400-888-5228

CCSK是云計(jì)算安全領(lǐng)域第一個(gè)也是重要的認(rèn)證,反映個(gè)人對(duì)于云計(jì)算安全的能力。由CSA云安全聯(lián)盟自2010年發(fā)起,全球第一個(gè)面向個(gè)人的云計(jì)算安全管理認(rèn)證,已成為云計(jì)算安全專家黃金認(rèn)證,CCSK旨在確保與云計(jì)算相關(guān)的從業(yè)人員對(duì)云安全威脅和云安全最佳實(shí)踐有一個(gè)全面的了解和廣泛的認(rèn)知。

  • 中文名CCSK云計(jì)算安全知識(shí)認(rèn)證
  • 英文名Certificate of Cloud Security Knowledge
  • 英文簡(jiǎn)稱CCSK
  • 頒證機(jī)構(gòu)CSA云安全聯(lián)盟
  • 證書類別信息安全
  • 同類認(rèn)證CISSP、CISMCISA

過(guò)去十年,云計(jì)算和云安全已經(jīng)取得長(zhǎng)足進(jìn)步,越來(lái)越多的企業(yè)對(duì)云安全的認(rèn)知,從_初的顧忌和恐慌,轉(zhuǎn)變?yōu)槊つ康男湃魏鸵蕾嚒5墙陙?lái)隨著國(guó)內(nèi)外云安全事件的不斷發(fā)作,企業(yè)必須重新審視云安全問(wèn)題,制定不偏不倚的云安全策略。以下,CTOCIO列舉企業(yè)云計(jì)算安全問(wèn)題的12個(gè)陰暗面,以期能夠拋磚引玉,幫助企業(yè)在云時(shí)代樹立正確的安全觀:

同樣的安全漏洞仍然存在

云計(jì)算并非企業(yè)安全的革命,云實(shí)例與我們的臺(tái)式機(jī)或獨(dú)立服務(wù)器其實(shí)運(yùn)行著相同的操作系統(tǒng)。如果Ubuntu 14中有一個(gè)后門,可以讓攻擊者闖入你的服務(wù)器機(jī)房中的機(jī)器,那幾乎可以肯定,同一個(gè)后門也會(huì)讓某人進(jìn)入你的云端的服務(wù)器版本。我們熱愛(ài)的云實(shí)例能夠替換我們的私有硬件,遺憾的是,同樣的漏洞也會(huì)被替換到云端。

云服務(wù)商善意的偷窺

你在云服務(wù)商提供的私家泳池中一絲不掛地裸泳,卻沒(méi)有留意到樹梢里暗藏的監(jiān)控頭正注視著你的一舉一動(dòng),以便在你你溺水時(shí)_時(shí)間發(fā)出警報(bào)。云服務(wù)商往往會(huì)在客戶的系統(tǒng)中暗中植入對(duì)客戶不可見(jiàn)的賬戶,以提高客戶服務(wù)和系統(tǒng)調(diào)試的效率,這一切都是為了客戶,但是不可否認(rèn)的是,這種做法也可能會(huì)被用于惡意目的。

客戶對(duì)云計(jì)算服務(wù)商的信任是無(wú)條件的,包括對(duì)其商業(yè)倫理和廉潔的100%授信,然鵝,沒(méi)有企業(yè)能夠確保100%的員工三觀無(wú)暇。

云計(jì)算還有一層你無(wú)法控制

云實(shí)例通常附帶一層額外的軟件,位于操作系統(tǒng)下,完全超出您的控制范圍。你可以獲得對(duì)操作系統(tǒng)的root訪問(wèn)權(quán)限,但你不會(huì)知道下面發(fā)生了什么。這個(gè)大多數(shù)情況下都無(wú)文檔記錄可循的層可對(duì)流經(jīng)的客戶數(shù)據(jù)執(zhí)行任何操作。

切記!云安全的12個(gè)陰暗面 -- 第1張

工作人員的老板不是你

云提供商鼓吹自己能提供額外的支持和安全團(tuán)隊(duì),這些團(tuán)隊(duì)有助于云實(shí)例的安全性和穩(wěn)定性。而大多數(shù)公司都沒(méi)有能力自建這樣的團(tuán)隊(duì),因此云計(jì)算公司很容易解決小公司無(wú)法解決的問(wèn)題。

但有一個(gè)基本事實(shí)需要明確,云安全團(tuán)隊(duì)的老板不是作為用戶的你。他們不會(huì)向你報(bào)告,他們的未來(lái)與你的底線也沒(méi)什么關(guān)系。你可能不會(huì)知道他們的名字,你_終可能會(huì)通過(guò)不露面的故障單與他們溝通 – 如果他們回信的話。也許這就是你所需要的一切,或者,你也可以雙手合十祈禱。

你不知道誰(shuí)在你的服務(wù)器上

云的巨大經(jīng)濟(jì)優(yōu)勢(shì)在于您與其他人分?jǐn)傔\(yùn)維和物理成本,作為代價(jià),你也將失去硬件的完全控制權(quán)。你不知道正在與誰(shuí)共享同一臺(tái)機(jī)器,可能是一些心地善良的教堂修女正在維護(hù)一個(gè)教區(qū)居民的數(shù)據(jù)庫(kù),也可能是一個(gè)精神病患者。更糟糕的是,它可能是一個(gè)試圖竊取你的秘密或資金的小偷。

規(guī)模經(jīng)濟(jì)是柄雙刃劍

云計(jì)算規(guī)模經(jīng)濟(jì)的好處是能夠降低成本,因?yàn)樵朴?jì)算公司擁有大量的機(jī)架和硬件,但這也會(huì)導(dǎo)致單一化,使攻擊者變得更輕松和高效,在一個(gè)實(shí)例中找到的漏洞可以快速覆蓋所有類似實(shí)例。

云安全會(huì)增加云成本

云計(jì)算公司已經(jīng)陷入了困境。他們可以通過(guò)關(guān)閉分支預(yù)測(cè)來(lái)抵御分支預(yù)測(cè)等攻擊,但這會(huì)導(dǎo)致一切都變慢。結(jié)果,云服務(wù)商不想降低性能,客戶也不想。而且,在云中,較慢的機(jī)器沒(méi)有價(jià)格優(yōu)勢(shì)。

 

不同的公司有不同的安全需求

你可能會(huì)經(jīng)營(yíng)一項(xiàng)數(shù)十億美元的銀行業(yè)務(wù),但也有客戶也許只是一個(gè)圖片社交創(chuàng)業(yè)公司。事實(shí)上,市場(chǎng)上并沒(méi)有“萬(wàn)靈藥”類型的安全業(yè)務(wù),但云計(jì)算公司從事著標(biāo)準(zhǔn)化和產(chǎn)品化的業(yè)務(wù),他們的安全標(biāo)準(zhǔn)是面向關(guān)鍵業(yè)務(wù)和應(yīng)用的高標(biāo)準(zhǔn)?還是偷工減料為非關(guān)鍵應(yīng)用程序提供低價(jià)套餐?沒(méi)有正確的決定,因?yàn)槊總€(gè)客戶都是不同的,實(shí)際上,客戶也有不同的需求。甚至每個(gè)應(yīng)用程序內(nèi)的每個(gè)微服務(wù)都是不同的。

一切都是不透明的

云本質(zhì)上是一個(gè)黑暗的計(jì)算能力池,這個(gè)不透明往往使我們陷入一種蜜汁自信——如果我們不知道自己的芯片在哪里,攻擊者也不知道。但我們只是祈禱并假設(shè)攻擊者無(wú)法找到共享我們機(jī)器的方法,原因很可笑,因?yàn)槲覀円膊恢涝品?wù)商如何分配機(jī)器。但是,如果有一種模式可以被利用呢?如果有一些秘密漏洞可以用來(lái)大幅改變攻防賠率怎么辦?

惡意訪問(wèn)依然能夠“耗干”你的云資源

云計(jì)算的一個(gè)關(guān)鍵特性是它可以自動(dòng)升級(jí)擴(kuò)容來(lái)匹配需求波動(dòng)。如果訪問(wèn)請(qǐng)求數(shù)量激增(例如惡意訪問(wèn)),云計(jì)算可以啟動(dòng)新的實(shí)例來(lái)_性能。麻煩的是,創(chuàng)造虛假需求非常容易。攻擊者可以觸發(fā)您的某個(gè)應(yīng)用,通過(guò)數(shù)千次快速訪問(wèn)來(lái)啟動(dòng)新實(shí)例。如果云計(jì)算公司在需求激增時(shí)為新硬件供電,該怎么辦?如果所有新實(shí)例都停留在這個(gè)新啟動(dòng)的硬件上怎么辦?攻擊者可以在觸發(fā)云擴(kuò)展后立即請(qǐng)求新實(shí)例,這樣一來(lái),每個(gè)人共享相同內(nèi)存空間的可能性要大得多。

太多克隆增加了攻擊面

許多云架構(gòu)師喜歡使用許多小型機(jī)器的模塊,這些機(jī)器可以隨著需求的上升和下降而啟動(dòng)和停止。大量克隆的小機(jī)器同時(shí)也意味著私密數(shù)據(jù)被不斷克隆。如果有一些私鑰用于簽署文檔或登錄數(shù)據(jù)庫(kù),則所有克隆的實(shí)例都將擁有它。這意味著攻擊者有N個(gè)目標(biāo)而不是一個(gè),大大增加了攻擊者登陸相同物理硬件的可能性。

云安全的黑暗森林法則

雖然云計(jì)算的攻擊已經(jīng)不是假設(shè),但并不容易執(zhí)行。云安全的一大優(yōu)勢(shì)在于它是一個(gè)體量龐大的暗黑計(jì)算池。攻擊者很難找到特定的目標(biāo)數(shù)據(jù)?而且他們闖入同一個(gè)內(nèi)存空間的幾率也不高?大多數(shù)客戶相信,在云計(jì)算的暗黑森林中,黑客很難找到我們,因此我們是安全的,是嗎?

【艾威(中國(guó))】簡(jiǎn)介:

  艾威(AVTECH)總部 設(shè)在美國(guó)NEW JERSEY,是北美排行_的專業(yè)培訓(xùn)機(jī)構(gòu),設(shè)有4大分校,數(shù)十個(gè)培訓(xùn)點(diǎn)遍布北美、西歐和東亞;2000年進(jìn)入中國(guó),以培養(yǎng)國(guó)際化的中高端信息人才為己任,專注于國(guó)際前沿的新技術(shù)研發(fā)與信息科技新興行業(yè)的開(kāi)拓教育。

艾威培訓(xùn)(Avtech Institute of Technology),源于美國(guó),始于1998;是北美著名的培訓(xùn)機(jī)構(gòu),公司總部位于美國(guó)新澤西州,2000年進(jìn)入中國(guó),以培養(yǎng)國(guó)際化的中高端信息人才為己任,專注于國(guó)際前沿的新技術(shù)研發(fā)新興行業(yè)的開(kāi)拓教育,艾威主要的服務(wù)為培訓(xùn)與咨詢兩大類,目前培訓(xùn)的主要產(chǎn)品有:項(xiàng)目管理培訓(xùn)、IT管理培訓(xùn)、IT技術(shù)培訓(xùn)、云計(jì)算大數(shù)據(jù)培訓(xùn)、需求管理培訓(xùn)、產(chǎn)品管理培訓(xùn),信息安全類,AI人工智能等....近十類上幾百門的課程的培訓(xùn)與咨詢服務(wù)。
艾威進(jìn)入中國(guó)這十八年來(lái)已經(jīng)服務(wù)了超過(guò)5000多家客戶,獲得了良好的口碑!也成為了眾多500強(qiáng)企業(yè)指定的培訓(xùn)服務(wù)供應(yīng)商.
● 艾威培訓(xùn)(Avtech Institute of Technology),源于美國(guó),始于1998.
● 艾威培訓(xùn)(Avtech Institute of Technology)是Prometric,VUE,PSI等眾多國(guó)際認(rèn)證中心授權(quán)的考點(diǎn)

  ● 2003年成為國(guó)際項(xiàng)目管理協(xié)會(huì)PMI授權(quán)的全球(PMP,PGMP,ACP,PBA)教育機(jī)構(gòu)
  ● 2008年成為國(guó)際需求管理協(xié)會(huì)IIBA授權(quán)的全球(CCBA,CBAP)教育機(jī)構(gòu)
  ● 2012年成為IT服務(wù)管理官方EXIN授權(quán)的ITIL,ITIL EXPERT,Prince2,EXIN Agile Scrum Master教育機(jī)構(gòu)
  ● 2016年成為國(guó)際信息審計(jì)協(xié)會(huì)ISACA授權(quán)的CISA,CISM,CRISC,CGEIT,COBIT教育機(jī)構(gòu)
  ● 2017年成為The Open Group授權(quán)的TOGAF企業(yè)架構(gòu)的官方培訓(xùn)機(jī)構(gòu)。
● 2017年成為EPI 授權(quán)的數(shù)據(jù)中心CDCP培訓(xùn)機(jī)構(gòu),華東地區(qū)_CDCP授權(quán)培訓(xùn)機(jī)構(gòu),同時(shí)也是CDCP認(rèn)證考試考場(chǎng)。
● 2017年成為國(guó)際外包專業(yè)協(xié)會(huì)(IAOP)_授權(quán)外包治理國(guó)際認(rèn)證SGF(Sourcing GovernanceFoundation)。
文章來(lái)自IT經(jīng)理網(wǎng)
原文鏈接

發(fā)表回復(fù)

您的電子郵箱地址不會(huì)被公開(kāi)。 必填項(xiàng)已用*標(biāo)注

  • 2024-09-26 20:00
    職場(chǎng)故事:從戰(zhàn)略規(guī)劃到項(xiàng)目管理交付
  • 2024-10-10 20:00
    解決方案評(píng)價(jià):評(píng)估解決方案的高效績(jī)效工具
  • 2024-10-15 20:00
    研發(fā)績(jī)效管理:組織戰(zhàn)略如何解碼到績(jī)效指標(biāo)?組織績(jī)效與個(gè)人績(jī)效管理
  • 2024-10-17 20:00
    科學(xué)的降本增效
  • 2024-10-22 20:00
    職場(chǎng)故事:“煉金術(shù)”與數(shù)字的交響曲:一位化學(xué)研發(fā)工程師的職業(yè)升級(jí)之旅
  • 2024-10-24 20:00
    助力財(cái)務(wù)運(yùn)營(yíng)自動(dòng)化:機(jī)器人流程自動(dòng)化(RPA)技術(shù)的實(shí)際應(yīng)用
  • 2024-10-29 20:00
    職場(chǎng)故事:從在日工作的經(jīng)驗(yàn)教訓(xùn)談職場(chǎng)需要的技能
  • 2024-10-30 20:00
    嚴(yán)謹(jǐn)求實(shí):安全評(píng)估和測(cè)試
  • 2024-10-31 20:00
    什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項(xiàng)目管理認(rèn)證

    聽(tīng)
    艾威最近一期班: 針對(duì)2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-23
  3. CBPP流程管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-12-07
  4. ITIL4 IT管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-10-26
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-02
  6. CDMP數(shù)據(jù)管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-23
  7. CISA信息安全審計(jì)師認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-12-01
  8. CISSP信息安全專家認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-16
近期課程安排