2013年云計算的九大威脅數(shù)據(jù)安全成最關鍵問題

時間：2020-09-05 12:45:02

關鍵字：云計算 csa

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀] 　　云計算帶來了諸多好處，但云計算的威脅同樣不能無視，CSA本周就對云領域的威脅進行了分析，并將其進行了排名。排名前九的威脅分別是：數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶或服務流量劫持、不安全的接口和API

　　云計算帶來了諸多好處，但云計算的威脅同樣不能無視，CSA本周就對云領域的威脅進行了分析，并將其進行了排名。排名前九的威脅分別是：數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶或服務流量劫持、不安全的接口和API、拒絕服務、惡意的內(nèi)部人員、云服務的濫用、不夠充分的審查、共享技術(shù) 漏洞。

　　云安全聯(lián)盟（CSA）本周對2013年云計算的一些威脅進行了排名。在本次的排名中，前九名分別是：分別是：數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶或服務流量劫持、不安全的接口和API、拒絕服務、惡意的內(nèi)部人員、云服務的濫用、不夠充分的審查、共享技術(shù)漏洞。

　　今年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶劫持。在2010年，前三個是云服務的濫用、不安全的接口和API、惡意的內(nèi)部人士。這三個威脅仍在今年的名單上，但排名分別下跌到第7、4、6位。

　　在RSA大會的年度首腦會議上，CSA發(fā)布了這份由其Top Threats Working Group匯編的排行榜，旨在對企業(yè)和他們的風險管理決策方面提供幫助。

　　CSA 的Top Threats Working Group與聯(lián)盟的行業(yè)專家開展了一項云威脅的調(diào)查，這些行業(yè)專家包括：惠普軟件的高級安全分析師Rafal Los、Voodoo Security的創(chuàng)始人兼首席顧問Dave Shackleford以及微軟的高級安全項目經(jīng)理Bryan Sullivan等。

　　以下是2013年的9個云計算的最嚴重的威脅：

　　1. 數(shù)據(jù)泄露

　　我們都知道，數(shù)據(jù)泄露像一個討厭的老相識，但云計算加重了這種威脅。一個設計不當?shù)亩嘧鈶粼品諗?shù)據(jù)庫將使攻擊者不僅僅進入一個帳戶，而且會進入每一個與該服務相關的其他帳戶。

　　2. 數(shù)據(jù)丟失

　　這是經(jīng)常發(fā)生的故事，你的設備被破解，造成數(shù)據(jù)被偷或被刪除。意外刪除或天災（比如颶風桑迪）都可能會導致永久性的數(shù)據(jù)丟失，除非供應商提供備份。同樣，如果一個企業(yè)的數(shù)據(jù)在上傳到云之前就行加密，他們就能更好地保護加密密鑰或數(shù)據(jù)。

　　3. 賬戶或服務流量劫持

　　黑客通過網(wǎng)絡釣魚、欺詐或利用軟件漏洞來劫持無辜的用戶。通常黑客根據(jù)一個密碼就可以竊取用戶多個服務中的資料，因為用戶不會為每個服務設立一個不一樣的密碼。對于供應商，如果被盜的密碼可以登陸云，那么用戶的數(shù)據(jù)將被竊聽、篡改，黑客將向用戶返回虛假信息，或重定向用戶的服務到欺詐網(wǎng)站。不僅對用戶自身造成損失，還將對供應商的聲譽造成影響。

　　4. 不安全的接口和API

　　云中的API允許任意數(shù)量的交互——配置、管理和監(jiān)控等，他們對整體安全來說是一個薄弱的環(huán)節(jié)。API通過政策進行控制，開發(fā)人員必須在質(zhì)量和安全性方面注意設計，這是無法避免的。這個問題變得更復雜，因為API是跨領域的分層。

　　5. 拒絕服務

　　剝奪用戶訪問他們的資源和數(shù)據(jù)，并造成延遲是破壞一個云服務的一個攻擊方法，可能意味著在線服務的死亡。其他形式的攻擊，如非對稱應用級的DoS攻擊，在不消耗大量的資源的情況下就可利用弱點將Web服務器、數(shù)據(jù)庫和其他云資源作為目標。

　　6. 惡意的內(nèi)部人員

　　惡意的內(nèi)部人員風險是每個組織必須考慮的方面。這種情況不一定發(fā)生，但當它發(fā)生時，它造成的傷害就會很大。CSA表示，完全依賴于云服務提供商的安全系統(tǒng)，是最大的風險。

　　7. 云服務的濫用

　　云服務的大眾化，導致它可向任何人提供計算資源，不管那些人的目的是什么，即便他們正是那些尋求資源，以破解你的加密信息、發(fā)動拒絕服務攻擊、服務服務器的惡意軟件或散布盜版軟件的人。

　　8. 不夠充分的審查

　　云計算的好處聽起來有很多，比如降低成本、提高效率、更好的安全性等，但遷移到云計算的風險是沒有足夠的評估風險。不了解云服務環(huán)境、應用程序或服務被推到云中、營運責任（比如事件響應、加密、安全監(jiān)控等），這些都會對企業(yè)產(chǎn)生未知的風險。

　　9. 共享技術(shù)漏洞

　　所有的交付模型展示了共享基礎設施、平臺和應用程序所帶來的特點。一個防守深入策略由CSA提出，包括計算、存儲、網(wǎng)絡、應用程序和用戶安全執(zhí)行，以及對IaaS、PaaS和SaaS的監(jiān)測。一個故障可以波及整個服務提供商的云。