如今，云計算正在不斷改變組織使用、存儲和共享數據、應用程序以及工作負載的方式。但是與此同時，它也引發(fā)了一系列新的安全威脅和挑戰(zhàn)。隨著越來越多的數據進入云端，尤其是進入公共云服務，這些資源自然而然地就淪為了網絡犯罪分子的目標。

　　公共云的利用率正在快速增長，因此不可避免地將會導致更多的敏感內容置于潛在風險威脅之中。但是，與許多人認為的剛好相反，保護云端中的企業(yè)數據的主要責任不在于云服務提供商，而在于云客戶本身。我們正處在一個云安全過渡期，重點正從供應商轉向客戶。

　　很多企業(yè)開始認識到，花費大量時間來判斷某個特定的云服務提供商是否“安全”，幾乎得不到任何結果，因為主要責任在于使用者自身。

　　為了讓企業(yè)了解云安全問題，以便他們能夠就云采用策略做出明智的決策，云安全聯盟(CSA)近日發(fā)布了最新版本的《12大頂級云安全威脅：行業(yè)見解報告》。

　　這一報告反映了云計算安全聯盟(CSA)安全專家當前就云計算中最重要的安全問題所達成的共識。云計算安全聯盟表示，盡管目前云中存在許多安全問題，但這份報告的重點聚焦在12個涉及云計算的共享和按需特性方面的威脅。

　　為了確定用戶最關心的問題，云計算安全聯盟對行業(yè)專家進行了一次調查，就云計算中最嚴重的安全問題編寫了一些專業(yè)意見及建議。以下是12個最嚴重的云安全問題的具體內容(按照調查結果的嚴重程度排序)：

　　1. 數據泄露

　　云計算安全聯盟表示，數據泄露可能是有針對性攻擊的主要目標，也可能是人為錯誤、應用程序漏洞或安全措施不佳所導致的后果。這可能涉及任何非公開發(fā)布的信息，其中包括個人健康信息、財務信息、個人身份信息(PII)、商業(yè)機密以及知識產權等。由于不同的原因，組織基于云端的數據可能會對不同的組織具有更大的價值。數據泄露的風險并不是云計算所獨有的，但它始終是云計算用戶需要首要考慮的因素。

　　2. 身份、憑證和訪問管理不足

　　云計算安全聯盟表示，惡意行為者會通過偽裝成合法用戶、運營人員或開發(fā)人員來讀取、修改和刪除數據;獲取控制平臺和管理功能;在傳輸數據的過程中進行窺探，或釋放看似來源于合法來源的惡意軟件。因此，身份認證不足、憑證或密鑰管理不善都可能會導致未經授權的數據訪問行為發(fā)生，由此可能對組織或最終用戶造成災難性的損害。

　　3. 不安全的接口和應用程序編程接口(API)

　　云計算安全聯盟表示，云服務提供商會公開一組客戶使用的軟件用戶界面(UI)或API來管理和與云服務進行交互。其配置、管理和監(jiān)控都是通過這些接口來實現執(zhí)行的，一般來說，云服務的安全性和可用性也都取決于API的安全性。它們需要被設計用來防止意外和惡意的繞過安全協議的企圖。

　　4. 系統漏洞

　　系統漏洞是系統程序中存在的可用漏洞，利用這些漏洞，攻擊者能夠滲透進系統，并竊取數據、控制系統或中斷服務操作。云計算安全聯盟表示，操作系統組件中存在的漏洞，使得所有服務和數據的安全性都面臨了重大的安全風險。隨著云端多租戶形式的出現，來自不同組織的系統開始呈現彼此靠近的局面，且允許在同一平臺/云端的用戶都能夠訪問共享內存和資源，這也導致了新的攻擊面的出現，擴大了安全風險。

　　5. 賬戶劫持

　　云計算安全聯盟指出，賬戶或服務劫持并不是什么新鮮事物，但云服務為這一景觀增添了新的威脅。如果攻擊者獲得了對用戶憑證的訪問權限，他們就能夠竊聽用戶的活動和交易行為，操縱數據，返回偽造的信息并將客戶重定向到非法的釣魚站點中。賬戶或服務實例可能成為攻擊者的新基礎。由于憑證被盜，攻擊者經?？梢栽L問云計算服務的關鍵區(qū)域，從而危及這些服務的機密性、完整性以及可用性。

　　6. 惡意的內部人員

　　云計算安全聯盟表示，雖然內部人員造成的威脅程度是存在爭議的，但不可否認的是，內部威脅確實是一種實實在在的威脅。一名懷有惡意企圖的內部人員(如系統管理員)，他們能夠訪問潛在的敏感信息，并且可以越來越多地訪問更重要的系統，并最終訪問到機密數據。僅僅依靠云服務提供商提供安全措施的系統勢必將面臨更大的安全風險。

　　7. 高級持續(xù)性威脅(APT)

　　高級持續(xù)性威脅(APT)是一種寄生式的網絡攻擊形式，它通過滲透到目標公司的IT基礎設施來建立立足點的系統，并從中竊取數據。高級持續(xù)性威脅(APT)通常能夠適應抵御它們的安全措施，并在目標系統中“潛伏”很長一段時間。一旦準備就緒(如收集到足夠的信息)，高級持續(xù)性威脅(APT)就可以通過數據中心網絡橫向移動，并與正常的網絡流量相融合，以實現他們的最終目標。

　　8. 數據丟失

　　云計算安全聯盟表示，存儲在云中的數據可能會因惡意攻擊以外的原因而丟失。云計算服務提供商的意外刪除行為、火災或地震等物理災難都可能會導致客戶數據的永久性丟失，除非云服務提供商或云計算用戶采取了適當的措施來備份數據，遵循業(yè)務連續(xù)性的最佳實踐，否則將無法實現災難恢復。

　　9. 盡職調查不足

　　云計算安全聯盟表示，當企業(yè)高管制定業(yè)務戰(zhàn)略時，必須充分考慮到云計算技術和服務提供商。在評估云技術和服務提供商時，制定一個良好的路線圖和盡職調查清單對于獲得最大的成功機會可謂至關重要。而在沒有執(zhí)行盡職調查的情況下，就急于采用云計算技術并選擇提供商的組織勢必將面臨諸多安全風險。

　　10. 濫用和惡意使用云服務

　　云計算安全聯盟指出，云服務部署不充分，免費的云服務試用以及通過支付工具欺詐進行的欺詐性賬戶登錄，將使云計算模式暴露于惡意攻擊之下。惡意行為者可能會利用云計算資源來定位用戶、組織或其他云服務提供商。其中濫用云端資源的例子包括啟動分布式拒絕服務攻擊(DDoS)、垃圾郵件和網絡釣魚攻擊等。

　　11. 拒絕服務(DoS)

　　拒絕服務(DoS)攻擊旨在防止服務的用戶訪問其數據或應用程序。拒絕服務(DoS)攻擊可以通過強制目標云服務消耗過多的有限系統資源(如處理器能力，內存，磁盤空間或網絡帶寬)，來幫助攻擊者降低系統的運行速度，并使所有合法的用戶無法訪問服務。

　　12. 共享的技術漏洞

　　云計算安全聯盟指出，云計算服務提供商通過共享基礎架構、平臺或應用程序來擴展其服務。云技術將“即服務”(as-a-service)產品劃分為多個產品，而不會大幅改變現成的硬件/軟件(有時以犧牲安全性為代價)。構成支持云計算服務部署的底層組件，可能并未設計成為“多租戶”架構或多客戶應用程序提供強大的隔離性能。這可能會導致共享技術漏洞的出現，并可能在所有交付模式中被惡意攻擊者濫用。