隨著云計(jì)算越來(lái)越廣泛的應(yīng)用到各行各業(yè)中，其安全問(wèn)題也隨之而來(lái)。相較于傳統(tǒng)應(yīng)用，云計(jì)算引起的安全事件和風(fēng)險(xiǎn)要高出很多，其原因在于用戶及信息資源的高度化集中。不安全的云服務(wù)將增加敏感數(shù)據(jù)泄露、丟失、惡意攻擊等風(fēng)險(xiǎn)。你知道嗎？在過(guò)去的一年間，全球58％的企業(yè)承認(rèn)自己曾遭遇過(guò)數(shù)據(jù)泄露問(wèn)題。到了2018年，來(lái)自云計(jì)算的安全威脅恐怕只增不減，而這12個(gè)云安全威脅尤其要注意。

都上云了安全嗎？2018年留神這些云安全威脅

其實(shí)，云端成為網(wǎng)絡(luò)犯罪分子的目標(biāo)并不奇怪，因?yàn)檫@里存儲(chǔ)著大量的數(shù)據(jù)，尤其是公有云。對(duì)此，相關(guān)云安全專家也指出“公有云的應(yīng)用正在快速增長(zhǎng)，因此不可避免地會(huì)導(dǎo)致出現(xiàn)更多的潛在風(fēng)險(xiǎn)敏感內(nèi)容”。為了讓大家，特別是企業(yè)用戶了解云安全，以便采用正確的策略與決策，云計(jì)算安全聯(lián)盟（CSA）發(fā)布了最新版的《云計(jì)算的12大威脅：行業(yè)見(jiàn)解報(bào)告》，并針對(duì)云計(jì)算中最嚴(yán)重的安全問(wèn)題，匯總了一些專業(yè)的意見(jiàn)和建議。

首先要注意的就是數(shù)據(jù)泄露問(wèn)題。當(dāng)中，既有可能是網(wǎng)絡(luò)攻擊者發(fā)動(dòng)的竊取行為，也有人為錯(cuò)誤、應(yīng)用漏洞等導(dǎo)致的數(shù)據(jù)泄露。因此，這就有可能涉及像個(gè)人信息、財(cái)務(wù)信息、個(gè)人身份識(shí)別信息或是商業(yè)機(jī)密與知識(shí)產(chǎn)權(quán)，事因不同其所帶來(lái)的影響等級(jí)也就不同。我們說(shuō)，盡管數(shù)據(jù)泄露威脅并非云計(jì)算所獨(dú)有的安全威脅，但卻需要云計(jì)算用戶重點(diǎn)防范。

網(wǎng)絡(luò)犯罪分子分常善于將自己偽裝成合法“身份”，例如用戶、運(yùn)營(yíng)人員、開(kāi)發(fā)人員，可以毫不費(fèi)力的讀取、修改、刪除數(shù)據(jù)，獲取權(quán)限接管系統(tǒng)。當(dāng)有用戶傳輸數(shù)據(jù)時(shí)，他們便可從中窺探數(shù)據(jù)，發(fā)布看似合法的惡意軟件。因此，身份不足、憑證和訪問(wèn)管理不善，都可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)被訪問(wèn)，更甚者對(duì)組織和最終用戶帶來(lái)災(zāi)難性的損失。

再者，就是不安全的接口和應(yīng)用程序編程接口（API）。云計(jì)算提供商提供了一組客戶使用的軟件用戶界面（UI）或API來(lái)管理和與云服務(wù)交互。對(duì)此，云計(jì)算安全聯(lián)盟表示，其配置、管理和監(jiān)控都是通過(guò)這些接口來(lái)執(zhí)行的，通常情況下云服務(wù)的安全性和可用性取決于API的安全性，需要對(duì)其進(jìn)行設(shè)計(jì)以防止意外和惡意企圖。

在我們已知的網(wǎng)絡(luò)攻擊中，有很多次是由于系統(tǒng)漏洞所致。攻擊者利用這些系統(tǒng)漏洞，侵入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或破壞服務(wù)。云計(jì)算安全聯(lián)盟認(rèn)為，操作系統(tǒng)組件中的漏洞使得所有服務(wù)和數(shù)據(jù)的安全性都面臨重大風(fēng)險(xiǎn)，隨著云端出現(xiàn)多租戶，來(lái)自不同組織的系統(tǒng)彼此靠近，并且允許訪問(wèn)共享內(nèi)存和資源，從而創(chuàng)建新的攻擊面。

接著再來(lái)說(shuō)賬戶劫持。盡管賬戶或服務(wù)劫持并非什么新鮮事，但涉及到云，如果攻擊者獲得對(duì)用戶憑證的訪問(wèn)權(quán)限，他們就可以竊聽(tīng)活動(dòng)與交易，操縱數(shù)據(jù)，返回偽造的信息并將客戶重定向到非法的站點(diǎn)。由于憑證被盜，攻擊者能經(jīng)常訪問(wèn)云計(jì)算服務(wù)的關(guān)鍵區(qū)域，從而危及這些服務(wù)的機(jī)密性、完整性、可用性。

我們常說(shuō)‘家賊難防。’其實(shí)，威脅有時(shí)不單單來(lái)自外部，很有可能出自內(nèi)部人員。對(duì)此，云計(jì)算安全聯(lián)盟表示，雖然有些威脅的嚴(yán)重程度存有爭(zhēng)議，但內(nèi)部威脅卻是一個(gè)真正的威脅。心懷鬼胎的內(nèi)部人員（如系統(tǒng)管理員）可以訪問(wèn)潛在的敏感信息，可以更多地訪問(wèn)更重要的系統(tǒng)，并最終訪問(wèn)數(shù)據(jù)。僅依靠云服務(wù)提供商提供安全措施的系統(tǒng)將面臨更大的風(fēng)險(xiǎn)。

在眾多攻擊形式中，高級(jí)持續(xù)性威脅（APT）是一種寄生的網(wǎng)絡(luò)攻擊形式，其能滲透到目標(biāo)IT基礎(chǔ)設(shè)施建立立足點(diǎn)的系統(tǒng)，從而竊取數(shù)據(jù)。高級(jí)持續(xù)性威脅（APT）在很長(zhǎng)一段時(shí)間內(nèi)逐步達(dá)到目標(biāo)，經(jīng)常能夠適應(yīng)抵御它們的安全措施。一旦完成部署，高級(jí)持續(xù)性威脅（APT）可以通過(guò)數(shù)據(jù)中心網(wǎng)絡(luò)橫向移動(dòng)，并與正常的網(wǎng)絡(luò)流量融合，達(dá)到他們的目的。

除了數(shù)據(jù)泄露，云安全面臨的另一個(gè)問(wèn)題就是數(shù)據(jù)丟失。對(duì)此，云計(jì)算安全聯(lián)盟表示，存儲(chǔ)在云端的數(shù)據(jù)可能因惡意攻擊以外的原因而丟失。例如云服務(wù)提供商遭遇意外刪除、火災(zāi)或地震等物理災(zāi)難可能導(dǎo)致客戶數(shù)據(jù)的永久丟失，云服務(wù)提供商或客戶應(yīng)當(dāng)采取適當(dāng)?shù)拇胧﹤浞輸?shù)據(jù)，遵循業(yè)務(wù)連續(xù)性的最佳實(shí)踐，實(shí)現(xiàn)災(zāi)難恢復(fù)。

還有就是盡職調(diào)查不足。企業(yè)高管制定業(yè)務(wù)戰(zhàn)略時(shí)，必須對(duì)云計(jì)算技術(shù)和服務(wù)提供商進(jìn)行充分的考量，且在對(duì)云計(jì)算技術(shù)和提供商進(jìn)行評(píng)估時(shí)，要制定一個(gè)良好的路線圖和盡職調(diào)查清單，這些都至關(guān)重要；而急于采用云計(jì)算技術(shù)并選擇提供商沒(méi)有執(zhí)行盡職調(diào)查的組織，將面臨諸多風(fēng)險(xiǎn)。

我們說(shuō)，那些安全性差、免費(fèi)試用以及通過(guò)支付工具欺詐進(jìn)行的欺詐性賬戶登錄，將云計(jì)算模式暴露在惡意攻擊之下，而攻擊者們很可能利用云計(jì)算資源來(lái)定位用戶、組織或其他云計(jì)算提供商，啟動(dòng)分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚(yú)攻擊等都屬于濫用云端資源。

云計(jì)算的另一個(gè)安全威脅就是DoS，即拒絕服務(wù)攻擊，其目的是防止服務(wù)的用戶訪問(wèn)其數(shù)據(jù)或應(yīng)用程序。可以通過(guò)強(qiáng)制目標(biāo)云服務(wù)消耗過(guò)多的有限系統(tǒng)資源，如處理器能力，內(nèi)存，磁盤(pán)空間或網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)攻擊者可能會(huì)導(dǎo)致系統(tǒng)速度下降，并使所有合法的用戶無(wú)法訪問(wèn)服務(wù)。

最后一個(gè)威脅來(lái)自共享的技術(shù)漏洞。云計(jì)算安全聯(lián)盟指出，云計(jì)算服務(wù)提供商通過(guò)共享基礎(chǔ)架構(gòu)，平臺(tái)或應(yīng)用程序來(lái)擴(kuò)展其服務(wù)。云技術(shù)將“即服務(wù)”產(chǎn)品劃分為多個(gè)產(chǎn)品，而不會(huì)大幅改變現(xiàn)成的軟／硬件，有時(shí)甚至以犧牲安全性為代價(jià)。構(gòu)成支持云教育處服務(wù)部署的底層組件可能并未設(shè)計(jì)成為多租戶架構(gòu)或多客戶應(yīng)用程序提供強(qiáng)大的隔離屬性。這可能會(huì)導(dǎo)致共享的技術(shù)漏洞，面臨在所有交付模式中被攻擊者利用的安全風(fēng)險(xiǎn)。

未來(lái)，隨著更多企業(yè)將業(yè)務(wù)遷移至云端，其安全性與合規(guī)性將成為最主要的關(guān)注點(diǎn)。鑒于2017年發(fā)生的一系列云安全問(wèn)題，如何更好地保護(hù)消費(fèi)者和終端用戶將成為重點(diǎn)，而2018年也將成為云安全的分水嶺。在這里，我們也衷心希望2018云安全事件少發(fā)。