今年，在舊金山舉行的2013年RSA大會上，供應(yīng)商們所展示的各種各樣的產(chǎn)品和服務(wù)，使得加強IT控制、以及云計算所帶來秩序混亂，再一次成為媒體鎂光燈的焦點。但是，其實，企業(yè)最為重要的第一步應(yīng)該是要準(zhǔn)確地確定云計算最大的相關(guān)威脅在何處。

為此，CSA(云安全聯(lián)盟)已經(jīng)確定了“2013年云計算的九大威脅”。該報告反映了CSA所調(diào)查的業(yè)內(nèi)專家們的共識，側(cè)重于涉及到的共享的具體威脅，以及云計算按需部署的本質(zhì)。

在這份云安全的九大威脅的名單上的頭號威脅便是數(shù)據(jù)破壞。為了說明這種威脅的潛在規(guī)模，CSA指出，去年11月的一篇研究論文即描述了虛擬機如何使用側(cè)信道的定時信息提取在同一服務(wù)器上的其他虛擬機的私鑰。一個惡意黑客不一定需要竭盡全力，就可以輕易獲取。如果多租戶云服務(wù)數(shù)據(jù)庫設(shè)計不當(dāng)，一個客戶端應(yīng)用程序的一個單一的缺陷就可能使得攻擊者竊取的不僅是客戶端的數(shù)據(jù)，還包括每一個客戶的數(shù)據(jù)。

根據(jù)該報告，應(yīng)對數(shù)據(jù)丟失和數(shù)據(jù)泄漏這一威脅的所面臨的挑戰(zhàn)的措施包括：您可以加密您的數(shù)據(jù)，以減輕可能會加劇的影響，但如果您失去了您的加密密鑰，您將失去您的數(shù)據(jù)。然而，如果您選擇保持脫機備份您的數(shù)據(jù)，以減少數(shù)據(jù)丟失，也會增加您數(shù)據(jù)泄露的風(fēng)險。

根據(jù)CSA的報告稱，第二大威脅是在云計算環(huán)境中的數(shù)據(jù)丟失。惡意的黑客可能會刪除目標(biāo)的數(shù)據(jù)泄憤。但是，您也可能會因為云服務(wù)供應(yīng)商的一個不小心或災(zāi)難，如火災(zāi)、洪水或地震而失去您的數(shù)據(jù)。雪上加霜的狀況是，加密您的數(shù)據(jù)以抵御盜竊，但如果您失去了您的加密密鑰，可能會適得其反。

該報告指出，數(shù)據(jù)丟失不僅會影響客戶關(guān)系。如果您企業(yè)所在地的法律規(guī)定特定的數(shù)據(jù)存儲(如HIPAA法案)，您還可能因此必須接受聯(lián)邦調(diào)查局的調(diào)查。

云計算安全的第大的風(fēng)險是賬戶或業(yè)務(wù)流量被劫持。根據(jù)CSA的報告稱，如果攻擊者能夠訪問您的憑據(jù)，他或她就可以竊聽您的活動和交易，操縱數(shù)據(jù)，返回虛假信息，并把您的客戶端重定向到非法網(wǎng)站。“您的帳戶或服務(wù)在這種情況下，可能會成為攻擊者的新基地。他們可以利用您的名聲發(fā)動后續(xù)的攻擊”。CSA指出，作為一個例子，亞馬遜在2010年所遭受的XSS攻擊，便讓攻擊者劫持到了網(wǎng)站的憑據(jù)。

抵御這種威脅的關(guān)鍵是保護憑據(jù)，防止被盜。“企業(yè)應(yīng)該禁止用戶和服務(wù)之間的共享帳戶憑據(jù)，在可能的情況下，他們應(yīng)該利用強大的雙因素認(rèn)證技術(shù)。”根據(jù)CSA的報告顯示。

列表上的第四大威脅是不安全的接口和API。IT管理員依靠接口進行云配置、管理、協(xié)調(diào)和監(jiān)控。API是一般云服務(wù)的安全性和可用性的組成部分。從那里，企業(yè)和第三方都建立在這些接口上，注入附加服務(wù)。“這就引入了新的分層API的復(fù)雜性，也增加了風(fēng)險，因為企業(yè)可能會被要求放棄他們的憑據(jù)交給第三方組織”，該報告指出。

CSA建議企業(yè)通過使用、管理、協(xié)調(diào)業(yè)務(wù)流程以及云服務(wù)的監(jiān)測了解相關(guān)的安全隱患問題。弱界面和API可能會暴露企業(yè)的保密性、完整性、可用性和問責(zé)制等安全問題。

拒絕服務(wù)被列為第五大云計算安全威脅。DOS成為互聯(lián)網(wǎng)的威脅已多年，但它在云計算時代，當(dāng)企業(yè)依賴于一個或多個服務(wù)全天候24小時的可用性時，變得越來越有麻煩。DOS中斷會消耗服務(wù)供應(yīng)商和客戶的成本，客戶的計費是以計算周期和磁盤空間為基礎(chǔ)的。雖然攻擊者可能無法完全成功淘汰服務(wù)，但他或她“仍可能導(dǎo)致其消耗更多的處理時間，使得運行變得太昂貴。”報告說。

列表上的第六大威脅是惡意的內(nèi)部人員，他們可以是一個現(xiàn)任或前任雇員、承包商或生意伙伴。這些人具有訪問網(wǎng)絡(luò)、系統(tǒng)的權(quán)限，或惡意攻擊數(shù)據(jù)。在云環(huán)境設(shè)計不當(dāng)?shù)那闆r下，內(nèi)部的惡意人員可以造成更大的破壞。從SaaS到IaaS再到PaaS，內(nèi)部惡意的訪問危害關(guān)鍵系統(tǒng)和最終數(shù)據(jù)。在這種情況下，云服務(wù)提供商負(fù)責(zé)的安全風(fēng)險是很大的。“即使是加密的部署，如果客戶密鑰僅適用于數(shù)據(jù)的使用時間，系統(tǒng)仍然容易受到內(nèi)部人員的惡意攻擊。”根據(jù)CSA的報告稱。

第七名是云的濫用，如攻擊者使用云服務(wù)來破解很難在一臺標(biāo)準(zhǔn)的計算機上破解的加密密鑰。另一個例子是惡意黑客使用云服務(wù)器發(fā)動DDoS攻擊，傳播惡意軟件，或共享盜版軟件。云供應(yīng)商的挑戰(zhàn)在于如何定義什么是云的濫用，并確定最佳工藝流程。

列表上的第八大威脅是對于云計算沒有足夠的盡職調(diào)查;即，企業(yè)在沒有充分理解的云環(huán)境和相關(guān)的風(fēng)險的情況下部署了云服務(wù)。例如，部署了云計算可能就供應(yīng)商的合同問題產(chǎn)生超過責(zé)任和透明度。更重要的是，如果對于某一個問題的操作，由于云計算技術(shù)的應(yīng)用會導(dǎo)致企業(yè)的開發(fā)團隊不是很熟悉。CSA的基本建議是企業(yè)必須確保他們有足夠的資源，并在部署云計算之前進行深入的細(xì)致的調(diào)查。

最后一點但并非最不重要的，CSA提出共享技術(shù)漏洞是云計算的第九大安全威脅。云服務(wù)供應(yīng)商共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序提供可伸縮的服務(wù)方式。“基礎(chǔ)設(shè)施(如CPU高速緩存、GPU圖形處理器等)底層組件，并不是設(shè)計用于提供給強大的隔離特性為多租戶架構(gòu)(IaaS)、重新部署平臺(PaaS)的，或者多客戶應(yīng)用程序(SaaS)的共享漏洞的威脅存在于所有的交付模式。”根據(jù)該報告稱。

如果一個整體的組成部分被破壞了，比如，一個管理系統(tǒng)、一個共享的平臺組件或應(yīng)用程序——它會暴露整個環(huán)境的一個潛在的妥協(xié)和違約。CSA推薦采用防御性的、深入的戰(zhàn)略，包括計算、存儲、網(wǎng)絡(luò)、應(yīng)用程序和用戶安全執(zhí)法，以及監(jiān)測。