云計算安全一直成為業(yè)界關注焦點�,近日從CSA報告中對云領域的威脅進行了分析�,并對2013年云計算的一些威脅進行了排名。
從報告中可以看到����,2013年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶劫持�����。在2010年�����,云計算中前三個是云服務的濫用��、不安全接口和API��、內部人員惡意破壞���。這三個威脅仍在今年的名單上�,但排名分別下跌到第7����、4、6位�����。
從報告中總結2013年九個云計算的威脅:
1. 數(shù)據(jù)泄露
對于企業(yè)��,數(shù)據(jù)泄露是一個老生常談的問題���,但云計算加重了這種威脅�,特別是對于一個設計不當?shù)脑品⻊諗?shù)據(jù)庫將使攻擊者不僅僅進入一個帳戶,而且會進入與該服務相關的其他帳戶�����。
2. 數(shù)據(jù)丟失
對于數(shù)據(jù)丟失也是經常發(fā)生的�����,用戶設備被破解��,造成數(shù)據(jù)被偷或被刪除�����。同樣天災(比如颶風桑迪)可能會導致永久性的數(shù)據(jù)丟失�����,對于云計算而言如果一個企業(yè)的數(shù)據(jù)在上傳到云之前就行加密����,就能更好地保護加密密鑰或數(shù)據(jù)。
3. 賬戶或服務信息劫持
黑客通過網絡釣魚或軟件漏洞來劫持用戶信息���。通常根據(jù)一個密碼就可以竊取用戶多個服務中的資料��。對于云供應商而言�,如果被盜的密碼可以登陸云端平臺,那么用戶的數(shù)據(jù)將被竊聽��、篡改���,甚至重定向用戶的服務到網站。
4. 不安全的接口和API
云端平臺中的API允許任意數(shù)量的交互應用���,對整體安全來說是一個薄弱的環(huán)節(jié)���。API通過政策進行控制,開發(fā)人員須在質量和安全性設計方面有所變化�,但因為API是跨領域的分層使得問題比較復雜。
5. 拒絕提供服務
通過對用戶阻止訪問資源和數(shù)據(jù)���,并造成延遲成為破壞云服務的一個攻擊方法��,可能意味著在線服務的��。其他形式的攻擊�,非對稱應用級DoS攻擊,直接利用弱點將Web服務器����、數(shù)據(jù)庫和其他云資源作為攻擊目標。
6. 內部人員惡意破壞
數(shù)據(jù)的丟失��,有一定程度上是內部人員惡意破壞造成的���。盡管這種情況對于企業(yè)而言不一定發(fā)生��,但當一旦造成破壞的傷害就會很大�。CSA表示����,完全依賴于云服務提供商的安全系統(tǒng)是云端最大的風險。
7. 云服務的濫用
作為大眾化的云服務���,可向任何人提供計算資源�,但并不考慮使用者的目的�,很可能是通過尋求資源,以破解用戶的加密信息���、發(fā)動拒絕服務攻擊�、服務器的惡意軟件的黑客。
8. 不充分的審查
云計算的好處對于企業(yè)用戶是顯而易見��,比如降低成本���、提高效率�����、更好的安全性等���,但遷移到云計算的風險中需要有足夠的風險評估���,特別對不了解云服務環(huán)境����、應用程序或服務被推到云中�、營運責任(比如事件響應、加密�����、安全監(jiān)控等)都會對企業(yè)產生未知的風險�����。
9. 共享技術漏洞
所有的交付模型全面展示出共享基礎設施、平臺和應用程序所帶來的特點�����。CSA強調深入安全保護策略�����,包括計算����、存儲、網絡��、應用程序和用戶安全執(zhí)行����,以及對IaaS、PaaS和SaaS的監(jiān)測�����。
