云計(jì)算安全一直成為業(yè)界關(guān)注焦點(diǎn)�����,近日從CSA報(bào)告(點(diǎn)擊下載)中對(duì)云領(lǐng)域的威脅進(jìn)行了分析���,并對(duì)2013年云計(jì)算的一些威脅進(jìn)行了排名���。
從報(bào)告中可以看到,2013年前三大威脅是數(shù)據(jù)泄露��、數(shù)據(jù)丟失和賬戶劫持���。在2010年�,云計(jì)算中前三個(gè)是云服務(wù)的濫用�、不安全接口和API、內(nèi)部人員惡意破壞���。這三個(gè)威脅仍在今年的名單上�����,但排名分別下跌到第7�����、4�、6位。
從報(bào)告中總結(jié)2013年九個(gè)云計(jì)算的威脅:
1. 數(shù)據(jù)泄露
對(duì)于企業(yè)���,數(shù)據(jù)泄露是一個(gè)老生常談的問(wèn)題�����,但云計(jì)算加重了這種威脅��,特別是對(duì)于一個(gè)設(shè)計(jì)不當(dāng)?shù)脑品⻊?wù)數(shù)據(jù)庫(kù)將使攻擊者不僅僅進(jìn)入一個(gè)帳戶��,而且會(huì)進(jìn)入與該服務(wù)相關(guān)的其他帳戶����。
2. 數(shù)據(jù)丟失
對(duì)于數(shù)據(jù)丟失也是經(jīng)常發(fā)生的��,用戶設(shè)備被破解�,造成數(shù)據(jù)被偷或被刪除。同樣天災(zāi)(比如颶風(fēng)桑迪)可能會(huì)導(dǎo)致永久性的數(shù)據(jù)丟失���,對(duì)于云計(jì)算而言如果一個(gè)企業(yè)的數(shù)據(jù)在上傳到云之前就行加密���,就能更好地保護(hù)加密密鑰或數(shù)據(jù)����。
3. 賬戶或服務(wù)信息劫持
黑客通過(guò)網(wǎng)絡(luò)釣魚(yú)或軟件漏洞來(lái)劫持用戶信息�����。通常根據(jù)一個(gè)密碼就可以竊取用戶多個(gè)服務(wù)中的資料��。對(duì)于云供應(yīng)商而言��,如果被盜的密碼可以登陸云端平臺(tái)���,那么用戶的數(shù)據(jù)將被竊聽(tīng)、篡改�����,甚至重定向用戶的服務(wù)到網(wǎng)站��。
4. 不安全的接口和API
云端平臺(tái)中的API允許任意數(shù)量的交互應(yīng)用�,對(duì)整體安全來(lái)說(shuō)是一個(gè)薄弱的環(huán)節(jié)。API通過(guò)政策進(jìn)行控制����,開(kāi)發(fā)人員須在質(zhì)量和安全性設(shè)計(jì)方面有所變化,但因?yàn)锳PI是跨領(lǐng)域的分層使得問(wèn)題比較復(fù)雜���。
