云計算安全一直成為業(yè)界關注焦點，近日從CSA報告(點擊下載)中對云領域的威脅進行了分析，并對2013年云計算的一些威脅進行了排名。

從報告中可以看到，2013年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶劫持。在2010年，云計算中前三個是云服務的濫用、不安全接口和API、內部人員惡意破壞。這三個威脅仍在今年的名單上，但排名分別下跌到第7、4、6位。

從報告中總結2013年九個云計算的威脅：

1. 數(shù)據(jù)泄露

對于企業(yè)，數(shù)據(jù)泄露是一個老生常談的問題，但云計算加重了這種威脅，特別是對于一個設計不當?shù)脑品諗?shù)據(jù)庫將使攻擊者不僅僅進入一個帳戶，而且會進入與該服務相關的其他帳戶。

2. 數(shù)據(jù)丟失

對于數(shù)據(jù)丟失也是經(jīng)常發(fā)生的，用戶設備被破解，造成數(shù)據(jù)被偷或被刪除。同樣天災(比如颶風桑迪)可能會導致永久性的數(shù)據(jù)丟失，對于云計算而言如果一個企業(yè)的數(shù)據(jù)在上傳到云之前就行加密，就能更好地保護加密密鑰或數(shù)據(jù)。

3. 賬戶或服務信息劫持

黑客通過網(wǎng)絡釣魚或軟件漏洞來劫持用戶信息。通常根據(jù)一個密碼就可以竊取用戶多個服務中的資料。對于云供應商而言，如果被盜的密碼可以登陸云端平臺，那么用戶的數(shù)據(jù)將被竊聽、篡改，甚至重定向用戶的服務到網(wǎng)站。

4. 不安全的接口和API

云端平臺中的API允許任意數(shù)量的交互應用，對整體安全來說是一個薄弱的環(huán)節(jié)。API通過政策進行控制，開發(fā)人員須在質量和安全性設計方面有所變化，但因為API是跨領域的分層使得問題比較復雜。

5. 拒絕提供服務

通過對用戶阻止訪問資源和數(shù)據(jù)，并造成延遲成為破壞云服務的一個攻擊方法，可能意味著在線服務的。其他形式的攻擊，非對稱應用級DoS攻擊，直接利用弱點將Web服務器、數(shù)據(jù)庫和其他云資源作為攻擊目標。

6. 內部人員惡意破壞

數(shù)據(jù)的丟失，有一定程度上是內部人員惡意破壞造成的。盡管這種情況對于企業(yè)而言不一定發(fā)生，但當一旦造成破壞的傷害就會很大。CSA表示，完全依賴于云服務提供商的安全系統(tǒng)是云端最大的風險。

7. 云服務的濫用

作為大眾化的云服務，可向任何人提供計算資源，但并不考慮使用者的目的，很可能是通過尋求資源，以破解用戶的加密信息、發(fā)動拒絕服務攻擊、服務器的惡意軟件的黑客。

8. 不充分的審查

云計算的好處對于企業(yè)用戶是顯而易見，比如降低成本、提高效率、更好的安全性等，但遷移到云計算的風險中需要有足夠的風險評估，特別對不了解云服務環(huán)境、應用程序或服務被推到云中、營運責任(比如事件響應、加密、安全監(jiān)控等)都會對企業(yè)產(chǎn)生未知的風險。

9. 共享技術漏洞

所有的交付模型全面展示出共享基礎設施、平臺和應用程序所帶來的特點。CSA強調深入安全保護策略，包括計算、存儲、網(wǎng)絡、應用程序和用戶安全執(zhí)行，以及對IaaS、PaaS和SaaS的監(jiān)測。