【51CTO.com獨家翻譯】云安全聯(lián)盟（Cloud Security Alliance，CSA）發(fā)布了第一份云計算安全風(fēng)險簡明報告，有意與CSA發(fā)布的更冗長的“關(guān)鍵區(qū)域安全指南”（下載地址：http://cloudsecurityalliance.org/csaguide.pdf）成對出現(xiàn)，對于報告中列出的最大威脅，CSA將長達(dá)76頁的安全指南濃縮為7個最常見，危害程度最大的威脅，根據(jù)這些威脅的描述，CSA也提出了一些策略，盡可能減少損失。用戶也應(yīng)該檢查云服務(wù)供應(yīng)商是否有每項威脅對應(yīng)的解決方案。

CSA是一個由來自不同科技公司的安全專家和研究人員組成的組織。 

威脅名單：

威脅1：濫用和惡意使用云計算

威脅2：不安全的接口和API

威脅3：不懷好意的內(nèi)部人員

威脅4：基礎(chǔ)設(shè)施共享問題威脅5：數(shù)據(jù)丟失或泄漏

威脅6：帳戶或服務(wù)劫持

威脅7：未知的風(fēng)險

威脅1：濫用和惡意使用云計算

網(wǎng)絡(luò)犯罪開始傾向于竊取銀行卡密碼和信用卡卡號，惡意軟件如Zeus和InfoStealing木馬將會在云中變得更強大，垃圾郵件發(fā)送者和惡意代碼作者可以利用云服務(wù)中的匿名注冊和云服務(wù)模式進行網(wǎng)絡(luò)犯罪。

解決辦法：嚴(yán)格設(shè)計首次注冊和驗證過程，實施信用卡欺詐行為監(jiān)控和協(xié)調(diào)，監(jiān)控公共黑名單，查看你自己的網(wǎng)絡(luò)是否被列為垃圾郵件和惡意軟件來源而被阻止。

威脅2：不安全的接口和API

不安全的API通常是想回收舊代碼提高開發(fā)速度的結(jié)果，質(zhì)量和安全都得不到保障，API上的第三方插件也可能引入更多的復(fù)雜性和更多的風(fēng)險。

解決辦法：了解API關(guān)聯(lián)的依賴鏈，除加密傳輸外，確保實施強大的訪問控制。

威脅3：不懷好意的內(nèi)部人員

這是一個眾所周知的威脅，當(dāng)一個人滲透到組織中，從組織內(nèi)部發(fā)起攻擊時，危害程度更大，如果公司使用了云服務(wù)，威脅將會進一步放大，隨著云服務(wù)的不斷壯大，留給服務(wù)供應(yīng)商做后臺檢查的時間的越來越少。

解決辦法：放慢腳步，做更徹底的檢查，由HR在合同上明確雇員的法律責(zé)任，在違反安全規(guī)定造成安全事故時有權(quán)送交司法機關(guān)。

威脅4：基礎(chǔ)設(shè)施共享問題

IaaS供應(yīng)商使用共享的，非隔離的基礎(chǔ)設(shè)施，當(dāng)一個攻擊者得逞時，全部服務(wù)器都向攻擊者敞開了大門，即使使用了hypervisor，有些客戶機操作系統(tǒng)也能夠獲得基礎(chǔ)平臺不受控制的訪問權(quán)。

解決辦法：開發(fā)一個強大的分區(qū)和防御策略，IaaS供應(yīng)商必須監(jiān)控環(huán)境是否有未經(jīng)授權(quán)的修改和活動。

威脅5：數(shù)據(jù)丟失或泄漏

云中不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失的風(fēng)險，因為沒有適當(dāng)?shù)陌踩刂坪蛿?shù)據(jù)監(jiān)控，很難監(jiān)控和控制所發(fā)生的事情，這增加了錯放上下文記錄，丟失編碼鍵和意外刪除數(shù)據(jù)的可能。

解決辦法：有一個定義良好，組織得當(dāng)?shù)拿荑€生成、存儲、管理和銷毀策略。

威脅6：帳戶或服務(wù)劫持

許多常見的攻擊方法仍然可以從攻擊者獲得可重用的憑據(jù)，在云環(huán)境中，如果攻擊者能夠獲得你的憑據(jù)，他們可以看到你的活動，處理的數(shù)據(jù)，并給云服務(wù)供應(yīng)商客戶端導(dǎo)致問題。

解決辦法：禁止用戶和服務(wù)之間憑據(jù)共享，利用強大的雙因子認(rèn)證技術(shù)，主動檢查是否有未經(jīng)授權(quán)的活動。

威脅7：未知的風(fēng)險

未知的安全漏洞是云中真正的危險，軟件版本、安全實踐、代碼更新、漏洞研究和入侵企圖都是消除安全風(fēng)險的重要因素。了解這個領(lǐng)域需要做更多的工作和調(diào)查，做好這方面的工作就成功了一半。

解決辦法：認(rèn)清你的安全現(xiàn)狀，為客戶提供最大程度的透明性，讓他們知道如何配置系統(tǒng)或及時為托管的軟件打上補丁。

【51CTO.COM 獨家翻譯，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 瑞星推出云安全計劃新版卡卡成反木馬核心
2. 兩億種病毒肆虐網(wǎng)絡(luò)趨勢問計“云安全”