自云計算被提出以來，安全問題就如影隨形，云計算的落地也因為安全問題導(dǎo)致遲遲未能大范圍的落地。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，盡管安全問題已逐漸地褪去“云計算阻礙者”的包袱，但依舊還是云計算服務(wù)提供商和用戶頭疼的大問題。

云計算安全聯(lián)盟 (CSA)新近發(fā)布了一項關(guān)于云計算安全的最新調(diào)查報告，調(diào)查發(fā)現(xiàn)在安全專家們看來，網(wǎng)絡(luò)犯罪分子和黑客造成的混亂是云計算領(lǐng)域面臨的最大的威脅。CSA列出了云計算行業(yè)面臨的九大安全威脅，依次是 1）數(shù)據(jù)泄露； 2）數(shù)據(jù)丟失；3）帳戶劫持；4）不安全的API；5）拒絕服務(wù)攻擊；6）內(nèi)部人員的惡意操作；7）云計算服務(wù)的濫用；8）云服務(wù)規(guī)劃不合理：9）共享技術(shù)的漏洞問題。

a)安全重點發(fā)生變化

從CSA這項調(diào)查報告中我們可以發(fā)現(xiàn)，云計算安全領(lǐng)域的重點發(fā)生了變化，主要以盜取企業(yè)數(shù)據(jù)的網(wǎng)絡(luò)攻擊為主，而且危害也越來越嚴(yán)重。相比2010年，此次CSA列出的云安全威脅發(fā)生了較大的變化，數(shù)據(jù)泄露和帳戶劫持的比例分別上升了1%和3%，與此同時，拒絕服務(wù)攻擊也首次上升到安全威脅榜第五的位置。

CSA的報告指出，這些威脅主要發(fā)生在企業(yè)用戶在進(jìn)行數(shù)據(jù)存儲和業(yè)務(wù)交互的過程中；此外，這種威脅已經(jīng)開始慢慢滲入到企業(yè)、政府和教育機構(gòu)的Web站點和服務(wù)提供商。

根據(jù)隱私權(quán)信息交流中心的數(shù)據(jù)來看，截止到今年有黑客攻擊造成的數(shù)據(jù)泄露已有28起，導(dǎo)致117000條記錄丟失，被攻擊的服務(wù)提供商包括Zendesk和Twitter。2012年，至少發(fā)生了230起數(shù)據(jù)泄露，造成至少900萬條記錄的丟失。受此困擾的服務(wù)提供商包括Yahoo、eHarmony和LinkedIn。

專家一致認(rèn)為，只要企業(yè)在互聯(lián)網(wǎng)上開展業(yè)務(wù)就無法避免黑客的攻擊，因為“地下黑客”發(fā)展越來越復(fù)雜，黑客總是能夠獲取到相關(guān)的軟件工具以達(dá)到自己的目的。

Gartner分析師Lawrence Pingree表示，“所有預(yù)置的非虛擬化和非云部署的漏洞和安全問題仍存在云中，如果整個云計算供應(yīng)商的基礎(chǔ)設(shè)施被破壞，那些為了云化和虛擬化而引入的虛擬化軟件反而就會增加數(shù)據(jù)外泄的風(fēng)險?！?/p>

b)黑客行為并不是唯一的威脅

令人驚訝的是，在CSA的列表中，第二大威脅并不是來自網(wǎng)絡(luò)犯罪的攻擊所造成的數(shù)據(jù)丟失，而是來自云服務(wù)商本身。云計算服務(wù)商內(nèi)部人員的意外刪除操作會導(dǎo)致數(shù)據(jù)丟失，這種情況的數(shù)據(jù)丟失更是時常發(fā)生，而且發(fā)生的概率絕對大于人們的想象。

在2013年1月份針對3200個組織機構(gòu)的調(diào)查中，賽門鐵克發(fā)現(xiàn)超過40%的企業(yè)丟失了云中的數(shù)據(jù)，不得不依靠備份數(shù)據(jù)進(jìn)行數(shù)據(jù)的恢復(fù)，這樣的數(shù)據(jù)實在驚人。

無論是因為黑客的攻擊還是因為服務(wù)提供商，數(shù)據(jù)的丟失無疑是傷害了多方的利益，不管是誰的錯，客戶和服務(wù)提供商的利益都將收到損害，他們損失的不僅僅是營收，還有可能連同客戶的信任一起失去，所以數(shù)據(jù)丟失才會名列威脅榜首。

2010年排在威脅榜第四的API目前有所改善，今年的名次下降到了第四，應(yīng)該說是一件好事吧。

API中文為應(yīng)用程序編程接口，顧名思義就是連接云服務(wù)和本地應(yīng)用的接口，通過bending應(yīng)用來管理云服務(wù)。但隨著技術(shù)的進(jìn)步，從目前的形勢來看，云服務(wù)商在對API的鎖定上仍有很長的路要走，看API的排名就再清楚不過了。

c)云服務(wù)濫用嚴(yán)峻

內(nèi)部員工惡意操作、云服務(wù)的濫用、云服務(wù)規(guī)劃不足和共享技術(shù)的漏洞等這些問題都很有可能發(fā)生在云服務(wù)提供商內(nèi)部的基礎(chǔ)設(shè)施架構(gòu)中，所以，如果出現(xiàn)意外，那么所有的客戶都將受到影響。

云服務(wù)的濫用指的的是黑客侵入云計算服務(wù)提供商內(nèi)部的服務(wù)器執(zhí)行惡意操作，例如：發(fā)動拒絕服務(wù)攻擊和垃圾軟件。而這4個應(yīng)用在2010的排名還很靠后，現(xiàn)在的危害卻越來越明顯。

總體來看，2013年的云安全問題真是魚龍混雜。很多領(lǐng)域得到改善，但數(shù)據(jù)保護(hù)的需求也越來越明顯，Gartner預(yù)測2016年公共云的營收將達(dá)到2066億美元。不過，除非數(shù)據(jù)安全問題得到很好的解決，否則這樣高的收入也不太容易實現(xiàn)。

（摘自比特網(wǎng) http：//sec.chinabyte.com/236/12558736.shtml）