CISO最容易忽视的八个云安全关键问题

随着企业数字化转型的深入，越来越多的企业依赖多个云服务商，云安全问题日益复杂和严峻，云宕机或数据泄露导致的业务停顿不但意味着财务和声誉的巨大损失，甚至会给企业带来灭顶之灾。

近年来，全球云计算巨头如亚马逊、阿里云和微软Azure接连遭遇了影响广泛的安全漏洞和宕机事故，尤其是最近发生的网易云停顿事件再次引发了业界对云安全和可靠性问题的深刻反思。

云计算环境看似是现有业务的无缝扩展，但实际操作中，各个云团队分布广泛，有时可能与网络安全团队的需求背道而驰，这使得云计算的安全问题更加难以察觉和处理，产生大量安全盲区。

以下，是CISO最容易忽视或轻视的八个云安全问题：

一、隐形威胁：临时性资源

临时性资源在云计算中的使用越来越频繁，例如短暂存储实例或动态资源分配，这些资源存在时间很短，通常只执行特定功能后就终止。然而，这些短暂资源虽然寿命短，却极难扫描，成为隐藏恶意软件的理想场所。一旦被攻破，它们便可成为攻击者的温床，为恶意活动提供暂时的庇护，而不会留下太多可供法证分析的痕迹。

二、云环境中的IT资产清点

很多安全专家过去在本地数据中心中进行IT资产清点时，常因操作过于复杂而避之不及。如今，在云端清点资产变得更加简单，几乎没有借口可以再回避这个问题。云计算中的一切都可视作API，这使得清点资源变得更加高效和自动化。通过快照API，企业可以扫描服务器上的应用程序和库，无需担心扫描过程对性能的影响。

三、用云服务账单监测攻击

云服务账单可用于监测攻击，因为有些攻击者并不满足于窃取数据或发动DDoS攻击，他们通过增加企业的云服务开销来进行惩罚性攻击，这种攻击方式被称为“钱包剥夺攻击”（DoW）。此外，监控云服务账单开销的异常波动也能成为识别恶意活动的早期信号，例如突然的使用量下降可能意味着攻击者正在删除备份文件，削弱企业的安全防护。

四、SaaS应用的安全隐患

SaaS应用的风险差异巨大，许多企业在关注主要的云服务提供商时，往往忽略了对SaaS服务的安全审查。这些第三方SaaS应用可能存储着代码库或其他关键数据，但却未必具备足够的安全防护，增加了攻击者利用的机会。

五、不可忽视的DNS指向问题

DNS指向问题在云计算中看似微不足道，但一旦处理不当，可能会导致严重后果。攻击者可利用遗留的DNS指针伪装成合法的企业网站，从而对用户发起网络攻击。

在这个云计算主导的时代，企业需要不断更新安全策略，应对层出不穷的新威胁。即使看似无关紧要的云组件，也可能成为潜在的安全漏洞。

六、API的安全隐患

API是云结构的基础，也是攻击者进入系统的主要途径之一。许多企业往往忽视API安全，特别是本地API密钥的安全管理。例如，即使员工账户的单点登录（SSO）已经被禁用，但本地API密钥却仍然可能继续有效。这种情况下，前员工仍然可能拥有对系统或数据的访问权限，这无疑是一个严重的安全隐患。

对于使用多个云平台的企业，跨平台的API访问问题尤为明显。例如，如果某个企业在多个云平台（如AWS和微软Azure）中使用相同的身份验证平台，那么攻击者有可能通过攻击其中一个API而获得对整个云平台架构的广泛访问权限。

七、云端IDP备份策略的重要性

身份提供商（IDP）的中断虽然相对较少发生，但企业仍然需要一个IDP备份策略以防不测。尤其在所有身份验证依赖于云服务的情况下，一旦主要IDP不可用，企业需要有应急方案来继续进行认证和服务访问。然而，许多公司在考虑到切换到备份IDP可能对用户造成的干扰时，往往选择放弃这一策略。这导致企业在IDP中断时暴露于严重的身份验证风险。

八、元数据服务的隐患

2024年3月，亚马逊AWS悄悄更新了其实例元数据服务（IMDS），引入了版本2（IMDSv2）以提高安全性。元数据服务存储了安全凭据和其他关键信息，可能被攻击者利用，通过服务端请求伪造（SSRF）窃取这些凭据。尽管AWS早在2019年就推出了IMDSv2，但许多企业仍在使用原版IMDSv1，这使得它们暴露于潜在的安全威胁中。AWS的最新更新允许默认将所有新创建的实例设置为IMDSv2，但现有的IMDSv1实例仍需要手动重新配置。

该漏洞使许多组织在不知不觉中暴露于严重的凭据盗窃风险中，如果攻击者利用这些凭据在企业内部进行横向移动，可能导致灾难性的后果。

参考链接：

https://www.csoonline.com/article/3487413/8-cloud-security-gotchas-most-cisos-miss.html