安全威脅1:數據泄露
為了表明數據泄露對企業的危害程度,CSA在報告中提到了其在2012年11月發表的壹篇研究文章,該文章描述了黑客如何利用邊信道(Side-Channel)時間信息,通過侵入壹臺虛擬機來獲取同壹服務器上的其他虛擬機所使用的私有密鑰。不過,其實不懷好意的黑客未必需要如此煞費苦心,就能確保這種攻擊得逞。要是多租戶雲服務數據庫設計不當,哪怕某壹個用戶的應用程序只存在壹個漏洞,都可以讓攻擊者獲取這個用戶的數據,而且還能獲取其他用戶的數據。
安全威脅2:數據丟失
CSA認為,雲計算環境的第二大威脅是數據丟失。用戶有可能會眼睜睜地看著那些寶貴數據消失得無影無蹤,但是卻對此毫無辦法。不懷好意的黑客會刪除攻擊對象的數據。粗心大意的服務提供商或者災難(如大火、洪水或地震)也可能導致用戶的數據丟失。讓情況更為嚴峻的是,要是用戶丟失了加密密鑰,那麽對數據進行加密的行為反而會給用戶帶來麻煩。
安全威脅3: 數據劫持
第三大雲計算安全風險是賬戶或服務流量被劫持。CSA認為,雲計算在這方面增添了壹個新的威脅。如果黑客獲取了企業的登錄資料,其就有可能竊聽相關活動和交易,並操縱數據、返回虛假信息,將企業客戶引到非法網站。報告表示:“妳的賬戶或服務實例可能成為攻擊者新的大本營。他們進而會利用妳的良好信譽,對外發動攻擊。”CSA在報告中提到了2010年亞馬遜曾遭遇到的跨站腳本(XSS)攻擊。
安全威脅4:不安全的接口
第四大安全威脅是不安全的接口(API)。IT管理員們會利用API對雲服務進行配置、管理、協調和監控。API對壹般雲服務的安全性和可用性來說極為重要。企業和第三方因而經常在這些接口的基礎上進行開發,並提供附加服務。CSA在報告中表示:“這為接口管理增加了復雜度。由於這種做法會要求企業將登錄資料交給第三方,以便相互聯系,因此其也加大了風險。”
安全威脅5: 拒絕服務攻擊
分布式拒絕服務(DDoS)被列為雲計算面臨的第五大安全威脅。多年來,DDoS壹直都是互聯網的壹大威脅。而在雲計算時代,許多企業會需要壹項或多項服務保持7×24小時的可用性,在這種情況下這個威脅顯得尤為嚴重。DDoS引起的服務停用會讓服務提供商失去客戶,還會給按照使用時間和磁盤空間為雲服務付費的用戶造成慘重損失。
安全威脅6: 不懷好意的“臨時工”
第六大威脅是不懷好意的內部人員,這些人可能是在職或離任的員工、合同工或者業務合作夥伴。他們會不懷好意地訪問網絡、系統或數據。在雲服務設計不當的場景下,不懷好意的內部人員可能會造成較大的破壞。從基礎設施即服務(IaaS)、平臺即服務(PaaS)到軟件即服務(SaaS),不懷好意的內部人員擁有比外部人員更高的訪問級別,因而得以接觸到重要的系統,最終訪問數據。
安全威脅7:濫用雲服務
第七大安全威脅是雲服務濫用,比如壞人利用雲服務破解普通計算機很難破解的加密密鑰。另壹個例子是,惡意黑客利用雲服務器發動分布式拒絕服務攻擊、傳播惡意軟件或***享盜版軟件。