如今，越來越多的數(shù)據(jù)和應(yīng)用程序正在向云端移動(dòng)，這為組織帶來了獨(dú)特的信息安全挑戰(zhàn)。很多組織在使用云服務(wù)時(shí)將面臨12個(gè)主要的安全威脅。

云計(jì)算繼續(xù)改變組織使用、存儲(chǔ)和共享數(shù)據(jù)、應(yīng)用程序和工作負(fù)載的方式。它還帶來了一系列新的安全威脅和挑戰(zhàn)。隨著如此多的數(shù)據(jù)進(jìn)入云端，特別是進(jìn)入公共云服務(wù)，這些資源成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。

調(diào)研機(jī)構(gòu)Gartner公司副總裁兼云計(jì)算安全負(fù)責(zé)人Jay Heiser表示，“公共云的使用量正在快速增長(zhǎng)，因此不可避免地會(huì)導(dǎo)致更多的敏感內(nèi)容可能存在風(fēng)險(xiǎn)�！�

Heiser說，“與許多人的想法相反，保護(hù)組織在云中數(shù)據(jù)的主要責(zé)任不在于服務(wù)提供商，而在于采用云計(jì)算的用戶自身�，F(xiàn)在人們正處在云安全過渡期，其安全重點(diǎn)將從云計(jì)算提供商轉(zhuǎn)移到用戶。很多組織正花費(fèi)大量時(shí)間來了解某個(gè)特定的云服務(wù)提供商是否安全，但其調(diào)查幾乎沒有任何回報(bào)�！�

為了向企業(yè)提供有關(guān)云安全問題的最新情況，以便他們能夠就云采用策略做出明智的決策，云計(jì)算安全聯(lián)盟（CSA）發(fā)布了最新版本的“云計(jì)算安全的12個(gè)頂級(jí)威脅”的行業(yè)洞察報(bào)告。

該報(bào)告反映了云計(jì)算安全聯(lián)盟（CSA）的安全專家目前對(duì)云中最重要的安全問題的共識(shí)。雖然云中存在許多安全問題，但云計(jì)算安全聯(lián)盟（CSA）表示，這個(gè)列表主要關(guān)注12個(gè)與云計(jì)算的共享、按需特性相關(guān)的問題。其后續(xù)發(fā)布的《云計(jì)算的最大威脅：深度挖掘》報(bào)告探討了12種威脅中的案例研究。

為了確定人們最關(guān)注的問題，云計(jì)算安全聯(lián)盟（CSA）對(duì)行業(yè)專家進(jìn)行了一項(xiàng)調(diào)查，以匯總有關(guān)云計(jì)算中最主要的安全問題的專業(yè)意見。以下是組織面臨的一些主要的云計(jì)算安全問題（按調(diào)查結(jié)果的嚴(yán)重程度排列）：

1．?dāng)?shù)據(jù)泄露

云計(jì)算安全聯(lián)盟（CSA）表示，數(shù)據(jù)泄露是網(wǎng)絡(luò)攻擊者和黑客的主要目標(biāo)，也可能只是人為錯(cuò)誤、應(yīng)用程序漏洞或糟糕的安全實(shí)踐的結(jié)果。它可能涉及任何非公開信息，包括個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人身份信息、商業(yè)秘密和知識(shí)產(chǎn)權(quán)。由于不同的原因，企業(yè)基于云計(jì)算的數(shù)據(jù)可能對(duì)不同的參與方具有價(jià)值。數(shù)據(jù)泄露的風(fēng)險(xiǎn)并非云計(jì)算所獨(dú)有，但它始終是云計(jì)算用戶最關(guān)心的問題。

這個(gè)深度挖掘報(bào)告引用了2012年LinkedIn公司的用戶密碼泄露作為一個(gè)主要的例子。網(wǎng)絡(luò)攻擊者能夠竊取LinkedIn公司密碼數(shù)據(jù)庫的1．67億個(gè)密碼，因?yàn)樵摴�司并沒有進(jìn)行加密。應(yīng)對(duì)這種漏洞的關(guān)鍵點(diǎn)是，企業(yè)應(yīng)始終對(duì)包含用戶憑據(jù)的數(shù)據(jù)庫進(jìn)行哈希加密處理，并實(shí)施適當(dāng)?shù)娜罩居涗浐托袨楫惓７治觥?/p>

2． 身份、憑證和訪問管理不足

云計(jì)算安全聯(lián)盟（CSA）表示，偽裝成合法用戶、運(yùn)營商或開發(fā)商的網(wǎng)絡(luò)攻擊者可以讀取、修改、刪除數(shù)據(jù)；發(fā)布控制平臺(tái)和管理功能；窺探傳輸中的數(shù)據(jù)或發(fā)布源于合法來源的惡意軟件。因此，身份、憑證或密鑰管理不足會(huì)導(dǎo)致對(duì)數(shù)據(jù)的未經(jīng)授權(quán)訪問，并可能對(duì)組織或最終用戶造成災(zāi)難性損害。

根據(jù)這份深度挖掘報(bào)告，訪問管理不足的一個(gè)例子是發(fā)現(xiàn)MongoDB數(shù)據(jù)庫的不受保護(hù)的默認(rèn)安裝。這種默認(rèn)實(shí)現(xiàn)使端口始終處于開放狀態(tài)，允許訪問而無需身份驗(yàn)證。該報(bào)告建議在所有周邊設(shè)置預(yù)防性控制，并且組織掃描托管、共享和公共環(huán)境中的漏洞。

3．不安全的接口和應(yīng)用程序編程接口（API）

云計(jì)算提供商公開了一組客戶用來管理云服務(wù)并與之交互的軟件用戶界面（UI）或API。云計(jì)算安全聯(lián)盟（CSA）表示，配置、管理和監(jiān)控都是通過這些接口執(zhí)行的，一般云計(jì)算服務(wù)的安全性和可用性取決于API的安全性。它們需要設(shè)計(jì)成防止意外和惡意企圖規(guī)避政策。

4．系統(tǒng)漏洞

系統(tǒng)漏洞是可利用程序中的漏洞，網(wǎng)絡(luò)攻擊者可以利用這些漏洞滲透系統(tǒng)以竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。云計(jì)算安全聯(lián)盟（CSA）表示，操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險(xiǎn)。隨著云計(jì)算中多租戶的出現(xiàn)，來自不同組織的系統(tǒng)彼此靠近，并允許訪問共享內(nèi)存和資源，從而創(chuàng)建了新的攻擊面。

5．帳戶劫持

云計(jì)算安全聯(lián)盟（CSA）指出，帳戶劫持或服務(wù)劫持并不是什么新鮮事，但云計(jì)算服務(wù)給環(huán)境帶來了新的威脅。如果網(wǎng)絡(luò)攻擊者獲得了對(duì)用戶憑證的訪問權(quán)，他們可以竊聽活動(dòng)和事務(wù)、操縱數(shù)據(jù)、返回偽造信息，并將客戶機(jī)重定向到非法站點(diǎn)。帳戶或服務(wù)實(shí)例可能成為攻擊者的新基礎(chǔ)。有了被盜的憑證，攻擊者通�？梢栽L問云計(jì)算服務(wù)的關(guān)鍵區(qū)域，從而降低這些服務(wù)的機(jī)密性、完整性、可用性。

深度挖掘報(bào)告中的一個(gè)例子：Dirty Cow公司的高級(jí)持續(xù)威脅（APT）小組能夠通過弱審查或社交工程接管現(xiàn)有賬戶來獲得系統(tǒng)的Root級(jí)控制。該報(bào)告建議了關(guān)于訪問權(quán)限的必要知識(shí)，需要訪問的政策以及關(guān)于帳戶接管策略的社交工程培訓(xùn)。

6．惡意內(nèi)部人士

云計(jì)算安全聯(lián)盟（CSA）表示，雖然威脅程度尚未引起很大的關(guān)注，但內(nèi)部威脅是一個(gè)真正的威脅。惡意內(nèi)部人員（如系統(tǒng)管理員）可以訪問潛在的敏感信息，并且可以對(duì)更關(guān)鍵的系統(tǒng)和最終的數(shù)據(jù)進(jìn)行更高級(jí)別的訪問。而只依靠云計(jì)算服務(wù)提供商來提高安全性的系統(tǒng)風(fēng)險(xiǎn)更大。

該報(bào)告引用了Zynga公司一名心懷不滿的員工進(jìn)行內(nèi)部攻擊的例子，該員工從Zynga公司下載并泄露了機(jī)密業(yè)務(wù)的數(shù)據(jù)。當(dāng)時(shí)該公司沒有實(shí)施嚴(yán)格的防損控制措施。深度挖掘報(bào)告建議實(shí)施數(shù)據(jù)丟失防護(hù)（DLP）控制，并建立安全和隱私意識(shí)計(jì)劃，以改進(jìn)對(duì)可疑活動(dòng)的識(shí)別和報(bào)告。