今年，在舊金山舉行的2013年RSA大會(huì)上，供應(yīng)商們所展示的各種各樣的產(chǎn)品和服務(wù)，使得加強(qiáng)IT控制、以及云計(jì)算所帶來(lái)秩序混亂，再一次成為媒體鎂光燈的焦點(diǎn)。但是，其實(shí)，企業(yè)最為重要的第一步應(yīng)該是要準(zhǔn)確地確定云計(jì)算最大的相關(guān)威脅在何處。

為此，CSA(云安全聯(lián)盟)已經(jīng)確定了“2013年云計(jì)算的九大威脅”。該報(bào)告反映了CSA所調(diào)查的業(yè)內(nèi)專家們的共識(shí)，側(cè)重于涉及到的共享的具體威脅，以及云計(jì)算按需部署的本質(zhì)。

在這份云安全的九大威脅的名單上的頭號(hào)威脅便是數(shù)據(jù)破壞。為了說(shuō)明這種威脅的潛在規(guī)模，CSA指出，去年11月的一篇研究論文即描述了虛擬機(jī)如何使用側(cè)信道的定時(shí)信息提取在同一服務(wù)器上的其他虛擬機(jī)的私鑰。一個(gè)惡意黑客不一定需要竭盡全力，就可以輕易獲取。如果多租戶云服務(wù)數(shù)據(jù)庫(kù)設(shè)計(jì)不當(dāng)，一個(gè)客戶端應(yīng)用程序的一個(gè)單一的缺陷就可能使得攻擊者竊取的不僅是客戶端的數(shù)據(jù)，還包括每一個(gè)客戶的數(shù)據(jù)。

根據(jù)該報(bào)告，應(yīng)對(duì)數(shù)據(jù)丟失和數(shù)據(jù)泄漏這一威脅的所面臨的挑戰(zhàn)的措施包括：您可以加密您的數(shù)據(jù)，以減輕可能會(huì)加劇的影響，但如果您失去了您的加密密鑰，您將失去您的數(shù)據(jù)。然而，如果您選擇保持脫機(jī)備份您的數(shù)據(jù)，以減少數(shù)據(jù)丟失，也會(huì)增加您數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

根據(jù)CSA的報(bào)告稱，第二大威脅是在云計(jì)算環(huán)境中的數(shù)據(jù)丟失。惡意的黑客可能會(huì)刪除目標(biāo)的數(shù)據(jù)泄憤。但是，您也可能會(huì)因?yàn)樵品?wù)供應(yīng)商的一個(gè)不小心或?yàn)?zāi)難，如火災(zāi)、洪水或地震而失去您的數(shù)據(jù)。雪上加霜的狀況是，加密您的數(shù)據(jù)以抵御盜竊，但如果您失去了您的加密密鑰，可能會(huì)適得其反。

該報(bào)告指出，數(shù)據(jù)丟失不僅會(huì)影響客戶關(guān)系。如果您企業(yè)所在地的法律規(guī)定特定的數(shù)據(jù)存儲(chǔ)(如HIPAA法案)，您還可能因此必須接受聯(lián)邦調(diào)查局的調(diào)查。

云計(jì)算安全的第大的風(fēng)險(xiǎn)是賬戶或業(yè)務(wù)流量被劫持。根據(jù)CSA的報(bào)告稱，如果攻擊者能夠訪問(wèn)您的憑據(jù)，他或她就可以竊聽(tīng)您的活動(dòng)和交易，操縱數(shù)據(jù)，返回虛假信息，并把您的客戶端重定向到非法網(wǎng)站。“您的帳戶或服務(wù)在這種情況下，可能會(huì)成為攻擊者的新基地。他們可以利用您的名聲發(fā)動(dòng)后續(xù)的攻擊”。CSA指出，作為一個(gè)例子，亞馬遜在2010年所遭受的XSS攻擊，便讓攻擊者劫持到了網(wǎng)站的憑據(jù)。

抵御這種威脅的關(guān)鍵是保護(hù)憑據(jù)，防止被盜。“企業(yè)應(yīng)該禁止用戶和服務(wù)之間的共享帳戶憑據(jù)，在可能的情況下，他們應(yīng)該利用強(qiáng)大的雙因素認(rèn)證技術(shù)。”根據(jù)CSA的報(bào)告顯示。

列表上的第四大威脅是不安全的接口和API。IT管理員依靠接口進(jìn)行云配置、管理、協(xié)調(diào)和監(jiān)控。API是一般云服務(wù)的安全性和可用性的組成部分。從那里，企業(yè)和第三方都建立在這些接口上，注入附加服務(wù)。“這就引入了新的分層API的復(fù)雜性，也增加了風(fēng)險(xiǎn)，因?yàn)槠髽I(yè)可能會(huì)被要求放棄他們的憑據(jù)交給第三方組織”，該報(bào)告指出。

CSA建議企業(yè)通過(guò)使用、管理、協(xié)調(diào)業(yè)務(wù)流程以及云服務(wù)的監(jiān)測(cè)了解相關(guān)的安全隱患問(wèn)題。弱界面和API可能會(huì)暴露企業(yè)的保密性、完整性、可用性和問(wèn)責(zé)制等安全問(wèn)題。

拒絕服務(wù)被列為第五大云計(jì)算安全威脅。DOS成為互聯(lián)網(wǎng)的威脅已多年，但它在云計(jì)算時(shí)代，當(dāng)企業(yè)依賴于一個(gè)或多個(gè)服務(wù)全天候24小時(shí)的可用性時(shí)，變得越來(lái)越有麻煩。DOS中斷會(huì)消耗服務(wù)供應(yīng)商和客戶的成本，客戶的計(jì)費(fèi)是以計(jì)算周期和磁盤空間為基礎(chǔ)的。雖然攻擊者可能無(wú)法完全成功淘汰服務(wù)，但他或她“仍可能導(dǎo)致其消耗更多的處理時(shí)間，使得運(yùn)行變得太昂貴。”報(bào)告說(shuō)。

列表上的第六大威脅是惡意的內(nèi)部人員，他們可以是一個(gè)現(xiàn)任或前任雇員、承包商或生意伙伴。這些人具有訪問(wèn)網(wǎng)絡(luò)、系統(tǒng)的權(quán)限，或惡意攻擊數(shù)據(jù)。在云環(huán)境設(shè)計(jì)不當(dāng)?shù)那闆r下，內(nèi)部的惡意人員可以造成更大的破壞。從SaaS到IaaS再到PaaS，內(nèi)部惡意的訪問(wèn)危害關(guān)鍵系統(tǒng)和最終數(shù)據(jù)。在這種情況下，云服務(wù)提供商負(fù)責(zé)的安全風(fēng)險(xiǎn)是很大的。“即使是加密的部署，如果客戶密鑰僅適用于數(shù)據(jù)的使用時(shí)間，系統(tǒng)仍然容易受到內(nèi)部人員的惡意攻擊。”根據(jù)CSA的報(bào)告稱。

第七名是云的濫用，如攻擊者使用云服務(wù)來(lái)破解很難在一臺(tái)標(biāo)準(zhǔn)的計(jì)算機(jī)上破解的加密密鑰。另一個(gè)例子是惡意黑客使用云服務(wù)器發(fā)動(dòng)DDoS攻擊，傳播惡意軟件，或共享盜版軟件。云供應(yīng)商的挑戰(zhàn)在于如何定義什么是云的濫用，并確定最佳工藝流程。

列表上的第八大威脅是對(duì)于云計(jì)算沒(méi)有足夠的盡職調(diào)查;即，企業(yè)在沒(méi)有充分理解的云環(huán)境和相關(guān)的風(fēng)險(xiǎn)的情況下部署了云服務(wù)。例如，部署了云計(jì)算可能就供應(yīng)商的合同問(wèn)題產(chǎn)生超過(guò)責(zé)任和透明度。更重要的是，如果對(duì)于某一個(gè)問(wèn)題的操作，由于云計(jì)算技術(shù)的應(yīng)用會(huì)導(dǎo)致企業(yè)的開(kāi)發(fā)團(tuán)隊(duì)不是很熟悉。CSA的基本建議是企業(yè)必須確保他們有足夠的資源，并在部署云計(jì)算之前進(jìn)行深入的細(xì)致的調(diào)查。

最后一點(diǎn)但并非最不重要的，CSA提出共享技術(shù)漏洞是云計(jì)算的第九大安全威脅。云服務(wù)供應(yīng)商共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用程序提供可伸縮的服務(wù)方式。“基礎(chǔ)設(shè)施(如CPU高速緩存、GPU圖形處理器等)底層組件，并不是設(shè)計(jì)用于提供給強(qiáng)大的隔離特性為多租戶架構(gòu)(IaaS)、重新部署平臺(tái)(PaaS)的，或者多客戶應(yīng)用程序(SaaS)的共享漏洞的威脅存在于所有的交付模式。”根據(jù)該報(bào)告稱。

如果一個(gè)整體的組成部分被破壞了，比如，一個(gè)管理系統(tǒng)、一個(gè)共享的平臺(tái)組件或應(yīng)用程序——它會(huì)暴露整個(gè)環(huán)境的一個(gè)潛在的妥協(xié)和違約。CSA推薦采用防御性的、深入的戰(zhàn)略，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用程序和用戶安全執(zhí)法，以及監(jiān)測(cè)。