2013年云計(jì)算的九大威脅 數(shù)據(jù)安全成最關(guān)鍵問(wèn)題
云計(jì)算帶來(lái)了諸多好處,但云計(jì)算的威脅同樣不能無(wú)視,CSA本周就對(duì)云領(lǐng)域的威脅進(jìn)行了分析,并將其進(jìn)行了排名。排名 前九的威脅分別是:數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶(hù)或服務(wù)流量劫持、不安全的接口和API、拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用、不夠充分的審查、共享技術(shù) 漏洞。
云安全聯(lián)盟(CSA)本周對(duì)2013年云計(jì)算的一些威脅進(jìn)行了排名。在本次的排名中,前九名分別是:分別是:數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶(hù)或服務(wù)流量劫持、不安全的接口和API、拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用、不夠充分的審查、共享技術(shù)漏洞。
今年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶(hù)劫持。在2010年,前三個(gè)是云服務(wù)的濫用、不安全的接口和API、惡意的內(nèi)部人士。這三個(gè)威脅仍在今年的名單上,但排名分別下跌到第7、4、6位。
在RSA大會(huì)的年度首腦會(huì)議上,CSA發(fā)布了這份由其Top Threats Working Group匯編的排行榜,旨在對(duì)企業(yè)和他們的風(fēng)險(xiǎn)管理決策方面提供幫助。
CSA 的Top Threats Working Group與聯(lián)盟的行業(yè)專(zhuān)家開(kāi)展了一項(xiàng)云威脅的調(diào)查,這些行業(yè)專(zhuān)家包括:惠普軟件的高級(jí)安全分析師Rafal Los、Voodoo Security的創(chuàng)始人兼首席顧問(wèn)Dave Shackleford以及微軟的高級(jí)安全項(xiàng)目經(jīng)理Bryan Sullivan等。
以下是2013年的9個(gè)云計(jì)算的最嚴(yán)重的威脅:
1. 數(shù)據(jù)泄露
我們都知道,數(shù)據(jù)泄露像一個(gè)討厭的老相識(shí),但云計(jì)算加重了這種威脅。一個(gè)設(shè)計(jì)不當(dāng)?shù)亩嘧鈶?hù)云服務(wù)數(shù)據(jù)庫(kù)將使攻擊者不僅僅進(jìn)入一個(gè)帳戶(hù),而且會(huì)進(jìn)入每一個(gè)與該服務(wù)相關(guān)的其他帳戶(hù)。
2. 數(shù)據(jù)丟失
這是經(jīng)常發(fā)生的故事,你的設(shè)備被破解,造成數(shù)據(jù)被偷或被刪除。意外刪除或天災(zāi)(比如颶風(fēng)桑迪)都可能會(huì)導(dǎo)致永久性的數(shù)據(jù)丟失,除非供應(yīng)商提供備份。同樣,如果一個(gè)企業(yè)的數(shù)據(jù)在上傳到云之前就行加密,他們就能更好地保護(hù)加密密鑰或數(shù)據(jù)。
3. 賬戶(hù)或服務(wù)流量劫持
黑 客通過(guò)網(wǎng)絡(luò)釣魚(yú)、欺詐或利用軟件漏洞來(lái)劫持無(wú)辜的用戶(hù)。通常黑客根據(jù)一個(gè)密碼就可以竊取用戶(hù)多個(gè)服務(wù)中的資料,因?yàn)橛脩?hù)不會(huì)為每個(gè)服務(wù)設(shè)立一個(gè)不一樣的密 碼。對(duì)于供應(yīng)商,如果被盜的密碼可以登陸云,那么用戶(hù)的數(shù)據(jù)將被竊聽(tīng)、篡改,黑客將向用戶(hù)返回虛假信息,或重定向用戶(hù)的服務(wù)到欺詐網(wǎng)站。不僅對(duì)用戶(hù)自身造 成損失,還將對(duì)供應(yīng)商的聲譽(yù)造成影響。
4. 不安全的接口和API
云中的API允許任意數(shù)量的交互——配置、管理和監(jiān)控等,他們對(duì)整體安全來(lái)說(shuō)是一個(gè)薄弱的環(huán)節(jié)。API通過(guò)政策進(jìn)行控制,開(kāi)發(fā)人員必須在質(zhì)量和安全性方面注意設(shè)計(jì),這是無(wú)法避免的。這個(gè)問(wèn)題變得更復(fù)雜,因?yàn)锳PI是跨領(lǐng)域的分層。
5. 拒絕服務(wù)
剝奪用戶(hù)訪問(wèn)他們的資源和數(shù)據(jù),并造成延遲是破壞一個(gè)云服務(wù)的一個(gè)攻擊方法,可能意味著在線服務(wù)的死亡。其他形式的攻擊,如非對(duì)稱(chēng)應(yīng)用級(jí)的DoS攻擊,在不消耗大量的資源的情況下就可利用弱點(diǎn)將Web服務(wù)器、數(shù)據(jù)庫(kù)和其他云資源作為目標(biāo)。
6. 惡意的內(nèi)部人員
惡意的內(nèi)部人員風(fēng)險(xiǎn)是每個(gè)組織必須考慮的方面。這種情況不一定發(fā)生,但當(dāng)它發(fā)生時(shí),它造成的傷害就會(huì)很大。CSA表示,完全依賴(lài)于云服務(wù)提供商的安全系統(tǒng),是最大的風(fēng)險(xiǎn)。
7. 云服務(wù)的濫用
云服務(wù)的大眾化,導(dǎo)致它可向任何人提供計(jì)算資源,不管那些人的目的是什么,即便他們正是那些尋求資源,以破解你的加密信息、發(fā)動(dòng)拒絕服務(wù)攻擊、服務(wù)服務(wù)器的惡意軟件或散布盜版軟件的人。
8. 不夠充分的審查
云計(jì)算的好處聽(tīng)起來(lái)有很多,比如降低成本、提高效率、更好的安全性等,但遷移到云計(jì)算的風(fēng)險(xiǎn)是沒(méi)有足夠的評(píng)估風(fēng)險(xiǎn)。不了解云服務(wù)環(huán)境、應(yīng)用程序或服務(wù)被推到云中、營(yíng)運(yùn)責(zé)任(比如事件響應(yīng)、加密、安全監(jiān)控等),這些都會(huì)對(duì)企業(yè)產(chǎn)生未知的風(fēng)險(xiǎn)。
9. 共享技術(shù)漏洞
所有的交付模型展示了共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用程序所帶來(lái)的特點(diǎn)。一個(gè)防守深入策略由CSA提出,包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用程序和用戶(hù)安全執(zhí)行,以及對(duì)IaaS、PaaS和SaaS的監(jiān)測(cè)。一個(gè)故障可以波及整個(gè)服務(wù)提供商的云。