從報告中總結(jié)2013年九個云計算的威脅:
1. 數(shù)據(jù)泄露
對于企業(yè)��,數(shù)據(jù)泄露是一個老生常談的問題�����,但云計算加重了這種威脅,特別是對于一個設(shè)計不當(dāng)?shù)脑品?wù)數(shù)據(jù)庫將使攻擊者不僅僅進(jìn)入一個帳戶��,而且會進(jìn)入與該服務(wù)相關(guān)的其他帳戶����。
2. 數(shù)據(jù)丟失
對于數(shù)據(jù)丟失也是經(jīng)常發(fā)生的,用戶設(shè)備被破解�����,造成數(shù)據(jù)被偷或被刪除�。同樣天災(zāi)(比如颶風(fēng)桑迪)可能會導(dǎo)致永久性的數(shù)據(jù)丟失�,對于云計算而言如果一個企業(yè)的數(shù)據(jù)在上傳到云之前就行加密��,就能更好地保護加密密鑰或數(shù)據(jù)��。
3. 賬戶或服務(wù)信息劫持
黑客通過網(wǎng)絡(luò)釣魚或軟件漏洞來劫持用戶信息���。通常根據(jù)一個密碼就可以竊取用戶多個服務(wù)中的資料�。對于云供應(yīng)商而言����,如果被盜的密碼可以登陸云端平臺,那么用戶的數(shù)據(jù)將被竊聽�、篡改,甚至重定向用戶的服務(wù)到網(wǎng)站���。
4. 不安全的接口和API
云端平臺中的API允許任意數(shù)量的交互應(yīng)用�,對整體安全來說是一個薄弱的環(huán)節(jié)���。API通過政策進(jìn)行控制���,開發(fā)人員須在質(zhì)量和安全性設(shè)計方面有所變化,但因為API是跨領(lǐng)域的分層使得問題比較復(fù)雜。
5. 拒絕提供服務(wù)
通過對用戶阻止訪問資源和數(shù)據(jù)�,并造成延遲成為破壞云服務(wù)的一個攻擊方法,可能意味著在線服務(wù)的��。其他形式的攻擊�,非對稱應(yīng)用級DoS攻擊,直接利用弱點將Web服務(wù)器�����、數(shù)據(jù)庫和其他云資源作為攻擊目標(biāo)���。
6. 內(nèi)部人員惡意破壞
數(shù)據(jù)的丟失����,有一定程度上是內(nèi)部人員惡意破壞造成的�。盡管這種情況對于企業(yè)而言不一定發(fā)生,但當(dāng)一旦造成破壞的傷害就會很大�����。CSA表示��,完全依賴于云服務(wù)提供商的安全系統(tǒng)是云端最大的風(fēng)險��。
7. 云服務(wù)的濫用
作為大眾化的云服務(wù)��,可向任何人提供計算資源���,但并不考慮使用者的目的��,很可能是通過尋求資源�,以破解用戶的加密信息��、發(fā)動拒絕服務(wù)攻擊�、服務(wù)器的惡意軟件的黑客。
8. 不充分的審查
云計算的好處對于企業(yè)用戶是顯而易見����,比如降低成本、提高效率��、更好的安全性等�����,但遷移到云計算的風(fēng)險中需要有足夠的風(fēng)險評估�����,特別對不了解云服務(wù)環(huán)境、應(yīng)用程序或服務(wù)被推到云中�、營運責(zé)任(比如事件響應(yīng)、加密��、安全監(jiān)控等)都會對企業(yè)產(chǎn)生未知的風(fēng)險�。
9. 共享技術(shù)漏洞
所有的交付模型全面展示出共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序所帶來的特點����。CSA強調(diào)深入安全保護策略,包括計算���、存儲��、網(wǎng)絡(luò)�、應(yīng)用程序和用戶安全執(zhí)行��,以及對IaaS����、PaaS和SaaS的監(jiān)測。
