2013年云計(jì)算的九大威脅 數(shù)據(jù)安全成最關(guān)鍵問題

　　云計(jì)算帶來了諸多好處，但云計(jì)算的威脅同樣不能無視，CSA本周就對云領(lǐng)域的威脅進(jìn)行了分析，并將其進(jìn)行了排名。排名 前九的威脅分別是：數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶或服務(wù)流量劫持、不安全的接口和API、拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用、不夠充分的審查、共享技術(shù) 漏洞。

　　云安全聯(lián)盟（CSA）本周對2013年云計(jì)算的一些威脅進(jìn)行了排名。在本次的排名中，前九名分別是：分別是：數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶或服務(wù)流量劫持、不安全的接口和API、拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用、不夠充分的審查、共享技術(shù)漏洞。

　　今年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶劫持。在2010年，前三個(gè)是云服務(wù)的濫用、不安全的接口和API、惡意的內(nèi)部人士。這三個(gè)威脅仍在今年的名單上，但排名分別下跌到第7、4、6位。

　　在RSA大會的年度首腦會議上，CSA發(fā)布了這份由其Top Threats Working Group匯編的排行榜，旨在對企業(yè)和他們的風(fēng)險(xiǎn)管理決策方面提供幫助。

　　CSA 的Top Threats Working Group與聯(lián)盟的行業(yè)專家開展了一項(xiàng)云威脅的調(diào)查，這些行業(yè)專家包括：惠普軟件的高級安全分析師Rafal Los、Voodoo Security的創(chuàng)始人兼首席顧問Dave Shackleford以及微軟的高級安全項(xiàng)目經(jīng)理Bryan Sullivan等。

　　以下是2013年的9個(gè)云計(jì)算的最嚴(yán)重的威脅：

　　1. 數(shù)據(jù)泄露

　　我們都知道，數(shù)據(jù)泄露像一個(gè)討厭的老相識，但云計(jì)算加重了這種威脅。一個(gè)設(shè)計(jì)不當(dāng)?shù)亩嘧鈶粼品?wù)數(shù)據(jù)庫將使攻擊者不僅僅進(jìn)入一個(gè)帳戶，而且會進(jìn)入每一個(gè)與該服務(wù)相關(guān)的其他帳戶。

　　2. 數(shù)據(jù)丟失

　　這是經(jīng)常發(fā)生的故事，你的設(shè)備被破解，造成數(shù)據(jù)被偷或被刪除。意外刪除或天災(zāi)（比如颶風(fēng)桑迪）都可能會導(dǎo)致永久性的數(shù)據(jù)丟失，除非供應(yīng)商提供備份。同樣，如果一個(gè)企業(yè)的數(shù)據(jù)在上傳到云之前就行加密，他們就能更好地保護(hù)加密密鑰或數(shù)據(jù)。

　　3. 賬戶或服務(wù)流量劫持

　　黑 客通過網(wǎng)絡(luò)釣魚、欺詐或利用軟件漏洞來劫持無辜的用戶。通常黑客根據(jù)一個(gè)密碼就可以竊取用戶多個(gè)服務(wù)中的資料，因?yàn)橛脩舨粫槊總€(gè)服務(wù)設(shè)立一個(gè)不一樣的密 碼。對于供應(yīng)商，如果被盜的密碼可以登陸云，那么用戶的數(shù)據(jù)將被竊聽、篡改，黑客將向用戶返回虛假信息，或重定向用戶的服務(wù)到欺詐網(wǎng)站。不僅對用戶自身造 成損失，還將對供應(yīng)商的聲譽(yù)造成影響。

　　4. 不安全的接口和API

　　云中的API允許任意數(shù)量的交互——配置、管理和監(jiān)控等，他們對整體安全來說是一個(gè)薄弱的環(huán)節(jié)。API通過政策進(jìn)行控制，開發(fā)人員必須在質(zhì)量和安全性方面注意設(shè)計(jì)，這是無法避免的。這個(gè)問題變得更復(fù)雜，因?yàn)锳PI是跨領(lǐng)域的分層。

　　5. 拒絕服務(wù)

　　剝奪用戶訪問他們的資源和數(shù)據(jù)，并造成延遲是破壞一個(gè)云服務(wù)的一個(gè)攻擊方法，可能意味著在線服務(wù)的死亡。其他形式的攻擊，如非對稱應(yīng)用級的DoS攻擊，在不消耗大量的資源的情況下就可利用弱點(diǎn)將Web服務(wù)器、數(shù)據(jù)庫和其他云資源作為目標(biāo)。

　　6. 惡意的內(nèi)部人員

　　惡意的內(nèi)部人員風(fēng)險(xiǎn)是每個(gè)組織必須考慮的方面。這種情況不一定發(fā)生，但當(dāng)它發(fā)生時(shí)，它造成的傷害就會很大。CSA表示，完全依賴于云服務(wù)提供商的安全系統(tǒng)，是最大的風(fēng)險(xiǎn)。

　　7. 云服務(wù)的濫用

　　云服務(wù)的大眾化，導(dǎo)致它可向任何人提供計(jì)算資源，不管那些人的目的是什么，即便他們正是那些尋求資源，以破解你的加密信息、發(fā)動拒絕服務(wù)攻擊、服務(wù)服務(wù)器的惡意軟件或散布盜版軟件的人。

　　8. 不夠充分的審查

　　云計(jì)算的好處聽起來有很多，比如降低成本、提高效率、更好的安全性等，但遷移到云計(jì)算的風(fēng)險(xiǎn)是沒有足夠的評估風(fēng)險(xiǎn)。不了解云服務(wù)環(huán)境、應(yīng)用程序或服務(wù)被推到云中、營運(yùn)責(zé)任（比如事件響應(yīng)、加密、安全監(jiān)控等），這些都會對企業(yè)產(chǎn)生未知的風(fēng)險(xiǎn)。

　　9. 共享技術(shù)漏洞

　　所有的交付模型展示了共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序所帶來的特點(diǎn)。一個(gè)防守深入策略由CSA提出，包括計(jì)算、存儲、網(wǎng)絡(luò)、應(yīng)用程序和用戶安全執(zhí)行，以及對IaaS、PaaS和SaaS的監(jiān)測。一個(gè)故障可以波及整個(gè)服務(wù)提供商的云。