云計(jì)算安全一直成為業(yè)界關(guān)注焦點(diǎn)，近日從CSA報(bào)告(點(diǎn)擊下載)中對(duì)云領(lǐng)域的威脅進(jìn)行了分析，并對(duì)2013年云計(jì)算的一些威脅進(jìn)行了排名。

從報(bào)告中可以看到，2013年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶(hù)劫持。在2010年，云計(jì)算中前三個(gè)是云服務(wù)的濫用、不安全接口和API、內(nèi)部人員惡意破壞。這三個(gè)威脅仍在今年的名單上，但排名分別下跌到第7、4、6位。

從報(bào)告中總結(jié)2013年九個(gè)云計(jì)算的威脅：

1. 數(shù)據(jù)泄露

對(duì)于企業(yè)，數(shù)據(jù)泄露是一個(gè)老生常談的問(wèn)題，但云計(jì)算加重了這種威脅，特別是對(duì)于一個(gè)設(shè)計(jì)不當(dāng)?shù)脑品?wù)數(shù)據(jù)庫(kù)將使攻擊者不僅僅進(jìn)入一個(gè)帳戶(hù)，而且會(huì)進(jìn)入與該服務(wù)相關(guān)的其他帳戶(hù)。

2. 數(shù)據(jù)丟失

對(duì)于數(shù)據(jù)丟失也是經(jīng)常發(fā)生的，用戶(hù)設(shè)備被破解，造成數(shù)據(jù)被偷或被刪除。同樣天災(zāi)(比如颶風(fēng)桑迪)可能會(huì)導(dǎo)致永久性的數(shù)據(jù)丟失，對(duì)于云計(jì)算而言如果一個(gè)企業(yè)的數(shù)據(jù)在上傳到云之前就行加密，就能更好地保護(hù)加密密鑰或數(shù)據(jù)。

3. 賬戶(hù)或服務(wù)信息劫持

黑客通過(guò)網(wǎng)絡(luò)釣魚(yú)或軟件漏洞來(lái)劫持用戶(hù)信息。通常根據(jù)一個(gè)密碼就可以竊取用戶(hù)多個(gè)服務(wù)中的資料。對(duì)于云供應(yīng)商而言，如果被盜的密碼可以登陸云端平臺(tái)，那么用戶(hù)的數(shù)據(jù)將被竊聽(tīng)、篡改，甚至重定向用戶(hù)的服務(wù)到網(wǎng)站。

4. 不安全的接口和API

云端平臺(tái)中的API允許任意數(shù)量的交互應(yīng)用，對(duì)整體安全來(lái)說(shuō)是一個(gè)薄弱的環(huán)節(jié)。API通過(guò)政策進(jìn)行控制，開(kāi)發(fā)人員須在質(zhì)量和安全性設(shè)計(jì)方面有所變化，但因?yàn)锳PI是跨領(lǐng)域的分層使得問(wèn)題比較復(fù)雜。

5. 拒絕提供服務(wù)

通過(guò)對(duì)用戶(hù)阻止訪(fǎng)問(wèn)資源和數(shù)據(jù)，并造成延遲成為破壞云服務(wù)的一個(gè)攻擊方法，可能意味著在線(xiàn)服務(wù)的。其他形式的攻擊，非對(duì)稱(chēng)應(yīng)用級(jí)DoS攻擊，直接利用弱點(diǎn)將Web服務(wù)器、數(shù)據(jù)庫(kù)和其他云資源作為攻擊目標(biāo)。

6. 內(nèi)部人員惡意破壞

數(shù)據(jù)的丟失，有一定程度上是內(nèi)部人員惡意破壞造成的。盡管這種情況對(duì)于企業(yè)而言不一定發(fā)生，但當(dāng)一旦造成破壞的傷害就會(huì)很大。CSA表示，完全依賴(lài)于云服務(wù)提供商的安全系統(tǒng)是云端最大的風(fēng)險(xiǎn)。

7. 云服務(wù)的濫用

作為大眾化的云服務(wù)，可向任何人提供計(jì)算資源，但并不考慮使用者的目的，很可能是通過(guò)尋求資源，以破解用戶(hù)的加密信息、發(fā)動(dòng)拒絕服務(wù)攻擊、服務(wù)器的惡意軟件的黑客。

8. 不充分的審查

云計(jì)算的好處對(duì)于企業(yè)用戶(hù)是顯而易見(jiàn)，比如降低成本、提高效率、更好的安全性等，但遷移到云計(jì)算的風(fēng)險(xiǎn)中需要有足夠的風(fēng)險(xiǎn)評(píng)估，特別對(duì)不了解云服務(wù)環(huán)境、應(yīng)用程序或服務(wù)被推到云中、營(yíng)運(yùn)責(zé)任(比如事件響應(yīng)、加密、安全監(jiān)控等)都會(huì)對(duì)企業(yè)產(chǎn)生未知的風(fēng)險(xiǎn)。

9. 共享技術(shù)漏洞

所有的交付模型全面展示出共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用程序所帶來(lái)的特點(diǎn)。CSA強(qiáng)調(diào)深入安全保護(hù)策略，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用程序和用戶(hù)安全執(zhí)行，以及對(duì)IaaS、PaaS和SaaS的監(jiān)測(cè)。