隨著云計算越來越廣泛的應(yīng)用到各行各業(yè)中，其安全問題也隨之而來。相較于傳統(tǒng)應(yīng)用，云計算引起的安全事件和風(fēng)險要高出很多，其原因在于用戶及信息資源的高度化集中。不安全的云服務(wù)將增加敏感數(shù)據(jù)泄露、丟失、惡意攻擊等風(fēng)險。你知道嗎？在過去的一年間，全球58％的企業(yè)承認(rèn)自己曾遭遇過數(shù)據(jù)泄露問題。到了2018年，來自云計算的安全威脅恐怕只增不減，而這12個云安全威脅尤其要注意。

都上云了安全嗎？2018年留神這些云安全威脅

其實，云端成為網(wǎng)絡(luò)犯罪分子的目標(biāo)并不奇怪，因為這里存儲著大量的數(shù)據(jù)，尤其是公有云。對此，相關(guān)云安全專家也指出“公有云的應(yīng)用正在快速增長，因此不可避免地會導(dǎo)致出現(xiàn)更多的潛在風(fēng)險敏感內(nèi)容”。為了讓大家，特別是企業(yè)用戶了解云安全，以便采用正確的策略與決策，云計算安全聯(lián)盟（CSA）發(fā)布了最新版的《云計算的12大威脅：行業(yè)見解報告》，并針對云計算中最嚴(yán)重的安全問題，匯總了一些專業(yè)的意見和建議。

首先要注意的就是數(shù)據(jù)泄露問題。當(dāng)中，既有可能是網(wǎng)絡(luò)攻擊者發(fā)動的竊取行為，也有人為錯誤、應(yīng)用漏洞等導(dǎo)致的數(shù)據(jù)泄露。因此，這就有可能涉及像個人信息、財務(wù)信息、個人身份識別信息或是商業(yè)機密與知識產(chǎn)權(quán)，事因不同其所帶來的影響等級也就不同。我們說，盡管數(shù)據(jù)泄露威脅并非云計算所獨有的安全威脅，但卻需要云計算用戶重點防范。

網(wǎng)絡(luò)犯罪分子分常善于將自己偽裝成合法“身份”，例如用戶、運營人員、開發(fā)人員，可以毫不費力的讀取、修改、刪除數(shù)據(jù)，獲取權(quán)限接管系統(tǒng)。當(dāng)有用戶傳輸數(shù)據(jù)時，他們便可從中窺探數(shù)據(jù)，發(fā)布看似合法的惡意軟件。因此，身份不足、憑證和訪問管理不善，都可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)被訪問，更甚者對組織和最終用戶帶來災(zāi)難性的損失。

再者，就是不安全的接口和應(yīng)用程序編程接口（API）。云計算提供商提供了一組客戶使用的軟件用戶界面（UI）或API來管理和與云服務(wù)交互。對此，云計算安全聯(lián)盟表示，其配置、管理和監(jiān)控都是通過這些接口來執(zhí)行的，通常情況下云服務(wù)的安全性和可用性取決于API的安全性，需要對其進行設(shè)計以防止意外和惡意企圖。

在我們已知的網(wǎng)絡(luò)攻擊中，有很多次是由于系統(tǒng)漏洞所致。攻擊者利用這些系統(tǒng)漏洞，侵入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或破壞服務(wù)。云計算安全聯(lián)盟認(rèn)為，操作系統(tǒng)組件中的漏洞使得所有服務(wù)和數(shù)據(jù)的安全性都面臨重大風(fēng)險，隨著云端出現(xiàn)多租戶，來自不同組織的系統(tǒng)彼此靠近，并且允許訪問共享內(nèi)存和資源，從而創(chuàng)建新的攻擊面。

接著再來說賬戶劫持。盡管賬戶或服務(wù)劫持并非什么新鮮事，但涉及到云，如果攻擊者獲得對用戶憑證的訪問權(quán)限，他們就可以竊聽活動與交易，操縱數(shù)據(jù)，返回偽造的信息并將客戶重定向到非法的站點。由于憑證被盜，攻擊者能經(jīng)常訪問云計算服務(wù)的關(guān)鍵區(qū)域，從而危及這些服務(wù)的機密性、完整性、可用性。

我們常說‘家賊難防�！�其實，威脅有時不單單來自外部，很有可能出自內(nèi)部人員。對此，云計算安全聯(lián)盟表示，雖然有些威脅的嚴(yán)重程度存有爭議，但內(nèi)部威脅卻是一個真正的威脅。心懷鬼胎的內(nèi)部人員（如系統(tǒng)管理員）可以訪問潛在的敏感信息，可以更多地訪問更重要的系統(tǒng)，并最終訪問數(shù)據(jù)。僅依靠云服務(wù)提供商提供安全措施的系統(tǒng)將面臨更大的風(fēng)險。

在眾多攻擊形式中，高級持續(xù)性威脅（APT）是一種寄生的網(wǎng)絡(luò)攻擊形式，其能滲透到目標(biāo)IT基礎(chǔ)設(shè)施建立立足點的系統(tǒng)，從而竊取數(shù)據(jù)。高級持續(xù)性威脅（APT）在很長一段時間內(nèi)逐步達到目標(biāo)，經(jīng)常能夠適應(yīng)抵御它們的安全措施。一旦完成部署，高級持續(xù)性威脅（APT）可以通過數(shù)據(jù)中心網(wǎng)絡(luò)橫向移動，并與正常的網(wǎng)絡(luò)流量融合，達到他們的目的。

除了數(shù)據(jù)泄露，云安全面臨的另一個問題就是數(shù)據(jù)丟失。對此，云計算安全聯(lián)盟表示，存儲在云端的數(shù)據(jù)可能因惡意攻擊以外的原因而丟失。例如云服務(wù)提供商遭遇意外刪除、火災(zāi)或地震等物理災(zāi)難可能導(dǎo)致客戶數(shù)據(jù)的永久丟失，云服務(wù)提供商或客戶應(yīng)當(dāng)采取適當(dāng)?shù)拇胧﹤浞輸?shù)據(jù)，遵循業(yè)務(wù)連續(xù)性的最佳實踐，實現(xiàn)災(zāi)難恢復(fù)。

還有就是盡職調(diào)查不足。企業(yè)高管制定業(yè)務(wù)戰(zhàn)略時，必須對云計算技術(shù)和服務(wù)提供商進行充分的考量，且在對云計算技術(shù)和提供商進行評估時，要制定一個良好的路線圖和盡職調(diào)查清單，這些都至關(guān)重要；而急于采用云計算技術(shù)并選擇提供商沒有執(zhí)行盡職調(diào)查的組織，將面臨諸多風(fēng)險。

我們說，那些安全性差、免費試用以及通過支付工具欺詐進行的欺詐性賬戶登錄，將云計算模式暴露在惡意攻擊之下，而攻擊者們很可能利用云計算資源來定位用戶、組織或其他云計算提供商，啟動分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊等都屬于濫用云端資源。

云計算的另一個安全威脅就是DoS，即拒絕服務(wù)攻擊，其目的是防止服務(wù)的用戶訪問其數(shù)據(jù)或應(yīng)用程序�？梢酝ㄟ^強制目標(biāo)云服務(wù)消耗過多的有限系統(tǒng)資源，如處理器能力，內(nèi)存，磁盤空間或網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)攻擊者可能會導(dǎo)致系統(tǒng)速度下降，并使所有合法的用戶無法訪問服務(wù)。

最后一個威脅來自共享的技術(shù)漏洞。云計算安全聯(lián)盟指出，云計算服務(wù)提供商通過共享基礎(chǔ)架構(gòu)，平臺或應(yīng)用程序來擴展其服務(wù)。云技術(shù)將“即服務(wù)”產(chǎn)品劃分為多個產(chǎn)品，而不會大幅改變現(xiàn)成的軟／硬件，有時甚至以犧牲安全性為代價。構(gòu)成支持云教育處服務(wù)部署的底層組件可能并未設(shè)計成為多租戶架構(gòu)或多客戶應(yīng)用程序提供強大的隔離屬性。這可能會導(dǎo)致共享的技術(shù)漏洞，面臨在所有交付模式中被攻擊者利用的安全風(fēng)險。

未來，隨著更多企業(yè)將業(yè)務(wù)遷移至云端，其安全性與合規(guī)性將成為最主要的關(guān)注點。鑒于2017年發(fā)生的一系列云安全問題，如何更好地保護消費者和終端用戶將成為重點，而2018年也將成為云安全的分水嶺。在這里，我們也衷心希望2018云安全事件少發(fā)。