從報(bào)告中總結(jié)2013年九個(gè)云計(jì)算的威脅:
1. 數(shù)據(jù)泄露
對(duì)于企業(yè)�����,數(shù)據(jù)泄露是一個(gè)老生常談的問(wèn)題,但云計(jì)算加重了這種威脅�,特別是對(duì)于一個(gè)設(shè)計(jì)不當(dāng)?shù)脑品?wù)數(shù)據(jù)庫(kù)將使攻擊者不僅僅進(jìn)入一個(gè)帳戶,而且會(huì)進(jìn)入與該服務(wù)相關(guān)的其他帳戶����。
2. 數(shù)據(jù)丟失
對(duì)于數(shù)據(jù)丟失也是經(jīng)常發(fā)生的,用戶設(shè)備被破解��,造成數(shù)據(jù)被偷或被刪除�����。同樣天災(zāi)(比如颶風(fēng)桑迪)可能會(huì)導(dǎo)致永久性的數(shù)據(jù)丟失,對(duì)于云計(jì)算而言如果一個(gè)企業(yè)的數(shù)據(jù)在上傳到云之前就行加密�����,就能更好地保護(hù)加密密鑰或數(shù)據(jù)���。
3. 賬戶或服務(wù)信息劫持
黑客通過(guò)網(wǎng)絡(luò)釣魚或軟件漏洞來(lái)劫持用戶信息���。通常根據(jù)一個(gè)密碼就可以竊取用戶多個(gè)服務(wù)中的資料。對(duì)于云供應(yīng)商而言����,如果被盜的密碼可以登陸云端平臺(tái),那么用戶的數(shù)據(jù)將被竊聽���、篡改��,甚至重定向用戶的服務(wù)到網(wǎng)站����。
4. 不安全的接口和API
云端平臺(tái)中的API允許任意數(shù)量的交互應(yīng)用�,對(duì)整體安全來(lái)說(shuō)是一個(gè)薄弱的環(huán)節(jié)。API通過(guò)政策進(jìn)行控制���,開發(fā)人員須在質(zhì)量和安全性設(shè)計(jì)方面有所變化��,但因?yàn)锳PI是跨領(lǐng)域的分層使得問(wèn)題比較復(fù)雜�。
5. 拒絕提供服務(wù)
通過(guò)對(duì)用戶阻止訪問(wèn)資源和數(shù)據(jù),并造成延遲成為破壞云服務(wù)的一個(gè)攻擊方法���,可能意味著在線服務(wù)的�����。其他形式的攻擊���,非對(duì)稱應(yīng)用級(jí)DoS攻擊,直接利用弱點(diǎn)將Web服務(wù)器�����、數(shù)據(jù)庫(kù)和其他云資源作為攻擊目標(biāo)�。
6. 內(nèi)部人員惡意破壞
數(shù)據(jù)的丟失�����,有一定程度上是內(nèi)部人員惡意破壞造成的����。盡管這種情況對(duì)于企業(yè)而言不一定發(fā)生����,但當(dāng)一旦造成破壞的傷害就會(huì)很大�����。CSA表示��,完全依賴于云服務(wù)提供商的安全系統(tǒng)是云端最大的風(fēng)險(xiǎn)���。
7. 云服務(wù)的濫用
作為大眾化的云服務(wù)�����,可向任何人提供計(jì)算資源��,但并不考慮使用者的目的��,很可能是通過(guò)尋求資源����,以破解用戶的加密信息����、發(fā)動(dòng)拒絕服務(wù)攻擊���、服務(wù)器的惡意軟件的黑客。
8. 不充分的審查
云計(jì)算的好處對(duì)于企業(yè)用戶是顯而易見�����,比如降低成本�、提高效率、更好的安全性等��,但遷移到云計(jì)算的風(fēng)險(xiǎn)中需要有足夠的風(fēng)險(xiǎn)評(píng)估���,特別對(duì)不了解云服務(wù)環(huán)境���、應(yīng)用程序或服務(wù)被推到云中、營(yíng)運(yùn)責(zé)任(比如事件響應(yīng)���、加密、安全監(jiān)控等)都會(huì)對(duì)企業(yè)產(chǎn)生未知的風(fēng)險(xiǎn)�����。
9. 共享技術(shù)漏洞
所有的交付模型全面展示出共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用程序所帶來(lái)的特點(diǎn)���。CSA強(qiáng)調(diào)深入安全保護(hù)策略���,包括計(jì)算、存儲(chǔ)��、網(wǎng)絡(luò)���、應(yīng)用程序和用戶安全執(zhí)行��,以及對(duì)IaaS�、PaaS和SaaS的監(jiān)測(cè)���。
