云安全威胁和责任 | 学习笔记

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全基线管理CSPM免费试用,1000次1年
简介: 快速学习云安全威胁和责任,介绍了云安全威胁和责任系统机制, 以及在实际应用过程中如何使用。

开发者学堂课程【云安全基础课 - 云安全概述云安全威胁和责任】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址:https://developer.aliyun.com/learning/course/494/detail/6640


云安全威胁和责任

 

内容介绍:

一、云安全面临的安全威胁

二、云计算安全性分析

三、云计算12大安全威胁

 

一、云安全面临的安全威胁

常见的例子

1、身份与权限控制

在云安全环境下,一般大多数用户都会比较缺乏信息,因为大多数人在传统使用IT系统中都已经习惯,在云环境新的模式下身份和权限都会有所顾虑,在云安全问题中,身份与权限控制是最核心的一个问题.

2、WEB 安全防护

即使在云模式下,也是提供 web 服务的,因为 web 是最便捷的方式,在 web 服务前提下,web 的工具手段又非常多,直接影响大家使用云计算的心理,所以也是一个传统的云安全问题。

3、用户使用习惯

人们对传统的IT管理方式已经比较依赖,而在新的云模式中需要长期的挑战.

4、虚拟化的安全

云环境多数使用虚拟化的问题,例如虚拟化存储,就会面临新的数据隔离和数据清除问题。而虚拟化的网络缺少非域保护的措施,云环境会变得更加困难。

 

二、云计算安全性分析

laaS

 

 

 

 

 


 


自身安全责任

网络限制

服务商提供

安全推荐

合规和电子证据发现

补丁管理

扁平网络

操作系统

密钥和身份管理

配置管理

单一 IP

IP 地址 

严格的防火墙策略

日志管理

网络浏览不可见

SAN接入

加密通信

主机防护/检测

SSl 存在限制

基础防火墙

设计独立安全区域

密钥和身份管理

 

API

主机安全加固

Paas

谁来/如何数据保护

如何实现安全开发

如何数据导出

开发限制:系统调用/库/语言

应用日志

SaaS

测试

事件响应

 

三、云计算12大安全威胁

威胁1 ∶数据泄露

威胁2∶身份、登录信息和访问管理不到位

威胁3 :不安全的接口和 API

威胁4 ∶系统安全漏洞

威胁5 ︰账户劫持

威胁6 ︰恶意内部人员

威胁7︰高级持续性威胁(APT)

威胁8∶数据丢失

威胁9:尽职调查不到位

威胁10:滥用和违法使用云服务

威胁11:拒绝服务

威胁12:共享技术问题

讲解:

威胁1∶数据泄露

描述

1)云环境面对的威胁中有很多都与传统企业网络面对的威胁相司

2)但由于有大量数据存储在云服务器上,云环境中的数据便成为攻击目标

影响

1)品牌形象

2)招致罚款、面临法律诉讼或刑事指控

3)业务流失

4)数据泄露调查和客户通知的花费

威胁2∶身份、登录信息和访问管理不到位

描述

身份验证不严格、弱密码横行、密钥或凭证管理松散会导致数据泄露和其他攻击

影响

1) 导致身份管理的混乱

2) 数据泄露

3) 未即时撤销或变更用户的权限导致问题

威胁3∶不安全的接口和 API

描述

1)从身份验证和访问控制,到加密和行为监测,云服务的安全和可用性依赖于API的安全性

2)弱界面和有漏洞的API将使企业面临很多安全问题,机密性、完整性、可用性和可靠性都会受到考验。

影响

1)数据机密性、完整性

2)拒绝服务 

威胁4∶系统安全漏洞

描述

1)系统漏洞,或者程序中可供利用的漏洞

2)共享内存、数据库和其他资源,也会产出新的攻击方式。

影响

1) 系统遇受破坏

2) 租户之间互相影响

或胁5∶账户劫持

描述

云服务的出现,攻击者依然会利用网络钓鱼、诈骗、软件漏洞,来监听用户活动、操纵交易、修改数据。

影响

1) 数据泄露

2) 凭证被盗

威胁6∶恶意内部人员

描述

现员工或前雇员、系统管理员、承包商、商业合作伙伴等内部人员可以破坏掉整个基础设施,或者操作篡改数据

影响

1) 数据泄露

2) 名誉受损

3) 法律惩罚

威胁7∶高级持续性威胁(APT)

描述

APT 渗透进系统,建立起桥头堡,然后,在相当长一段时间内,源源不断地,悄悄地偷走数据和知识产权

影响

1) 数据泄露

2) 名誉受损

3) 法律惩罚

威胁8∶数据丢失

描述

随着云服务的成熟,由于提供商失误导致的永久数据丢失已经极少见了,但攻击者利用安全控制的缺失来盗取云租户的数据

影响

数据泄露 

威胁9∶尽职调查不到位

描述

一个组织若在没有完全理解云环境及其相关风险的情况下,就使用云计算服务或和一家云计算公司合作,那么后期会带来巨大的风险。

影响

1) 数据泄露

2) 业务中断

3) 名誉

威胁10∶滥用和违法使用云服务

描述

云服务可能被用于支持违法活动,比如利用云计算资源破解密钥、发起分布式拒绝服务( DDoS )攻击、发送垃圾邮件和钓鱼邮件、托管恶意内容等。

影响

1) 法律惩罚

2) 数据泄露

3) 业务中断

4) 名誉

威胁11:拒绝服务

描述

由于云计算,拒绝服务攻击这种攻击方式犹如枯木逢春。

影响

1) 业务中断

2) 名誉

威胁12∶共享技术问题

描述

1)云服务提供商共享基础设施、平台和应用,一旦其中任何一个层级出现漏洞,每个人都会受到影响。

2)—个漏洞或错误配置,就能导致整个提供商的云环境遭到破坏。

影响

1) 数据泄露

2) 业务中断

相关文章
|
云安全 数据采集 机器学习/深度学习
云安全 | 学习笔记
快速学习云安全,重点介绍了如何在 Linux 下进行安全防护,并从用户系统安全、SSH 安全、恶意文件安全和云安全四个角度诠释如何提升系统的安全性。
云安全 | 学习笔记
|
云安全 SQL 安全
云安全的发展和未来 | 学习笔记
快速学习云安全的发展和未来
186 0
云安全的发展和未来  |  学习笔记
|
云安全 人工智能 安全
初识云安全 | 学习笔记
快速学习初识云安全
141 0
初识云安全  |  学习笔记
|
云安全 供应链 安全
云安全相关的政策 | 学习笔记
快速学习云安全相关的政策
221 0
|
云安全 存储 边缘计算
云安全的产生 | 学习笔记
快速学习云安全的产生
129 0
|
云安全 存储 监控
云安全基本概念 | 学习笔记
快速学习云安全基本概念,介绍了云安全基本概念系统机制, 以及在实际应用过程中如何使用。
|
2天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
2天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
2天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。

热门文章

最新文章

下一篇
无影云桌面