自云计算被提出以来,安全问题就如影随形,云计算的落地也因为安全问题导致迟迟未能大范围的落地。随着互联网技术的发展,尽管安全问题已逐渐地褪去“云计算阻碍者”的包袱,但依旧还是云计算服务提供商和用户头疼的大问题。
云计算安全联盟 (CSA)新近发布了一项关于云计算安全的最新调查报告,调查发现在安全专家们看来,网络犯罪分子和黑客造成的混乱是云计算领域面临的最大的威胁。CSA列出了云计算行业面临的九大安全威胁,依次是 1)数据泄露; 2)数据丢失;3)帐户劫持;4)不安全的API;5)拒绝服务攻击;6)内部人员的恶意操作;7)云计算服务的滥用;8)云服务规划不合理:9)共享技术的漏洞问题。
a)安全重点发生变化
从CSA这项调查报告中我们可以发现,云计算安全领域的重点发生了变化,主要以盗取企业数据的网络攻击为主,而且危害也越来越严重。相比2010年,此次CSA列出的云安全威胁发生了较大的变化,数据泄露和帐户劫持的比例分别上升了1%和3%,与此同时,拒绝服务攻击也首次上升到安全威胁榜第五的位置。
CSA的报告指出,这些威胁主要发生在企业用户在进行数据存储和业务交互的过程中;此外,这种威胁已经开始慢慢渗入到企业、政府和教育机构的Web站点和服务提供商。
根据隐私权信息交流中心的数据来看,截止到今年有黑客攻击造成的数据泄露已有28起,导致117000条记录丢失,被攻击的服务提供商包括Zendesk和Twitter。2012年,至少发生了230起数据泄露,造成至少900万条记录的丢失。受此困扰的服务提供商包括Yahoo、eHarmony和LinkedIn。
专家一致认为,只要企业在互联网上开展业务就无法避免黑客的攻击,因为“地下黑客”发展越来越复杂,黑客总是能够获取到相关的软件工具以达到自己的目的。
Gartner分析师Lawrence Pingree表示,“所有预置的非虚拟化和非云部署的漏洞和安全问题仍存在云中,如果整个云计算供应商的基础设施被破坏,那些为了云化和虚拟化而引入的虚拟化软件反而就会增加数据外泄的风险。”
b)黑客行为并不是唯一的威胁
令人惊讶的是,在CSA的列表中,第二大威胁并不是来自网络犯罪的攻击所造成的数据丢失,而是来自云服务商本身。云计算服务商内部人员的意外删除操作会导致数据丢失,这种情况的数据丢失更是时常发生,而且发生的概率绝对大于人们的想象。
在2013年1月份针对3200个组织机构的调查中,赛门铁克发现超过40%的企业丢失了云中的数据,不得不依靠备份数据进行数据的恢复,这样的数据实在惊人。
无论是因为黑客的攻击还是因为服务提供商,数据的丢失无疑是伤害了多方的利益,不管是谁的错,客户和服务提供商的利益都将收到损害,他们损失的不仅仅是营收,还有可能连同客户的信任一起失去,所以数据丢失才会名列威胁榜首。
2010年排在威胁榜第四的API目前有所改善,今年的名次下降到了第四,应该说是一件好事吧。
API中文为应用程序编程接口,顾名思义就是连接云服务和本地应用的接口,通过bending应用来管理云服务。但随着技术的进步,从目前的形势来看,云服务商在对API的锁定上仍有很长的路要走,看API的排名就再清楚不过了。
c)云服务滥用严峻
内部员工恶意操作、云服务的滥用、云服务规划不足和共享技术的漏洞等这些问题都很有可能发生在云服务提供商内部的基础设施架构中,所以,如果出现意外,那么所有的客户都将受到影响。
云服务的滥用指的的是黑客侵入云计算服务提供商内部的服务器执行恶意操作,例如:发动拒绝服务攻击和垃圾软件。而这4个应用在2010的排名还很靠后,现在的危害却越来越明显。
总体来看,2013年的云安全问题真是鱼龙混杂。很多领域得到改善,但数据保护的需求也越来越明显,Gartner预测2016年公共云的营收将达到2066亿美元。不过,除非数据安全问题得到很好的解决,否则这样高的收入也不太容易实现。
(摘自比特网 http://sec.chinabyte.com/236/12558736.shtml)