Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

1.4. 威胁分类、执行器和攻击向量

大多数类型的云部署、公共、私有或混合云都暴露于某种形式的攻击。本节对攻击者进行分类,并总结每个安全区中潜在的攻击类型。

1.4.1. 威胁行为
复制链接

威胁者是一个抽象的、用于指代您可能需要防御的一类行为的方式。能够使用更加强大的安全控制,这是成功攻击缓解和防止所需的安全控制。安全性是根据要求进行的平衡便利、防御和成本方面的问题。在某些情况下,无法针对此处所述的所有威胁参与者保护云部署。在部署 OpenStack 云时,您必须决定部署和使用的平衡情况。

作为风险评估的一部分,您还必须考虑您存储和任何可访问资源的数据类型,因为这将影响某些参与者。但是,即使您的数据对威胁者没有吸引人,他们甚至可以只吸引您计算资源,例如参与 botnet 或运行未经授权的加密准确减法。

  • nation-State Actors - 这是最强大的 adversary。Nation-state actors 可以使用巨大的资源来进行攻击。他们拥有超越其他任何参与者的功能。在没有严格控制(包括人工和技术)的情况下,很能防御此类的攻击。
  • 严重组织 Crime - 该课程描述了高度强大的、经济的攻击者组。他们能够为攻击方法的开发和研究提供大量资金。近年来,一些兴起的组织(例如 Russian Business Network,它是一个大型网络犯罪组织),已证明网络攻击如何成为一种商品。工业间谍通常属于这类严重犯罪组织。
  • 高度可疑的组 - 这是指通常不是商业资金的"Hacktivist"类型组织,但可能会对服务提供商和云操作员造成严重威胁。
  • 单独激励个人法案 - 这些攻击者在恶意或恶意员工(如恶意或恶意员工)中出现,不影响客户或小型行业高峰。
  • 脚本 Kiddies - 这些攻击者不会针对特定组织为目标,但运行自动漏洞扫描和利用。它们通常看似微不足道,但可能会对一个机构构成声誉风险。

以下实践可帮助缓解上述发现的一些风险:

  • 安全更新 - 您必须考虑底层物理基础架构(包括网络、存储和服务器硬件)的端到端安全状况。这些系统需要自己的安全强化实践。对于 Red Hat OpenStack Platform 部署,您应该有一个计划定期测试和部署安全更新。
  • 访问管理 - 当向个人授予系统访问权限时,您应该应用 最小特权的原则,并且仅向他们授予他们实际需要的粒度系统特权。您可以使用 AAA (访问、授权和会计)来实施此策略。这种方法还可以帮助缓解系统管理员中恶意执行者和排字错误的风险。
  • 管理内部 - 您可以通过应用谨慎地分配基于角色的访问控制(主要要求访问),并使用身份验证/授权安全(如集中式身份管理)来缓解恶意内部的威胁。您还可以考虑额外的非技术选项,例如将职责分离和不定期的作业角色轮转。

1.4.1.1. 出站攻击和风险
复制链接

应谨慎考虑云部署潜在的出站滥用。云部署往往具有大量可用的资源;通过黑客制或有授权访问权限的攻击者,无论是黑客或有权利的访问权限(如恶意员工)可以使用这些资源作为恶意目的。具有计算服务的云使得 DDoS 和 brute 强制引擎成为理想选择。这个问题对于公共云来说尤其如此不可靠,而且可以快速启动大量实例以进行出站攻击。防止方法包括出口安全组、流量检查、入侵检测系统、客户教育和认知以及欺诈以及滥用的缓解策略。对于可通过 或 访问公共网络(如互联网、流程和基础架构)访问的部署,最好地检测并解决出站滥用。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat