IaaS的數(shù)據(jù)安全風(fēng)險對企業(yè)遷移到云來說是一個長期存在的問題，然而有一些特定的問題需要我們時刻留意。

把數(shù)據(jù)、系統(tǒng)和應(yīng)用放到云環(huán)境中的風(fēng)險已經(jīng)是眾所周知的事情。現(xiàn)今像云安全聯(lián)盟(CSA)這樣的組織一直描述各種云部署模型中存在的風(fēng)險，并在2015年5月發(fā)表題為“IaaS云存在的錯誤可能讓你的數(shù)據(jù)處于危險之中”的文章，Symantec描述了一些可能對基礎(chǔ)設(shè)施及服務(wù)(IaaS)云服務(wù)的客戶產(chǎn)成風(fēng)險的主要領(lǐng)域。在一次采訪中，亞馬遜Web服務(wù)的資深安全項目經(jīng)理Bill Murray表示關(guān)于云安全最大的擔(dān)憂是，客戶沒有把基本的安全最佳實踐應(yīng)用到他們部署和管理的IaaS資產(chǎn)中。這與Symantec的研究結(jié)果相一致，該結(jié)果發(fā)現(xiàn)16000個已經(jīng)發(fā)現(xiàn)的云域中有0.3%的域文件夾結(jié)構(gòu)很容易被猜到，其不僅可以被訪問，而且還導(dǎo)致11000個文件，包含如信用卡交易、用戶名和密碼、電子郵件地址的敏感數(shù)據(jù)對任何人都可讀。研究人員還發(fā)現(xiàn)了一些泄露的可訪問的密碼憑證，其中有些被硬編碼到應(yīng)用程序中。

Symantec在云安全研究中發(fā)現(xiàn)的首要問題包括接口API、共享資源、數(shù)據(jù)泄露、惡意的內(nèi)部人員和錯誤配置的問題。所有這些都和CSA的報告“臭名昭著的九條：2013年云計算主要威脅”所描述的問題一致。Symantec在研究中發(fā)現(xiàn)了這些數(shù)據(jù)安全風(fēng)險的具體事例，不過，在組織實施和評估云服務(wù)的今天，應(yīng)該提供一些“發(fā)人深思的東西”。

提防不安全的API

Symantec報告的一個核心主題是，許多最嚴(yán)重的IaaS風(fēng)險很大程度是由于云管理員對操作系統(tǒng)，應(yīng)用程序和云管理界面的錯誤配置或缺乏安全控制。列出的第一個主要風(fēng)險是缺乏安全的API，這些API是由云提供商提供以允許用戶與他們的服務(wù)以及服務(wù)管理更無縫的集成。盡管提供商負(fù)責(zé)提供安全的API和補(bǔ)丁，客戶應(yīng)該自己對這些API進(jìn)行評估，包括支持的傳輸方法以及什么樣的數(shù)據(jù)在與供應(yīng)商的交互過程中被來回發(fā)送。API或應(yīng)用程序的更新很容易導(dǎo)致兼容性問題，甚至也可能引發(fā)數(shù)據(jù)泄露的場景，因此客戶應(yīng)該定期測試他們的程序和API交互的部分。

云提供商的責(zé)任

當(dāng)然云用戶本身無法完全減輕內(nèi)部人員威脅，云提供商必須監(jiān)控所有的活動和實現(xiàn)可靠的職責(zé)和權(quán)限管理流程控制的分離。該報告明確提到將加密密鑰存儲到云里，那里惡意的內(nèi)部人員有可能訪問到這些密鑰。虛擬化管理程序的漏洞也存在同樣的問題--用戶無法查看虛擬機(jī)管理程序的配置或控制，因此供應(yīng)商將需要對虛擬化平臺和工具相關(guān)的補(bǔ)丁和新缺陷更加細(xì)心。大多數(shù)云供應(yīng)商也有對分布式DDoS攻擊的強(qiáng)力控制，以及對數(shù)據(jù)丟失的控制。但是，用戶沒有對云帳戶口令的訪問控制權(quán)或無法監(jiān)控IaaS日志來查看非法活動或者帳戶使用的情況。攻擊者正在黑市上以每個7到8美元的價格販?zhǔn)墼品?wù)帳戶。

防御IaaS攻擊

Symantec的報告中描述了各種不同的針對IaaS環(huán)境的攻擊，包括存儲枚舉，泄露的訪問令牌等。建議云客戶要在選定IaaS前徹底調(diào)研云服務(wù)提供商的安全控制和服務(wù)水平協(xié)議?？蛻魬?yīng)盡可能利用多因素身份驗證，對數(shù)據(jù)進(jìn)行加密以減少內(nèi)部威脅，維護(hù)密鑰的控制權(quán)，并開始比以往任何時候都更關(guān)注在云環(huán)境中的可用日志。定期掃描基于云的系統(tǒng)漏洞也是一個最佳做法。