摘要：如今，公共云的應(yīng)用正在快速增長，但也不可避免地帶來了一系列新的安全威脅和挑戰(zhàn)。而保護(hù)云端企業(yè)數(shù)據(jù)的安全，亟需云服務(wù)提供商與每一位云客戶的共同努力。近日，云計(jì)算安全聯(lián)盟(CSA)發(fā)布最新版云計(jì)算安全報(bào)告，以幫助企業(yè)了解云安全問題，進(jìn)而采取更為明智的防護(hù)舉措。

　 如今，公共云的應(yīng)用正在快速增長，但也不可避免地帶來了一系列新的安全威脅和挑戰(zhàn)。而保護(hù)云端企業(yè)數(shù)據(jù)的安全，亟需云服務(wù)提供商與每一位云客戶的共同努力。近日，云計(jì)算安全聯(lián)盟(CSA)發(fā)布最新版云計(jì)算安全報(bào)告，以幫助企業(yè)了解云安全問題，進(jìn)而采取更為明智的防護(hù)舉措。

　　數(shù)據(jù)丟失或泄露

　　如服務(wù)商遭遇意外刪除、火災(zāi)或地震等狀況，可能導(dǎo)致客戶數(shù)據(jù)的永久丟失，因此必須采取適當(dāng)措施以備份數(shù)據(jù)，確保業(yè)務(wù)的連續(xù)性。針對性攻擊、人為錯(cuò)誤、應(yīng)用程序漏洞或安全措施不佳，將極大可能導(dǎo)致客戶數(shù)據(jù)的泄露。數(shù)據(jù)泄露的風(fēng)險(xiǎn)并不僅僅存在于云端，但應(yīng)始終作為用戶首要考慮的因素。

　　系統(tǒng)和技術(shù)漏洞

　　操作系統(tǒng)組件中的漏洞使得所有服務(wù)和數(shù)據(jù)的安全性都面臨重大風(fēng)險(xiǎn)。攻擊者可以通過漏洞入侵并控制系統(tǒng)，竊取數(shù)據(jù)和破壞服務(wù)操作。而共享的技術(shù)漏洞，也可能在所有交付模式中被攻擊者利用。隨著云端出現(xiàn)多租戶，不同組織的系統(tǒng)彼此靠近，并且允許訪問共享內(nèi)存和資源，從而創(chuàng)建新的攻擊面。

　　賬戶與身份管理不善

　　網(wǎng)絡(luò)犯罪分子偽裝成合法用戶、運(yùn)營人員或開發(fā)人員以讀取、修改和刪除數(shù)據(jù)，獲取控制平臺和管理功能，在用戶傳輸數(shù)據(jù)的過程中進(jìn)行窺探，發(fā)布看似合法來源的來源的惡意軟件。如果身份不足、憑證或密鑰管理不善，可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問，對組織或終端用戶造成災(zāi)難性損害。

　　免費(fèi)背后的欺詐隱患

　　濫用和惡意使用云服務(wù)：安全性差的云端部署，免費(fèi)的云服務(wù)試用，以及通過支付工具欺詐進(jìn)行的欺詐性賬戶登錄將云計(jì)算模式暴露在惡意攻擊之下。攻擊者可能會利用云計(jì)算資源來定位用戶、組織或其他云計(jì)算提供商。濫用云端資源的例子包括啟動分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。

　　API安全存疑，DoS攻擊泛濫

　　云計(jì)算提供商提供了一組客戶使用的軟件用戶界面(UI)或API來管理和與云服務(wù)交互。因此云服務(wù)的安全性和可用性多取決于API，需要進(jìn)行設(shè)計(jì)以防止意外或惡意企圖。拒絕服務(wù)(DoS)攻擊影響用戶正常訪問其數(shù)據(jù)或應(yīng)用程序，并大量消耗有限系統(tǒng)資源，導(dǎo)致系統(tǒng)速度下降。