十二大主流云安全威胁

越来越多的数据和应用程序正在转移到云上，这一趋势带来了独特的信息安全挑战。以下是企业在使用云服务时所面临的十二大顶级安全威胁。

云计算正在持续改变组织机构使用、存储和共享数据、应用程序和工作负载的方式。这也带来了一系列新的安全威胁和挑战。随着大量数据数据进入云计算——特别是公共云服务，这些资源自然就成为了坏人的目标。

Gartner 公司副总裁兼云安全主管 Jay Heiser 表示：公共云的使用量正在快速增长，因此不可避免地会导致大量敏感内容暴露在潜在风险当中。

与大多数人的认知可能相反，保护云中企业数据的主要责任不在于服务供应商，而在于云客户。

“我们正处于云安全转型时期，重点正从供应商转移到客户身上。企业正在认识到花大量时间试图弄清楚某个特定的云服务供应商是否 ‘安全’，实际上并不重要。

为了让组织机构了解云安全问题的最新动态，以便他们能够就云使用策略做出明智的决策，云安全联盟 (Cloud Security Alliance, CSA) 发布了最新版本的《云计算十二大顶级威胁：行业洞察报告》 。

该报告描述了 CSA 安全专家一致认为的目前云所面对的最大安全问题。CSA 表示，尽管云计算存在很多安全问题，但本文主要关注12个与云计算的共享和按需分配特性相关的问题。后续报告《云计算的最大威胁：深度挖掘》(Top Threats to Cloud Computing: Deep Dive) 列举了有关这12种威胁的案例研究。

为了确定主要威胁，CSA 对行业专家进行了调查，就云计算面临的主要安全问题收集了专业意见。下面是调查得出的一些顶级云安全问题(按调查结果的严重程度排序)：

1. 数据泄露

CSA 表示，数据泄露可能是因为有针对性的攻击，也可能只是人为错误、应用程序漏洞或糟糕的安全措施导致的。数据泄露可能涉及任何不打算公开的信息，包括个人健康信息、财务信息、个人身份信息、商业秘密和知识产权信息。一个组织机构的云数据可能对不同的对象有不同的价值。数据泄露风险并非只有云计算独有，但它始终是云客户最关心的问题。

他在其《深度挖掘》(Deep Dive) 的报告中引用了2012年 LinkedIn 密码遭黑客攻击作为主要例证。由于 LinkedIn 没有加密密码数据库，攻击者窃取了1.67亿个密码。该报告表示，这次泄露警示组织机构应始终对包含用户凭据的数据库进行加盐哈希加密处理，并进行日志记录和异常行为分析。

2. 身份、凭据和访问管理不当

假扮成合法用户、操作人员或开发人员的外部入侵者可以读取、修改和删除数据;发布控制面板和管理功能;监视传输中的数据或发布来源似乎合法的恶意软件。因此，身份、凭据或密钥管理不当可能导致未经授权的数据访问，并可能对组织机构或终端用户造成灾难性的结果。

根据 Deep Dive 的报告，访问管理不当的一个例子是 MongoDB 数据库默认安装设置存在风险。该数据库在默认安装设置中打开了一个端口，允许访问者在不进行身份验证的情况下对数据库进行访问。该报告建议在所有周边环境中实施预防性控制，并要求组织机构扫描托管、共享和公共环境中的漏洞。

3. 不安全接口和应用程序接口(API)

云供应商公开了一套软件用户界面 (UI) 或 API，客户通过这些工具管理云服务并与之进行交互。CSA 表示，供应、管理和监测都是使用这些接口执行的，一般云服务的安全性和可用性取决于 API 的安全性。它们需要被设计成能够阻挡企图避开政策的意外和恶意企图。

4. 系统漏洞

系统漏洞是程序中可利用的漏洞，攻击者可以利用这些漏洞潜入系统窃取数据、控制系统或中断服务操作。CSA 表示，操作系统组件中的漏洞使所有服务和数据的安全性面临重大风险。随着云端用户增加，不同组织机构的系统彼此靠近，并被赋予了访问共享内存和资源的权限，从而产生了一个新的攻击角度。

5. 账户劫持

CSA 指出，帐户或服务劫持并不新鲜，但云服务的出现带来了新的威胁。如果攻击者获得了对用户凭证的访问权，他们就可以监视用户活动和交易，操纵数据，返回伪造的信息，并将客户重定向到非法站点。帐户或服务实例可能成为攻击者的新依据。使用窃取的凭证，攻击者可以访问云计算服务的关键部分，从而破坏这些服务的机密性、完整性和可用性。