九大潜在威胁阻碍云计算产业推广

2013年被称为云计算产业发展“元年”,从这一年开始云计算在技术完善及应用方面都将得到较广泛的应用。

据IDC预测,到2015年之前,云计算总产值将超过300亿美元。同时专家预计,三年间,云计算市场规模年均复合增长率将达91.5%。2010年,中国云计算的市场规模为167.31亿元,2013年将达1174.12亿元。

目前即使众多专家认为今年为产业元年,但是对于用户来说,对于它的安全性还一直保有疑虑,直接导致发展遇到一困扰。现阶段,云产业的发展还面临九大产业威胁:

威胁1:

数据泄露对于每位CIO来说最大的噩梦就是自己公司敏感的内部数据落入了竞争者之手,这也让高管们寝食难安。云计算则为这一问题增加了新的挑战。2012年11月,北卡莱罗纳州大学和RSA公司的研究者发布的报告就显示了在同一台物理机上,一个虚拟机如何利用侧通道计时信息来提取出另一个虚拟机的私有密钥。但是在许多案例里,攻击者甚至不需要这么复杂的操作。如果一个多租户的云服务数据库设计不妥当,或许就会因为一个漏洞而导致所有客户的数据遭殃。

延伸

不幸的是,虽然数据丢失和数据泄露都是对云计算的严重威胁,你所采取的措施或许能缓解某一方面但却可能让另一方面更加麻烦,或许你可以把所有的数据都加密起来,但如果把密钥丢了那你等于所有数据都丢了。反之,如果你想把所有的数据都进行离线备份来降低灾难性数据丢失的影响,但又增加了你的数据暴露的风险。

威胁2:

数据丢失对于消费者和企业双方而言,数据丢失都是非常严重的问题。而存储在云中的数据则可能因为其他的原因而造成丢失。云服务供应商的一次删除误操作,或者火灾等自然因素导致的物理性损害,都可能导致用户数据丢失,除非供应商做了非常到位的备份工作。但数据丢失的责任并非总是只在供应商一方,比如如果用户在上传数据之前加密不妥当,然后自己又弄丢了密钥,那么也可能造成数据丢失。

延伸

许多承诺性政策里都要求组织对数据安全进行持续的审计记录或其他形式的文档存档。如果组织存储在云中的数据发生了丢失,将会导致组织的承诺陷入困境。

威胁3:

账户或服务流量劫持黑客通过网络钓鱼、欺诈或利用软件漏洞来劫持无辜的用户。通常黑客根据一个密码就可以窃取用户多个服务中的资料,因为用户不会为每个服务设立一个不一样的密码。对于供应商,如果被盗的密码可以登陆云,那么用户的数据将被窃听、篡改,黑客将向用户返回虚假信息,或重定向用户的服务到欺诈网站。不仅对用户自身造成损失,还将对供应商的声誉造成影响。

延伸

账户和服务劫持及通常伴随的证书盗窃,仍位列威胁前列。窃取证书后攻击者通常都可以进入云服务里的一些关键性领域,破坏其机密性、完整性和可用性。企业组织应该对这种技术手段做必要的防范,以及采取一些深层次的防御手段来保护数据免受外泄危机。同时应该禁止用户和服务之间共享账号证书,必要的话还应采取双重验证机制。

威胁4:

账户或服务流量劫持对于每位CIO来说最大的噩梦就是自己公司敏感的内部数据落入了竞争者之手,这也让高管们寝食难安。云计算则为这一问题增加了新的挑战。2012年11月,北卡莱罗纳州大学和RSA公司的研究者发布的报告就显示了在同一台物理机上,一个虚拟机如何利用侧通道计时信息来提取出另一个虚拟机的私有密钥。但是在许多案例里,攻击者甚至不需要这么复杂的操作。如果一个多租户的云服务数据库设计不妥当,或许就会因为一个漏洞而导致所有客户的数据遭殃。

延伸

大多数供应商都在努力加强他们服务的安全机制,而对于消费者来说他们未必能很好的理解他们在使用、管理和监控云服务过程中可能牵涉到的安全问题。薄弱的接口和API设置会让企业组织陷入许多安全性问题,影响机密性、可用性等。

威胁5:

拒绝服务攻击简单来说,拒绝服务攻击就是指攻击者阻止正常用户正常访问云服务的一种攻击手段。通常是迫使一些关键性云服务来消耗大量的系统资源,例如处理进程、内存、硬盘空间、网络带宽,导致云服务器反应变得极为缓慢或者完全没有响应。

拒绝服务攻击(DDoS)引起过许多的麻烦,并一直被媒体所关注,他们的攻击可能并无实质性目的。非对称应用程序级别拒绝服务攻击所瞄准的就是Web服务器、数据库或其他云计算资源脆弱的这一点,然后在应用程序上运行一小段恶意程序,有时甚至不足100个字节。

延伸

流量高峰期遭遇拒绝服务攻击时就像遇到了大堵车一样,无法访问目标服务器,除了等待你什么都做不了。对于消费者,服务中断不仅会挫伤他们对云服务的信心,还会导致他们考虑将关键性数据从云中转移走以降低损失。更糟的是,由于云服务的收费模式通常都是按用户消耗了多少系统资源占用了多少空间来计算,因此即便是攻击者没有完全把你的系统搞瘫痪,也会让你因为巨大的资源消耗而蒙受巨大的云服务费用。

威胁6:

恶意的内部人员在安全行业,来自内部恶意人员造成的威胁已经成为一个争议话题。争议归争议,事实上这种事情确实存在。对组织存在威胁的恶意内部人员可能是那些有进入企业组织网络、系统、数据库权限的在任的或曾经的员工,承包商,或者其他业务伙伴,他们滥用权限,导致企业组织的系统和数据的机密性、完整性、可用性受损。

延伸

诸如系统管理员等内部恶意人员,都拥有访问企业敏感信息和关键领域的权限。从IaaS到PaaS和SaaS,内部恶意人员能够访问的敏感领域级别也越来越多,甚至是数据。因此那些全靠云服务供应商来进行安全管理的系统都面临着巨大的风险。即便是加密过,如果客户没有很好的掌握着密钥,或者限制可用的时间段,那么系统都可能面临着来自内部恶意人员的威胁。

威胁7:

滥用云服务云计算的一个最大的优点就是它可以让哪怕是最小的企业,来使用最大数量的计算资源。对于大多数企业来说,他们都支付不起成百上千的服务器,而使用成百上千个云服务器就没问题。然而,并非所有人都能正确良好的利用这种资源。比如如果一个攻击者想要破解一个密钥,使用自己的机器可能要好几年,而使用云计算服务器强大的计算能力,可能数分钟就搞定了。或者攻击者可能使用云服务器来进行DDoS攻击,存储恶意软件或者盗版软件。

延伸

需要考虑这一威胁的,更多的是云服务供应商。此类事情发生次数已经在增多了。如何防止别人滥用使用你提供的服务?如何定义“滥用”?如何阻止这种事情再次发生?

威胁8:

审查不足降低成本,运营效率,安全提升,这些优点让人们对云计算趋之若鹜,对于那些有资源有能力来合理利用云技术的企业来说,这确实是一个很实在的目标,但有很多企业实际上在一拥而上的大潮里,并未真正的明确的了解这一技术的全貌。

如果对云服务供应商环境、应用程序、运营责任(如事故责任、加密问题、安全监控)等没有充分的了解,企业组织如果贸然采用云计算,就可能面临着认知不足的各种未知的风险,这恐怕比眼下的风险要更加严重。

延伸

贸然采用云服务的企业组织可能会自己陷入多种问题。如责任、义务、供应商和客户间透明度、服务的相符程度等合同问题。将那些依赖完整网络级别安全控制的应用程序迁移到云之后,如果失去控制或者供应商提供的服务与客户的需求不符,就会非常麻烦和危险。未知的运营和架构问题也会随着应用程序设计师和架构师与客户沟通不足而引发种种问题。

企业和组织迁移到云的底线是,必须要有一定的资本能力,以及对云服务供应商足够广泛详细的审查,并充分了解新技术所存在的风险。

威胁9:

共享技术漏洞云服务供应商要交付规模化的服务,就要共享基础设施、平台和应用程序。组成这些基础设施的组件(包括CPU缓存、GPU等)的设计,如果没有针对多租户架构(IaaS)、重部署平台(PaaS)或多客户应用程序(SaaS)的优良隔离机制,那么如果存在威胁,所有的服务模式都将面临威胁。必须建立深层次的防御战略,包括计算、存储、网络、应用程序和用户安全执法和监控,无论是何种云服务模式。关键是在整个的云服务里,必须要有一个完整的漏洞和错误配置解决机制。

延伸

管理程序、共享平台组件、共享应用程序等共享技术所存在的风险远比客户行为更要紧,因为这种问题可能将整个系统的弱点暴露给攻击者。这些漏洞将会是非常致命的,牵一发而动全身,整个云系统可能瞬间瘫痪。

时间: 2024-10-25 20:28:15

九大潜在威胁阻碍云计算产业推广的相关文章

云计算面临九大安全威胁

云计算安全联盟(CSA)近期发布的报告总结了9种威胁云计算安全的"罪魁祸首".在这其中,数据泄露.数据丢失和数据劫持三类威胁排名靠前.498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="云计算面临九大安全威胁" src="http://s3.51cto.com/wyfs01/M00/0C/3B/wKioOVGmxI7RHaaS

未来两年内的九大信息安全威胁(二)

上接 未来两年内的九大信息安全威胁(一) D1net观察:我们日常依赖的互联网可靠吗,哪些攻击可以造成互联网的中断,预防互联网中断可以采取哪些措施?企业如何面对物联网设备遭受到勒索软件的劫持?企业以为自己的数据很安全,但是如果和数据安全相关或者和企业关键信息相关的员工遭受暴力威胁,怎么办?企业往往会根据掌握的信息制定公司战略和做出决策,但是,企业掌握的信息可靠吗?人工智能如火如荼,但是人工智能也可以被攻击者利用,那么如何防止攻击者利用人工智能传播企业的虚假消息?据预测,到2019年,65%的全球

【RSA专题】RSA 2017总结:九大趋势影响未来安全产业

 2017年02月20日 10:34  924 刚刚闭幕的2017 RSA 大会,作为安全行业的重要风向标,为行业展示了重要的技术趋势与方向. 总结来看,安全重要性被再度提升,成为影响企业业务的要素.此外,安全产业的协作,安全产品的整合与平台化,云安全,机器学习在安全领域的产品化,终端一体化,威胁情报精细化都是本次大会透露的重要趋势. 趋势一: 从IT驱动安全到业务驱动安全 在RSA大会上,安全重要性再次被提升. 作为EMC的一部分,RSA在EMC被收购后,成为Dell Technologies

当今世界面临的九大安全威胁

数年前,典型黑客场景,就是一名或几个攻击者,在咖啡因碳酸饮料的刺激下鏖战深夜,找寻开放IP地址.一旦找到一个,他们便开始枚举其上广告服务(Web服务器.SQL服务器等等),利用多个漏洞攻入,然后探索被黑公司,挖掘其核心内容.他们的目的往往只是满足自身好奇心.即便做了什么违法的事情,通常也只是一时兴起的机会性犯罪. 然而,时代变了.     如今,想要描述典型黑客场景,你必须得从黑客活动甚或黑客本身之前,从攻击背后的黑客组织开始.时至今日,黑客活动已成为全时段全类型的犯罪,有恶意软件竞价市场.网络

未来两年内的九大信息安全威胁(三)

D1net观察:我们日常依赖的互联网可靠吗,哪些攻击可以造成互联网的中断,预防互联网中断可以采取哪些措施?企业如何面对物联网设备遭受到勒索软件的劫持?企业以为自己的数据很安全,但是如果和数据安全相关或者和企业关键信息相关的员工遭受暴力威胁,怎么办?企业往往会根据掌握的信息制定公司战略和做出决策,但是,企业掌握的信息可靠吗?人工智能如火如荼,但是人工智能也可以被攻击者利用,那么如何防止攻击者利用人工智能传播企业的虚假消息?据预测,到2019年,65%的全球顶级银行将大规模地实施区块链技术,但是如果

点评由CIO造成的企业九大安全威胁

不知不觉中,我们迎来了2008.在此我们应该回过头 来看看CIO们常犯的一些错误,以利于日后的工作. 1. 将过程用作能力的替代品: 对每个问题的回答几乎总是方法,因此你专注于CMMi和ITLL,却并不理解黑客们攻击软件的事实. 2. 让http://www.aliyun.com/zixun/aggregation/38980.html">网络工程师负责安全: 你会认识到拥有网络背景的人员不太可能保证企业的安全.如果一个黑客攻击你的软件并窃取你的数据,而你却以硬件响应之,那你认为谁会赢得斗

[独家]云计算产业园:百花齐放

2011年9月6日-7日,首届中国云计算技术与应用大会在"中国软件名城"南京举行.本次大会以云计算核心技术构建与应用经验分享为主题,探讨云计算平台与应用构建技术等核心问题. 云计算被称为继个人电脑.互联网之后,信息技术领域的第三次产业技术变革浪潮,将极大的促销各产业的发展.目前各行业都在进行云研究,积极加入第三次技术浪潮中.各地政府也大力支持云计算产业,扶持云计算产业园,从各方面推动云计算产业的发展.放眼全国,云计算产业园已有多个.在本次云计算大会上,中云网采访了南京白下高新技术产业园

2009年云计算产业十大发展趋势报告预测

云计算(Cloud Computing)是分布式处理(Distributed Computing).并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,或者说是这些计算机科学概念的商业实现. 云计算的基本原理是,通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似.这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统. 这可是一种革命性的举措,打个比方,这就好比是从古老的单台发电机模式

盘点2017年大数据、云计算产业将要举办的大会

2017年注定是中国大数据发展史上具有标志性意义的一年,过去的2016年中国大数据市场规模达168亿元,被称为"中国大数据发展元年",而2017年刚过三分之一,中国大数据市场早已发生了诸多大事件.近日,大数据观察盘点了近期的大数据会议,供业内人士提前做好参会或学习准备. 2017年4月12日至13日,第五届亚太CDN峰会将在北京举行.大会由亚太CDN领袖峰会.国际CDN论坛.电视新媒体CDN论坛.视频云论坛.未来网络论坛.C未来视频峰会.亚太CDN展览会等7大部分组成.聚集了阿里云.腾