2018年要考虑的12大云安全威胁

如今，云计算不断改变组织使用、存储和共享数据、应用程序和工作负载的方式。但也带来了一系列新的安全威胁和挑战。随着大量数据进入云端，尤其是进入公共云服务，这些资源成为网络犯罪分子的首要目标。

调研机构 Gartner公司副总裁兼云计算安全负责人Jay Heiser说：“公共云的应用正在快速增长，因此不可避免地会导致出现更多的潜在风险敏感内容。”

与许多人认为的相反，保护云端中的企业数据的主要责任不在于云计算服务提供商，而在于云客户。Heiser说：“我们正处在一个云计算安全过渡期，重点正从供应商转向客户。很多企业花费大量时间来确定某个特定的云服务提供商是否安全，但几乎没有什么结果，因为在于其自身。”

为了让企业了解云安全问题，以便他们能够就云采用策略做出明智的决策，云计算安全联盟（CSA）发布了最新版本的“云计算的12大威胁：行业见解报告。”

这个报告反映了云计算安全联盟安全专家当前就云计算中最重要的安全问题达成的共识。这份报告指出，尽管云端存在许多安全问题，但企业主要关注的是云计算的共享和按需特性。为了确定人们最关心的问题，云计算安全联盟对行业专家进行了调查，就云计算中最严重的安全问题汇总编写了一些专业的意见和建议。以下是人们面临的12个最重要的云安全问题（按照调查结果的严重程度排列）：

1.数据泄露

云计算安全联盟表示，数据泄露是具有针对性攻击的主要目标，也可能是人为错误、应用程序漏洞或安全措施不佳的结果。它可能涉及任何不适合公开发布的信息，包括个人健康信息、财务信息、个人可识别信息、商业秘密和知识产权。由于不同的原因，组织基于云端的数据可能对某些组织具有更大的价值。数据泄露的风险并不是云计算独有的情况，但它始终是云计算用户的首要考虑因素。

2.身份、凭证和访问管理不善

云计算安全联盟表示，网络犯罪分子伪装成合法用户、运营人员或开发人员可以读取、修改和删除数据，获取控制平台和管理功能，在用户传输数据的过程中进行窥探，发布似乎来源于合法来源的恶意软件。因此，身份不足、凭证或密钥管理不善可能导致未经授权的数据访问，并可能对组织或最终用户造成灾难性的损害。

3.不安全的接口和应用程序编程接口（API）

云计算提供商提供了一组客户使用的软件用户界面（UI）或API来管理和与云服务交互。云计算安全联盟称，其配置、管理和监控都是通过这些接口来执行的，通常情况下，云服务的安全性和可用性取决于API的安全性。他们需要进行设计以防止意外和恶意的企图。

4.系统漏洞

系统漏洞是攻击者可以用来侵入系统窃取数据、控制系统或破坏服务操作的程序中可利用的漏洞。云计算安全联盟表示，操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。随着云端出现多租户，来自不同组织的系统彼此靠近，并且允许访问共享内存和资源，从而创建新的攻击面。

5.账户劫持

云计算安全联盟指出，账户或服务劫持并不是什么新鲜事物，但云服务为这一景观增添了新的威胁。如果攻击者获得对用户凭证的访问权限，他们可以窃听活动和交易，操纵数据，返回伪造的信息并将客户重定向到非法的站点。账户或服务实例可能成为攻击者的新基础。由于凭证被盗，攻击者经常可以访问云计算服务的关键区域，从而危及这些服务的机密性、完整性、可用性。

6.怀有恶意的内部人士

云计算安全联盟表示，虽然有些威胁的严重程度是有争议的，但内部威胁是一个真正的威胁。怀有恶意的内部人员（如系统管理员）可以访问潜在的敏感信息，可以更多地访问更重要的系统，并最终访问数据。仅依靠云服务提供商提供安全措施的系统将面临更大的风险。

7.高级持续性威胁（APT）

高级持续性威胁（APT）是一种寄生的网络攻击形式，它渗透到目标公司IT基础设施建立立足点的系统，从中窃取数据。高级持续性威胁（APT）在很长一段时间内逐步达到目标，经常能够适应抵御它们的安全措施。一旦部署到位，高级持续性威胁（APT）可以通过数据中心网络横向移动，并与正常的网络流量融合，达到他们的目的。

8.数据丢失

云计算安全联盟表示，存储在云端的数据可能因恶意攻击以外的原因而丢失。云计算服务提供商遭遇意外删除、火灾或地震等物理灾难可能导致客户数据的永久丢失，云计算提供商或客户应当采取适当的措施来备份数据，遵循业务连续性的最佳实践，实现灾难恢复。

9.尽职调查不足

云计算安全联盟表示，企业当高管制定业务战略时，必须对云计算技术和服务提供商进行考量。在评估云计算技术和提供商时，制定一个良好的路线图和尽职调查清单对于获得大的成功至关重要。而急于采用云计算技术并选择提供商没有执行尽职调查的组织将面临诸多风险。

10.滥用和恶意使用云服务

云计算安全联盟指出，安全性差的云服务部署，免费的云服务试用，以及通过支付工具欺诈进行的欺诈性账户登录将云计算模式暴露在恶意攻击之下。攻击者可能会利用云计算资源来定位用户、组织或其他云计算提供商。滥用云端资源的例子包括启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。

11.拒绝服务（DoS）

拒绝服务（DoS）攻击旨在防止服务的用户访问其数据或应用程序。可以通过强制目标云服务消耗过多的有限系统资源，如处理器能力，内存，磁盘空间或网络带宽，攻击者可能会导致系统速度下降，并使所有合法的用户无法访问服务。

12.共享的技术漏洞

云计算安全联盟指出，云计算服务提供商通过共享基础架构，平台或应用程序来扩展其服务。云技术将“即服务”产品划分为多个产品，而不会大幅改变现成的硬件/软件（有时以牺牲安全性为代价）。构成支持云教育处服务部署的底层组件可能并未设计成为多租户架构或多客户应用程序提供强大的隔离属性。这可能会导致共享的技术漏洞，可能在所有交付模式中被攻击者利用。