了不安全的存储之外，过多的权限和使用默认凭据也是漏洞的另外两个主要来源。

与此相关的是，无效的变更控制可能导致云配置错误。在按需实时云环境中，应自动进行变更控制，以支持快速变更。

CSA建议如下：

特别注意通过互联网访问的数据；

定义数据的业务价值及其损失的影响；

创建并维护强大的事件响应计划。

CCM规范包括：

确保外部合作伙伴遵守内部开发人员使用的变更管理、发布和测试程序；

定期进行风险评估；

与承包商、第三方用户和员工一起进行安全意识培训。

3.缺乏云安全架构和策略

太多的企业在没有适当的架构和策略的情况下使用云。在使用云之前，用户必须了解面临的威胁、如何安全迁移到云以共同责任模型。

如果没有适当的规划，用户将容易受到网络攻击，这些攻击可能导致财务损失、声誉损害以及法律和合规问题。

CSA 建议如下：

确保安全架构与业务目标和目标一致；

制定和实施安全架构框架；

实施连续的安全监控流程。

CCM规范包括：

确保风险评估策略，包括流程、标准和控制以保持相关性；

根据商定的服务级别和容量级别、IT治理以及服务管理策略和流程，设计、开发和部署业务应用程序，及API设计和配置，网络和系统组件；

限制和监控网络环境中受信任和不信任的连接之间的流量。

4. 身份、凭据、访问权限和关键管理不足

大多数云安全威胁（以及一般的网络安全威胁）可能与身份和访问管理（IAM）问题相关联。根据CSA指南，这源于以下问题：

不适当的凭据保护；

缺少自动加密密钥、密码和证书；

IAM可扩展性挑战；

缺少多因素身份验证；

弱密码。

通过管理配置、僵尸帐户、过度帐户、绕过IAM控件以及定义角色和权限，进一步进行跟踪、监控和管理所需云帐户的总数。

作为客户责任，CSA 建议如下：

使用双重身份验证；

对云用户和身份实施严格的IAM控制；

密钥，删除未使用的凭据和访问权限，并采用中心、程序化密钥管理。

CCM规范包括：

确定关键管理人并制定和维护关键管理政策；

分配、记录和传达履行解雇或程序变更的职责和职责；

及时取消用户对数据和网络组件的访问。

5. 帐户劫持

云帐户劫持是云帐户的披露、意外泄漏、暴露或其他对云环境的操作、管理。这些高度特权和敏感的帐户如果被破坏，可能会造成巨大的后果。

从网络钓鱼、凭据填充、弱密码或被盗凭据到不当编码，帐户泄露可能导致数据泄露和服务中断。

作为CSP和用户的责任，CSA建议如下：

记住，帐户劫持不仅仅是一个密码重置；

使用深度防御和IAM 控制。

CCM规范包括：

制定、记录和采用统一的业务连续性计划；

将生产和非生产环境分开；

维护并定期更新合规联络，为需要快速参与执法调查做准备。

6. 内部威胁

与员工和其他在企业网络内工作的人相关的风险不仅限于云。无论是疏忽还是故意，内部人员（包括现任和前任员工、承包商和合作伙伴）都可能导致数据丢失、系统停机、客户信心下降和数据泄露。

必须解决客户的责任、涉及泄露或被盗数据的内部威胁、凭据问题、人为错误和云配置错误。

CSA 建议如下：

开展安全意识培训；

修复配置错误的云服务器；

限制对关键系统的访问。

CCM 规范包括：

在搬迁或传输硬件、软件或数据之前需要授权；

授权和重新验证用户访问控制，并计划间隔；

从其他租户分割多租户应用程序、基础设施和网络。

7. 不安全的接口和 API

用户通过 CSP UI 和 API 与云服务进行交互，是云环境中最暴露的组件之一。任何云服务的安全性都始于这些服务的维护程度，并且是客户和 CSP 的责任。

必须确保安全集成，客户必须努力管理、监控。CSA 建议如下：

良好的 API 习惯；

避免 API 密钥重复使用；

使用标准和开放的API框架。

CCM 规范包括：

按照行业领先标准设计、开发、部署和测试 API，并遵守适用的法律、法规和监管义务；

隔离和限制对与企业信息系统交互的审计工具的访问，以防止数据披露和篡改；

限制能够覆盖系统、对象、网络、VM 和应用程序控制的实用程序。

8. 控制平面弱

云控制平面是收集企业使用的云管理控制台和接口，是用的责任。根据CSA的数据，它还包括数据复制、迁移和存储。被破坏的控制平面可能导致数据丢失、监管罚款和其他后果，以及品牌声誉受损，可能导致收入损失。

CSA 建议如下：

需要从 CSP 获得足够的控制；

尽职调查以确定潜在的云服务是否有足够的控制平面。

CCM 规范包括：

建立和制定信息安全政策和程序，供内部人员和外部业务关系审查；

实施和运用防御深入措施，及时发现和应对网络攻击；

制定策略来标记、处理和安全包含数据的数据和对象。

9. 元结构和应用列表失败

CSA 定义的元结构是"提供基础设施层和其他层之间接口的协议和机制"，换句话说，"连接技术并实现管理和配置的胶水"。

也被称为水线，元结构是CSP和客户之间的分界线。这里存在许多安全威胁，例如，CSA 列举了 CSP 执行不良的 API 或客户使用不当的云应用。此类安全挑战可能导致服务中断和配置错误，并造成财务和数据损失后果。

应用列表的定义是"部署在云中的应用程序和用于构建它们的基础应用程序服务（例如，PaaS 功能，如消息队列、AI 分析或通知服务）。

报告的新威胁是客户和 CSP 的责任。CSA 建议如下：

CSP 提供可见性和暴露缓解措施，以抵消租户缺乏透明度；

CSP 进行渗透测试，向客户提供调查结果；

客户在云原生设计中实现功能和控制。

CCM 规范包括：

制定和维护审计计划，以解决业务流程中断问题；

实施加密，以保护存储、使用和传输中的数据；

制定存储和管理身份信息的政策和程序。

10. 有限的可视化

云可视化长期以来一直是企业管理员关注的问题，有限的可视化会导致两个关键挑战：

未经批准的应用使用；

批准的应用未按预期使用，包括授权使用该应用程序的用户，以及通过 SQL 注入或 DNS 攻击获得的被盗凭据访问的未经授权的个人。

CSA说，这种有限的可见性导致缺乏治理、意识和安全性，所有这些都可能导致网络攻击、数据丢失和泄露。

CSA 建议如下：

从上到下开发云可视化；

强制和执行全公司范围内对可接受的云使用策略的培训；

要求所有未经批准的云服务由云安全架构师或第三方风险管理机构审核和批准。

CCM 规范包括：

定期进行风险评估；

使所有人员了解其合规和安全职责；

进行清点、记录和维护数据流。

11. 滥用云服务

云可以被恶意使用，对合法的 SaaS、PaaS 和 IaaS 产品的邪恶使用都会影响个人、云用户和 CSP。用户容易受到以下云服务的滥用：

分布式拒绝服务攻击

网络钓鱼

加密

单击欺诈

蛮力攻击

托管恶意或盗版内容

泄露和滥用的云服务可能导致费用发生，例如，恶意挖矿或攻击者付款，客户在不知不觉中托管恶意软件，数据丢失等。

CSA 建议 CSP 努力通过事件响应框架检测和减轻此类攻击。CSP 还应提供其客户可用于监控云工作负载和应用程序的工具和控制。

作为客户和 CSP 的责任，CSA 建议如下：

监控员工云的使用；

使用云数据丢失预防技术。

CCM 规范包括：

采取技术措施管理移动设备风险：

确定企业和用户拥有的终端（包括工作站、笔记本电脑和移动设备）的限额和使用权限

创建并维护已批准的应用程序和应用程序商店列表。

以上就是云安全和传统安全有什么区别以及会遇到哪些问题的介绍，亿联云提供企业私有云和公有云，以及企业多云直连的云专线业务，可以快速、有效的为客户提供高速、稳定的专有通道。如果您有相关的业务场景，欢迎咨询，我们有专业的技术团队可以为您提供更好的建议和方案。