切記！云安全的12個陰暗面

原創(chuàng)2019-08-06小艾老師

CCSK云計算安全知識認證知識體系考證須知證書含金量培訓大綱 3分鐘小視頻我要提問

CCSK是云計算安全領域第一個也是重要的認證，反映個人對于云計算安全的能力。由CSA云安全聯(lián)盟自2010年發(fā)起，全球第一個面向個人的云計算安全管理認證，已成為云計算安全專家黃金認證，CCSK旨在確保與云計算相關的從業(yè)人員對云安全威脅和云安全最佳實踐有一個全面的了解和廣泛的認知。

中文名CCSK云計算安全知識認證
英文名Certificate of Cloud Security Knowledge
英文簡稱CCSK
頒證機構CSA云安全聯(lián)盟
證書類別信息安全
同類認證CISSP、CISM、CISA

過去十年，云計算和云安全已經(jīng)取得長足進步，越來越多的企業(yè)對云安全的認知，從_初的顧忌和恐慌，轉變?yōu)槊つ康男湃魏鸵蕾?。但是近年來隨著國內外云安全事件的不斷發(fā)作，企業(yè)必須重新審視云安全問題，制定不偏不倚的云安全策略。以下，CTOCIO列舉企業(yè)云計算安全問題的12個陰暗面，以期能夠拋磚引玉，幫助企業(yè)在云時代樹立正確的安全觀：

同樣的安全漏洞仍然存在

云計算并非企業(yè)安全的革命，云實例與我們的臺式機或獨立服務器其實運行著相同的操作系統(tǒng)。如果Ubuntu 14中有一個后門，可以讓攻擊者闖入你的服務器機房中的機器，那幾乎可以肯定，同一個后門也會讓某人進入你的云端的服務器版本。我們熱愛的云實例能夠替換我們的私有硬件，遺憾的是，同樣的漏洞也會被替換到云端。

云服務商善意的偷窺

你在云服務商提供的私家泳池中一絲不掛地裸泳，卻沒有留意到樹梢里暗藏的監(jiān)控頭正注視著你的一舉一動，以便在你你溺水時_時間發(fā)出警報。云服務商往往會在客戶的系統(tǒng)中暗中植入對客戶不可見的賬戶，以提高客戶服務和系統(tǒng)調試的效率，這一切都是為了客戶，但是不可否認的是，這種做法也可能會被用于惡意目的。

客戶對云計算服務商的信任是無條件的，包括對其商業(yè)倫理和廉潔的100%授信，然鵝，沒有企業(yè)能夠確保100%的員工三觀無暇。

云計算還有一層你無法控制

云實例通常附帶一層額外的軟件，位于操作系統(tǒng)下，完全超出您的控制范圍。你可以獲得對操作系統(tǒng)的root訪問權限，但你不會知道下面發(fā)生了什么。這個大多數(shù)情況下都無文檔記錄可循的層可對流經(jīng)的客戶數(shù)據(jù)執(zhí)行任何操作。

切記！云安全的12個陰暗面 -- 第1張

工作人員的老板不是你

云提供商鼓吹自己能提供額外的支持和安全團隊，這些團隊有助于云實例的安全性和穩(wěn)定性。而大多數(shù)公司都沒有能力自建這樣的團隊，因此云計算公司很容易解決小公司無法解決的問題。

但有一個基本事實需要明確，云安全團隊的老板不是作為用戶的你。他們不會向你報告，他們的未來與你的底線也沒什么關系。你可能不會知道他們的名字，你_終可能會通過不露面的故障單與他們溝通 – 如果他們回信的話。也許這就是你所需要的一切，或者，你也可以雙手合十祈禱。

你不知道誰在你的服務器上

云的巨大經(jīng)濟優(yōu)勢在于您與其他人分攤運維和物理成本，作為代價，你也將失去硬件的完全控制權。你不知道正在與誰共享同一臺機器，可能是一些心地善良的教堂修女正在維護一個教區(qū)居民的數(shù)據(jù)庫，也可能是一個精神病患者。更糟糕的是，它可能是一個試圖竊取你的秘密或資金的小偷。

規(guī)模經(jīng)濟是柄雙刃劍

云計算規(guī)模經(jīng)濟的好處是能夠降低成本，因為云計算公司擁有大量的機架和硬件，但這也會導致單一化，使攻擊者變得更輕松和高效，在一個實例中找到的漏洞可以快速覆蓋所有類似實例。

云安全會增加云成本

云計算公司已經(jīng)陷入了困境。他們可以通過關閉分支預測來抵御分支預測等攻擊，但這會導致一切都變慢。結果，云服務商不想降低性能，客戶也不想。而且，在云中，較慢的機器沒有價格優(yōu)勢。

不同的公司有不同的安全需求

你可能會經(jīng)營一項數(shù)十億美元的銀行業(yè)務，但也有客戶也許只是一個圖片社交創(chuàng)業(yè)公司。事實上，市場上并沒有“萬靈藥”類型的安全業(yè)務，但云計算公司從事著標準化和產品化的業(yè)務，他們的安全標準是面向關鍵業(yè)務和應用的高標準？還是偷工減料為非關鍵應用程序提供低價套餐？沒有正確的決定，因為每個客戶都是不同的，實際上，客戶也有不同的需求。甚至每個應用程序內的每個微服務都是不同的。

一切都是不透明的

云本質上是一個黑暗的計算能力池，這個不透明往往使我們陷入一種蜜汁自信——如果我們不知道自己的芯片在哪里，攻擊者也不知道。但我們只是祈禱并假設攻擊者無法找到共享我們機器的方法，原因很可笑，因為我們也不知道云服務商如何分配機器。但是，如果有一種模式可以被利用呢？如果有一些秘密漏洞可以用來大幅改變攻防賠率怎么辦？

惡意訪問依然能夠“耗干”你的云資源

云計算的一個關鍵特性是它可以自動升級擴容來匹配需求波動。如果訪問請求數(shù)量激增（例如惡意訪問），云計算可以啟動新的實例來_性能。麻煩的是，創(chuàng)造虛假需求非常容易。攻擊者可以觸發(fā)您的某個應用，通過數(shù)千次快速訪問來啟動新實例。如果云計算公司在需求激增時為新硬件供電，該怎么辦？如果所有新實例都停留在這個新啟動的硬件上怎么辦？攻擊者可以在觸發(fā)云擴展后立即請求新實例，這樣一來，每個人共享相同內存空間的可能性要大得多。

太多克隆增加了攻擊面

許多云架構師喜歡使用許多小型機器的模塊，這些機器可以隨著需求的上升和下降而啟動和停止。大量克隆的小機器同時也意味著私密數(shù)據(jù)被不斷克隆。如果有一些私鑰用于簽署文檔或登錄數(shù)據(jù)庫，則所有克隆的實例都將擁有它。這意味著攻擊者有N個目標而不是一個，大大增加了攻擊者登陸相同物理硬件的可能性。

云安全的黑暗森林法則

雖然云計算的攻擊已經(jīng)不是假設，但并不容易執(zhí)行。云安全的一大優(yōu)勢在于它是一個體量龐大的暗黑計算池。攻擊者很難找到特定的目標數(shù)據(jù)？而且他們闖入同一個內存空間的幾率也不高？大多數(shù)客戶相信，在云計算的暗黑森林中，黑客很難找到我們，因此我們是安全的，是嗎？

【艾威（中國）】簡介：

　　艾威（AVTECH）總部設在美國NEW JERSEY，是北美排行_的專業(yè)培訓機構,設有4大分校，數(shù)十個培訓點遍布北美、西歐和東亞;2000年進入中國，以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術研發(fā)與信息科技新興行業(yè)的開拓教育。

艾威培訓（Avtech Institute of Technology)，源于美國，始于1998；是北美著名的培訓機構，公司總部位于美國新澤西州，2000年進入中國，以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術研發(fā)新興行業(yè)的開拓教育,艾威主要的服務為培訓與咨詢兩大類，目前培訓的主要產品有：項目管理培訓、IT管理培訓、IT技術培訓、云計算大數(shù)據(jù)培訓、需求管理培訓、產品管理培訓，信息安全類，AI人工智能等....近十類上幾百門的課程的培訓與咨詢服務。
艾威進入中國這十八年來已經(jīng)服務了超過5000多家客戶，獲得了良好的口碑！也成為了眾多500強企業(yè)指定的培訓服務供應商.
● 艾威培訓(Avtech Institute of Technology)，源于美國，始于1998.
● 艾威培訓(Avtech Institute of Technology)是Prometric，VUE，PSI等眾多國際認證中心授權的考點

　　● 2003年成為國際項目管理協(xié)會PMI授權的全球(PMP,PGMP,ACP,PBA)教育機構

　　● 2008年成為國際需求管理協(xié)會IIBA授權的全球(CCBA,CBAP)教育機構

　　● 2012年成為IT服務管理官方EXIN授權的ITIL，ITIL EXPERT,Prince2,EXIN Agile Scrum Master教育機構

　　● 2016年成為國際信息審計協(xié)會ISACA授權的CISA,CISM,CRISC,CGEIT,COBIT教育機構

　　● 2017年成為The Open Group授權的TOGAF企業(yè)架構的官方培訓機構。
● 2017年成為EPI 授權的數(shù)據(jù)中心CDCP培訓機構，華東地區(qū)_CDCP授權培訓機構，同時也是CDCP認證考試考場。
● 2017年成為國際外包專業(yè)協(xié)會(IAOP)_授權外包治理國際認證SGF(Sourcing GovernanceFoundation)。