2020年關于云安全應該注意什么？

Marc Wilczek

當今世界正在全速進入數字化進程。為了征服數字世界，全球各地的公司都在嘗試著通過重新振興業務模型或從頭開始構建新模型以保持競爭力。這些舉措大部分都基于一個共同的基礎：云計算。

實際上，在過去的十年中，云計算的使用出現了激增，并且這種增長在可以預見的范圍內仍然沒有停止的跡象。據多份行業報告顯示，全球關于云計算的支出在2018年達到了2730億美元，并可能在2025年超過6230億美元。

云計算增長的原因很明確，主要是成本較低、靈活性更大且安全性更高。云技術為物理安全性帶來了巨大提升。盡管這種提升超出了終端用戶的期望或承受能力，但是安全性是服務商與用戶雙方共同的責任。換句話說，服務提供商負責監督云安全性，用戶則負責自身在云端上的安全性，包括所存儲和處理的數據的完整性以及與Web交互的所有應用程序和API的彈性。

大多數云程序包僅包含基本的安全性。如果不增加額外的安全保護，那么用戶的整個IT價值鏈基本上就是一個個易受攻擊的目標。由于越來越多的企業和用戶數據駐留在云端，嚴格的IP訪問策略可能會成為嚴重的制約瓶頸。如果云平臺下線，那么整個游戲就結束了。

DDoS攻擊導致服務癱瘓

這種可能性不僅僅存在于理論上。在2019年10月，亞馬遜網絡服務（AWS）遭受了長約八小時的嚴重DDoS攻擊。期間，用戶無法連接服務，因為AWS將其合法用戶的查詢也錯誤地分類為惡意行為。谷歌Cloud Platform大約在同一時間也遇到了許多麻煩，不過谷歌稱這與DDoS無關。就在幾周前，大量的DDoS攻擊導致南非互聯網服務提供商癱瘓了一整天，從而使得大量用戶的互聯網訪問受到了影響。

實際上，在全球業務領域中，DDoS攻擊是最大威脅之一。在歐洲刑警組織的《2019年網絡有組織犯罪威脅評估》中，DDoS攻擊也被認為是一個嚴重的問題。同樣，美國國土安全部（DHS）也警告稱，在過去的五年中，DDoS攻擊的規模增長了十倍，并且“目前尚不清楚當前的網絡基礎設施是否能夠承受未來的攻擊，因為攻擊規模還將繼續擴大。”

世界經濟論壇（WEF）指出，癱瘓一個云服務提供商可能會造成500～1200億美元的經濟損失，這一規模讓人想起颶風桑迪和卡特里娜颶風之后的金融倒閉潮。

損壞的云服務

對損壞或受操縱的云服務器的攻擊也在增加。例如，在數據泄露之后，不法分子經常會使用被盜的信用卡憑證創建偽造的云賬戶。

據Link11的2019年DDoS報告顯示，在2019年上半年，涉及損壞的云服務器的DDoS攻擊所占比例增加到51%。目前最大的已知攻擊峰值是724 Gbps。由于許多大型企業使用的互聯網連接為10 Gbps或1 Gbps，如此大規模的數據海嘯比可用管道高70-700倍。研究發現，對云服務提供商的攻擊數量大致與其市場份額相對應，AWS、微軟Azure和谷歌Cloud有著更多的云損壞案例。

值得注意的是，Link11在2019年下半年處理的持續時間最長的DDoS攻擊持續了6459分鐘，相當于中斷了100多個小時，或是連續五天。毋庸置疑，如此長時間的宕機會造成嚴重的損害，并導致依賴于“數字化存在”的企業（無論是在平臺、電子商務還是應用程序中）陷入困境。

API將成為重災區

DDoS問題正在蔓延到基礎設施以外的地方。許多組織機構開始運行云計算原生應用程序，并且將其作為第四次工業革命的一部分，制造商、物流企業和公用事業企業正在為其生產線、倉庫、工廠和其他設施配備傳感器和無線連接。這些都需要API才能正常運行。

盡管API可以簡化架構和產品交付，但是它們也可以成為各種風險和漏洞的通道。當基本業務應用程序或API受到威脅時，與業務相關的所有操作都將會癱瘓，并會引發一連串的連鎖反應。因此，只保護OSI layers 3和4已經不行了。如今，layer-7攻擊可以使用更少的帶寬造成更嚴重的破壞。

用戶的應對方案

當企業在云端上運行測試和開發實例時，云服務的基本安全級別可能就足以保護企業的數據和系統了。但是如果企業要在云端上運行關鍵任務，或與營收相關的服務，那么企業應徹底分析威脅狀況，并確保擁有正確的工具。也就是說，這些企業提供的不僅是基本的安全性，還要（在盡可能的范圍內）保證其系統擁有彈性，并讓功能達到“企業級”。升級后的安全性包括自動報告和警報、儀表板、與現有SIEM系統集成以及其他一些功能。

許多服務提供商都提供一些附送功能，其服務套餐也大致相同。但是與所有的事情一樣，魔鬼總在細節中。買家在購買之前應仔細評估其提供商的服務級協議，確保對所有的服務都進行了相互比較，同時確保服務水平能夠滿足自己的特定需求。

規模越來越大且越來越頻繁的攻擊、API帶來的風險以及宕機所造成的經濟損失加起來構成的綜合性威脅遠遠大于其各種威脅的總和。用戶應當以安全為首要考慮因素進行精心計劃和實施。云計算具有非凡的意義的，除了經濟原因外，它們還使得用戶能夠與合作伙伴和客戶展開更深層次的協作，讓產品以更快的時間上市成為可能。

本文作者Marc Wilczek為數字化戰略家和首席信息官顧問，在信息和通信技術領域擁有20多年的豐富領導經驗，其對所有數字事物充滿熱情，尤其是云計算、大數據和物聯網服務。

原文網址

https：//www.cio.com/article/3528910/3-things-you-should-know-about-cloud-security-in-2020.html