隨著云計算越來越廣泛的應用到各行各業(yè)中，其安全問題也隨之而來。相較于傳統(tǒng)應用，云計算引起的安全事件和風險要高出很多，其原因在于用戶及信息資源的高度化集中。不安全的云服務將增加敏感數(shù)據(jù)泄露、丟失、惡意攻擊等風險。你知道嗎？在過去的一年間，全球58％的企業(yè)承認自己曾遭遇過數(shù)據(jù)泄露問題。到了2018年，來自云計算的安全威脅恐怕只增不減，而這12個云安全威脅尤其要注意。

都上云了安全嗎？2018年留神這些云安全威脅

其實，云端成為網(wǎng)絡犯罪分子的目標并不奇怪，因為這里存儲著大量的數(shù)據(jù)，尤其是公有云。對此，相關云安全專家也指出“公有云的應用正在快速增長，因此不可避免地會導致出現(xiàn)更多的潛在風險敏感內(nèi)容”。為了讓大家，特別是企業(yè)用戶了解云安全，以便采用正確的策略與決策，云計算安全聯(lián)盟（CSA）發(fā)布了最新版的《云計算的12大威脅：行業(yè)見解報告》，并針對云計算中最嚴重的安全問題，匯總了一些專業(yè)的意見和建議。

首先要注意的就是數(shù)據(jù)泄露問題。當中，既有可能是網(wǎng)絡攻擊者發(fā)動的竊取行為，也有人為錯誤、應用漏洞等導致的數(shù)據(jù)泄露。因此，這就有可能涉及像個人信息、財務信息、個人身份識別信息或是商業(yè)機密與知識產(chǎn)權，事因不同其所帶來的影響等級也就不同。我們說，盡管數(shù)據(jù)泄露威脅并非云計算所獨有的安全威脅，但卻需要云計算用戶重點防范。

網(wǎng)絡犯罪分子分常善于將自己偽裝成合法“身份”，例如用戶、運營人員、開發(fā)人員，可以毫不費力的讀取、修改、刪除數(shù)據(jù)，獲取權限接管系統(tǒng)。當有用戶傳輸數(shù)據(jù)時，他們便可從中窺探數(shù)據(jù)，發(fā)布看似合法的惡意軟件。因此，身份不足、憑證和訪問管理不善，都可能導致未經(jīng)授權的數(shù)據(jù)被訪問，更甚者對組織和最終用戶帶來災難性的損失。

再者，就是不安全的接口和應用程序編程接口（API）。云計算提供商提供了一組客戶使用的軟件用戶界面（UI）或API來管理和與云服務交互。對此，云計算安全聯(lián)盟表示，其配置、管理和監(jiān)控都是通過這些接口來執(zhí)行的，通常情況下云服務的安全性和可用性取決于API的安全性，需要對其進行設計以防止意外和惡意企圖。

在我們已知的網(wǎng)絡攻擊中，有很多次是由于系統(tǒng)漏洞所致。攻擊者利用這些系統(tǒng)漏洞，侵入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或破壞服務。云計算安全聯(lián)盟認為，操作系統(tǒng)組件中的漏洞使得所有服務和數(shù)據(jù)的安全性都面臨重大風險，隨著云端出現(xiàn)多租戶，來自不同組織的系統(tǒng)彼此靠近，并且允許訪問共享內(nèi)存和資源，從而創(chuàng)建新的攻擊面。

接著再來說賬戶劫持。盡管賬戶或服務劫持并非什么新鮮事，但涉及到云，如果攻擊者獲得對用戶憑證的訪問權限，他們就可以竊聽活動與交易，操縱數(shù)據(jù)，返回偽造的信息并將客戶重定向到非法的站點。由于憑證被盜，攻擊者能經(jīng)常訪問云計算服務的關鍵區(qū)域，從而危及這些服務的機密性、完整性、可用性。

我們常說‘家賊難防�！�其實，威脅有時不單單來自外部，很有可能出自內(nèi)部人員。對此，云計算安全聯(lián)盟表示，雖然有些威脅的嚴重程度存有爭議，但內(nèi)部威脅卻是一個真正的威脅。心懷鬼胎的內(nèi)部人員（如系統(tǒng)管理員）可以訪問潛在的敏感信息，可以更多地訪問更重要的系統(tǒng)，并最終訪問數(shù)據(jù)。僅依靠云服務提供商提供安全措施的系統(tǒng)將面臨更大的風險。

在眾多攻擊形式中，高級持續(xù)性威脅（APT）是一種寄生的網(wǎng)絡攻擊形式，其能滲透到目標IT基礎設施建立立足點的系統(tǒng)，從而竊取數(shù)據(jù)。高級持續(xù)性威脅（APT）在很長一段時間內(nèi)逐步達到目標，經(jīng)常能夠適應抵御它們的安全措施。一旦完成部署，高級持續(xù)性威脅（APT）可以通過數(shù)據(jù)中心網(wǎng)絡橫向移動，并與正常的網(wǎng)絡流量融合，達到他們的目的。

除了數(shù)據(jù)泄露，云安全面臨的另一個問題就是數(shù)據(jù)丟失。對此，云計算安全聯(lián)盟表示，存儲在云端的數(shù)據(jù)可能因惡意攻擊以外的原因而丟失。例如云服務提供商遭遇意外刪除、火災或地震等物理災難可能導致客戶數(shù)據(jù)的永久丟失，云服務提供商或客戶應當采取適當?shù)拇胧﹤浞輸?shù)據(jù)，遵循業(yè)務連續(xù)性的最佳實踐，實現(xiàn)災難恢復。

還有就是盡職調(diào)查不足。企業(yè)高管制定業(yè)務戰(zhàn)略時，必須對云計算技術和服務提供商進行充分的考量，且在對云計算技術和提供商進行評估時，要制定一個良好的路線圖和盡職調(diào)查清單，這些都至關重要；而急于采用云計算技術并選擇提供商沒有執(zhí)行盡職調(diào)查的組織，將面臨諸多風險。

我們說，那些安全性差、免費試用以及通過支付工具欺詐進行的欺詐性賬戶登錄，將云計算模式暴露在惡意攻擊之下，而攻擊者們很可能利用云計算資源來定位用戶、組織或其他云計算提供商，啟動分布式拒絕服務攻擊、垃圾郵件和網(wǎng)絡釣魚攻擊等都屬于濫用云端資源。

云計算的另一個安全威脅就是DoS，即拒絕服務攻擊，其目的是防止服務的用戶訪問其數(shù)據(jù)或應用程序。可以通過強制目標云服務消耗過多的有限系統(tǒng)資源，如處理器能力，內(nèi)存，磁盤空間或網(wǎng)絡帶寬，網(wǎng)絡攻擊者可能會導致系統(tǒng)速度下降，并使所有合法的用戶無法訪問服務。

最后一個威脅來自共享的技術漏洞。云計算安全聯(lián)盟指出，云計算服務提供商通過共享基礎架構，平臺或應用程序來擴展其服務。云技術將“即服務”產(chǎn)品劃分為多個產(chǎn)品，而不會大幅改變現(xiàn)成的軟／硬件，有時甚至以犧牲安全性為代價。構成支持云教育處服務部署的底層組件可能并未設計成為多租戶架構或多客戶應用程序提供強大的隔離屬性。這可能會導致共享的技術漏洞，面臨在所有交付模式中被攻擊者利用的安全風險。

未來，隨著更多企業(yè)將業(yè)務遷移至云端，其安全性與合規(guī)性將成為最主要的關注點。鑒于2017年發(fā)生的一系列云安全問題，如何更好地保護消費者和終端用戶將成為重點，而2018年也將成為云安全的分水嶺。在這里，我們也衷心希望2018云安全事件少發(fā)。