2013年云計(jì)算的九大威脅 數(shù)據(jù)安全成最關(guān)鍵問(wèn)題

　　云計(jì)算帶來(lái)了諸多好處，但云計(jì)算的威脅同樣不能無(wú)視，CSA本周就對(duì)云領(lǐng)域的威脅進(jìn)行了分析，并將其進(jìn)行了排名。排名 前九的威脅分別是：數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶(hù)或服務(wù)流量劫持、不安全的接口和API、拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用、不夠充分的審查、共享技術(shù) 漏洞。

　　云安全聯(lián)盟（CSA）本周對(duì)2013年云計(jì)算的一些威脅進(jìn)行了排名。在本次的排名中，前九名分別是：分別是：數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶(hù)或服務(wù)流量劫持、不安全的接口和API、拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用、不夠充分的審查、共享技術(shù)漏洞。

　　今年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶(hù)劫持。在2010年，前三個(gè)是云服務(wù)的濫用、不安全的接口和API、惡意的內(nèi)部人士。這三個(gè)威脅仍在今年的名單上，但排名分別下跌到第7、4、6位。

　　在RSA大會(huì)的年度首腦會(huì)議上，CSA發(fā)布了這份由其Top Threats Working Group匯編的排行榜，旨在對(duì)企業(yè)和他們的風(fēng)險(xiǎn)管理決策方面提供幫助。

　　CSA 的Top Threats Working Group與聯(lián)盟的行業(yè)專(zhuān)家開(kāi)展了一項(xiàng)云威脅的調(diào)查，這些行業(yè)專(zhuān)家包括：惠普軟件的高級(jí)安全分析師Rafal Los、Voodoo Security的創(chuàng)始人兼首席顧問(wèn)Dave Shackleford以及微軟的高級(jí)安全項(xiàng)目經(jīng)理Bryan Sullivan等。

　　以下是2013年的9個(gè)云計(jì)算的最嚴(yán)重的威脅：

　　1. 數(shù)據(jù)泄露

　　我們都知道，數(shù)據(jù)泄露像一個(gè)討厭的老相識(shí)，但云計(jì)算加重了這種威脅。一個(gè)設(shè)計(jì)不當(dāng)?shù)亩嘧鈶?hù)云服務(wù)數(shù)據(jù)庫(kù)將使攻擊者不僅僅進(jìn)入一個(gè)帳戶(hù)，而且會(huì)進(jìn)入每一個(gè)與該服務(wù)相關(guān)的其他帳戶(hù)。

　　2. 數(shù)據(jù)丟失

　　這是經(jīng)常發(fā)生的故事，你的設(shè)備被破解，造成數(shù)據(jù)被偷或被刪除。意外刪除或天災(zāi)（比如颶風(fēng)桑迪）都可能會(huì)導(dǎo)致永久性的數(shù)據(jù)丟失，除非供應(yīng)商提供備份。同樣，如果一個(gè)企業(yè)的數(shù)據(jù)在上傳到云之前就行加密，他們就能更好地保護(hù)加密密鑰或數(shù)據(jù)。

　　3. 賬戶(hù)或服務(wù)流量劫持

　　黑 客通過(guò)網(wǎng)絡(luò)釣魚(yú)、欺詐或利用軟件漏洞來(lái)劫持無(wú)辜的用戶(hù)。通常黑客根據(jù)一個(gè)密碼就可以竊取用戶(hù)多個(gè)服務(wù)中的資料，因?yàn)橛脩?hù)不會(huì)為每個(gè)服務(wù)設(shè)立一個(gè)不一樣的密 碼。對(duì)于供應(yīng)商，如果被盜的密碼可以登陸云，那么用戶(hù)的數(shù)據(jù)將被竊聽(tīng)、篡改，黑客將向用戶(hù)返回虛假信息，或重定向用戶(hù)的服務(wù)到欺詐網(wǎng)站。不僅對(duì)用戶(hù)自身造 成損失，還將對(duì)供應(yīng)商的聲譽(yù)造成影響。

　　4. 不安全的接口和API

　　云中的API允許任意數(shù)量的交互——配置、管理和監(jiān)控等，他們對(duì)整體安全來(lái)說(shuō)是一個(gè)薄弱的環(huán)節(jié)。API通過(guò)政策進(jìn)行控制，開(kāi)發(fā)人員必須在質(zhì)量和安全性方面注意設(shè)計(jì)，這是無(wú)法避免的。這個(gè)問(wèn)題變得更復(fù)雜，因?yàn)锳PI是跨領(lǐng)域的分層。

　　5. 拒絕服務(wù)

　　剝奪用戶(hù)訪問(wèn)他們的資源和數(shù)據(jù)，并造成延遲是破壞一個(gè)云服務(wù)的一個(gè)攻擊方法，可能意味著在線服務(wù)的死亡。其他形式的攻擊，如非對(duì)稱(chēng)應(yīng)用級(jí)的DoS攻擊，在不消耗大量的資源的情況下就可利用弱點(diǎn)將Web服務(wù)器、數(shù)據(jù)庫(kù)和其他云資源作為目標(biāo)。

　　6. 惡意的內(nèi)部人員

　　惡意的內(nèi)部人員風(fēng)險(xiǎn)是每個(gè)組織必須考慮的方面。這種情況不一定發(fā)生，但當(dāng)它發(fā)生時(shí)，它造成的傷害就會(huì)很大。CSA表示，完全依賴(lài)于云服務(wù)提供商的安全系統(tǒng)，是最大的風(fēng)險(xiǎn)。

　　7. 云服務(wù)的濫用

　　云服務(wù)的大眾化，導(dǎo)致它可向任何人提供計(jì)算資源，不管那些人的目的是什么，即便他們正是那些尋求資源，以破解你的加密信息、發(fā)動(dòng)拒絕服務(wù)攻擊、服務(wù)服務(wù)器的惡意軟件或散布盜版軟件的人。

　　8. 不夠充分的審查

　　云計(jì)算的好處聽(tīng)起來(lái)有很多，比如降低成本、提高效率、更好的安全性等，但遷移到云計(jì)算的風(fēng)險(xiǎn)是沒(méi)有足夠的評(píng)估風(fēng)險(xiǎn)。不了解云服務(wù)環(huán)境、應(yīng)用程序或服務(wù)被推到云中、營(yíng)運(yùn)責(zé)任（比如事件響應(yīng)、加密、安全監(jiān)控等），這些都會(huì)對(duì)企業(yè)產(chǎn)生未知的風(fēng)險(xiǎn)。

　　9. 共享技術(shù)漏洞

　　所有的交付模型展示了共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用程序所帶來(lái)的特點(diǎn)。一個(gè)防守深入策略由CSA提出，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用程序和用戶(hù)安全執(zhí)行，以及對(duì)IaaS、PaaS和SaaS的監(jiān)測(cè)。一個(gè)故障可以波及整個(gè)服務(wù)提供商的云。