從報告中總結2013年九個云計算的威脅:
1. 數(shù)據泄露
對于企業(yè)��,數(shù)據泄露是一個老生常談的問題��,但云計算加重了這種威脅����,特別是對于一個設計不當?shù)脑品諗?shù)據庫將使攻擊者不僅僅進入一個帳戶,而且會進入與該服務相關的其他帳戶���。
2. 數(shù)據丟失
對于數(shù)據丟失也是經常發(fā)生的,用戶設備被破解����,造成數(shù)據被偷或被刪除。同樣天災(比如颶風桑迪)可能會導致永久性的數(shù)據丟失����,對于云計算而言如果一個企業(yè)的數(shù)據在上傳到云之前就行加密,就能更好地保護加密密鑰或數(shù)據�����。
3. 賬戶或服務信息劫持
黑客通過網絡釣魚或軟件漏洞來劫持用戶信息��。通常根據一個密碼就可以竊取用戶多個服務中的資料��。對于云供應商而言�,如果被盜的密碼可以登陸云端平臺��,那么用戶的數(shù)據將被竊聽���、篡改,甚至重定向用戶的服務到網站���。
4. 不安全的接口和API
云端平臺中的API允許任意數(shù)量的交互應用�,對整體安全來說是一個薄弱的環(huán)節(jié)�����。API通過政策進行控制�����,開發(fā)人員須在質量和安全性設計方面有所變化�,但因為API是跨領域的分層使得問題比較復雜。
5. 拒絕提供服務
通過對用戶阻止訪問資源和數(shù)據�,并造成延遲成為破壞云服務的一個攻擊方法,可能意味著在線服務的����。其他形式的攻擊,非對稱應用級DoS攻擊���,直接利用弱點將Web服務器�����、數(shù)據庫和其他云資源作為攻擊目標����。
6. 內部人員惡意破壞
數(shù)據的丟失,有一定程度上是內部人員惡意破壞造成的�����。盡管這種情況對于企業(yè)而言不一定發(fā)生����,但當一旦造成破壞的傷害就會很大����。CSA表示,完全依賴于云服務提供商的安全系統(tǒng)是云端最大的風險��。
7. 云服務的濫用
作為大眾化的云服務����,可向任何人提供計算資源���,但并不考慮使用者的目的,很可能是通過尋求資源����,以破解用戶的加密信息、發(fā)動拒絕服務攻擊���、服務器的惡意軟件的黑客�。
8. 不充分的審查
云計算的好處對于企業(yè)用戶是顯而易見���,比如降低成本�����、提高效率�����、更好的安全性等���,但遷移到云計算的風險中需要有足夠的風險評估,特別對不了解云服務環(huán)境、應用程序或服務被推到云中����、營運責任(比如事件響應、加密���、安全監(jiān)控等)都會對企業(yè)產生未知的風險����。
9. 共享技術漏洞
所有的交付模型全面展示出共享基礎設施�、平臺和應用程序所帶來的特點。CSA強調深入安全保護策略�,包括計算、存儲����、網絡�、應用程序和用戶安全執(zhí)行,以及對IaaS���、PaaS和SaaS的監(jiān)測�。
