2013年2月27日,云安全联盟(CSA)的主要威胁工作组发布了“2013云计算9大威胁”报告,联盟组织成员称报告的目的在于为组织们提供最新的最专业的云安全威胁知识,帮助他们认识了解在云采用和管理中将会面对的风险,为他们在云战略制定上提供建议。
从报告中,可看出,此次联盟提出的关于云计算的威胁主要集中在信息安全和技术问题方面,这九大威胁因素是CSA针对行业专家进行的一次调查,将来自这些专家的专业意见进行了总结和归纳,可见,在云计算领域内还算是具有一定的代表性。
小编将对这九大因素进行假单的归类,并做简单的简析,与各网友共享。
数据破坏和数据丢失:曾有一项研究发现,2/5的公司由于使用云计算,发生了数据丢失的情况。该公司调查了超过3200个组织来研究云计算的隐形成本问题以及解决之道。
有43%的受访者在使用云计算的过程中遇到了数据丢失的情况,而后他们不得不从备份里恢复。而且恢复过程也失败过不止一次。互联网云和云计算如今已经日渐风靡,在这种模式里你可以通过网络来享用各种服务,而无需知道为你提供服务的服务器在哪儿,计算资源被统一供应了。所以数据流失对用户和企业来说,是一定会存在的问题,小编建议最好对云中存储的机密数据进行通过访问控制组合、合同责任和加密措施的保护。
不安全的API和账户劫持:目前,云管理市场的竞争日益激烈,各大IT厂商均对云管理疆土摩拳擦掌,另据IDC研究表明,预计2015年全球云管理软件市场规模将达到25亿美元。对于主要厂商而言,云管理是一个与客户建立长期持久战略合作关系的机会。而对于新兴的厂商来说,云计算对其开发产品和提供SaaS解决方案,进入更宽领域的云管理环境也相当重要。根据TechTarget中国近期针对中国地区用户进行的“云计算安全调查”,有33.6%的受访者选择了账户劫持这一不安全项。
拒绝服务和审查不足:尽管目前云计算拒绝服务攻击的风险正在增大,过去这些攻击主要将目标锁定为公司基础设施中的资源密集部分,但是现在关键服务器与服务成为了攻击目标。攻击者利用低带宽对特殊应用进行攻击即可瘫痪受害者的在线服务。Prolexic公司的Sop曾举例称,滥用安全HTTP请求会导致公司服务器和路由器堵塞,大量的帐户创建请求也会堵死许多应用。
滥用和恶意的内部人员:不论是在企业内部还是云计算服务提供商内部,人员的恶意操作都是非常危险的,同样后果也非常严重。云服务提供商肯定不会透露其雇员在物理服务器和虚拟化方面的水平,更不会告诉你他的分析和报告政策。这也就意味着只要有了一定级别的授权,内部人员就可以获得机密数据并控制云服务,听着就恐怖对吧!其实,用户是可以获得这些操作的信息,只要在签订服务级别协议的时候提出来就可以了,你知道怎么做了吧!
共享技术问题:共享是信息资源共享在云计算环境下的新发展,它致力于在更自由的云环境中、在更广泛的空间里相互共享云资源,为更广大的用户提供更多的信息服务、知识服务。而对云共享内涵及其服务也有必要进行讨论,一方面有助于帮助用户在“云雾弥漫”的云环境中清晰地认清自己的信息需求,按需、准确地获取相应的云服务。另一方面还有助于帮助云服务提供商结合自己的情况,有目的、有选择地提供最能满足用户需求的共享服务,努力为云共享的发展提供一个良好的协作环境,最大限度地实现广泛的信息资源共享。
正如CSAGlobalResearch总监Santos所说,“要想有效的管理云计算中的风险,企业就必须能理解现在和以后云所要面临的威胁有哪些,而这需要勤奋的学习。“但企业们却并没有开始这一学习过程,这一事实或许还将持续下去。我们希望这份报告能够唤起公司们在制定云战略中对潜在风险的警觉性。”
