最新：九大潜在威胁阻碍云计算产业推广

yizhongqiao

中国IDC圈613报道：2013被称为云计算产业发展从这一开始云计算在技术完善及应用方面都将得到较广泛的应用。对云管理服务商提出了更高的要求，不仅需要具备专业团队、管理工具和标准流程，还要与云服务商保持良好的合作关系，要把应用迁移服务做到极致，要有长期稳定的组织架构和良好的财务状况，能够持续为客户提供所需的专业服务。

据IDC预测到2015之云计算总产值将超过300亿美。同时专家预计三间云计算市场规模均复合增长率将达9152010中国云计算的市场规模为16731亿2013将达117412亿。

目即使众多专家认为今为产业但是对于用户来说对于它的安全性还一直保有疑虑直接导致发展遇到一困扰。现阶段云产业的发展还面临九大产业威胁：

威胁1：

数据泄露对于每位CIO来说最大的噩梦就是自己敏感的内部数据落入了竞争者之手这也让高管们寝食难安。云计算则为这一问题增加了新的挑战。201211北卡莱罗纳州大学和RSA的研究者发布的报告就显示了在同一台物理机上一个虚拟机如何利用侧通道计时信息来提取出另一个虚拟机的私有密钥。但是在许多案例里攻击者甚至不需要这么复杂的操作。如果一个多租户的云服务数据库设计不妥当或许就会因为一个漏洞而导致所有客户的数据遭殃。

延伸

不幸的是虽然数据丢失和数据泄露都是对云计算的严重威胁你所采取的措施或许能缓解某一方面但却可能让另一方面更加麻烦或许你可以把所有的数据都加密起来但如果把密钥丢了那你等于所有数据都丢了。反之如果你想把所有的数据都进行离线备份来降低灾难性数据丢失的影响但又增加了你的数据暴露的风险。

威胁2：

数据丢失对于消费者和企业双方而言数据丢失都是非常严重的问题。而存储在云中的数据则可能因为其他的原因而造成丢失。云服务供应商的一次删除误操作或者火灾等自然因素导致的物理性损害都可能导致用户数据丢失除非供应商做了非常到位的备份工作。但数据丢失的责任并非总是只在供应商一方比如如果用户在上传数据之加密不妥当然后自己又弄丢了密钥那么也可能造成数据丢失。

延伸

许多承诺性政策里都要求组织对数据安全进行持续的审计记录或其他形式的文档存档。如果组织存储在云中的数据发生了丢失将会导致组织的承诺陷入困境。

威胁3：

账户或服务流量劫持黑客通过络钓鱼、欺诈或利用软件漏洞来劫持无辜的用户。通常黑客根据一个密码就可以窃取用户多个服务中的资料因为用户不会为每个服务设立一个不一样的密码。对于供应商如果被盗的密码可以登陆云那么用户的数据将被窃听、篡改黑客将向用户返回虚假信息或重定向用户的服务到欺诈。不仅对用户自身造成损失还将对供应商的声誉造成影响。

延伸

账户和服务劫持及通常伴随的证书盗窃仍位列威胁列。窃取证书后攻击者通常都可以进入云服务里的一些关键性领域破坏其机密性、完整性和可用性。企业组织应该对这种技术手段做必要的防范以及采取一些深层次的防御手段来保护数据免受外泄危机。同时应该禁止用户和服务之间共享账号证书必要的话还应采取双重验证机制。

威胁4：

账户或服务流量劫持对于每位CIO来说最大的噩梦就是自己敏感的内部数据落入了竞争者之手这也让高管们寝食难安。云计算则为这一问题增加了新的挑战。201211北卡莱罗纳州大学和RSA的研究者发布的报告就显示了在同一台物理机上一个虚拟机如何利用侧通道计时信息来提取出另一个虚拟机的私有密钥。但是在许多案例里攻击者甚至不需要这么复杂的操作。如果一个多租户的云服务数据库设计不妥当或许就会因为一个漏洞而导致所有客户的数据遭殃。

延伸

大多数供应商都在努力加强他们服务的安全机制而对于消费者来说他们未必能很好的理解他们在使用、管理和监控云服务过程中可能牵涉到的安全问题。薄弱的接口和API设置会让企业组织陷入许多安全性问题影响机密性、可用性等。

威胁5：

拒绝服务攻击简单来说拒绝服务攻击就是指攻击者阻止正常用户正常访问云服务的一种攻击手段。通常是迫使一些关键性云服务来消耗大量的系统资源例如处理进程、内存、硬盘空间、络带宽导致云服务器反应变得极为缓慢或者完全没有响应。

拒绝服务攻击DDS引起过许多的麻烦并一直被媒体所关注他们的攻击可能并无实质性目的。非对称应用程序级别拒绝服务攻击所瞄准的就是W服务器、数据库或其他云计算资源脆弱的这一点然后在应用程序上运行一小段恶意程序有时甚至不足100个字节。

延伸

流量高峰期遭遇拒绝服务攻击时就像遇到了大堵车一样无法访问目标服务器除了等待你什么都做不了。对于消费者服务中断不仅会挫伤他们对云服务的信心还会导致他们考虑将关键性数据从云中转移走以降低损失。更糟的是由于云服务的收费模式通常都是按用户消耗了多少系统资源占用了多少空间来计算因此即便是攻击者没有完全把你的系统搞瘫痪也会让你因为巨大的资源消耗而蒙受巨大的云服务费用。

威胁6：

恶意的内部人员在安全行业来自内部恶意人员造成的威胁已经成为一个争议话题。争议归争议事实上这种事情确实存在。对组织存在威胁的恶意内部人员可能是那些有进入企业组织络、系统、数据库权限的在任的或曾经的员工承包商或者其他业务伙伴他们滥用权限导致企业组织的系统和数据的机密性、完整性、可用性受损。

延伸

诸如系统管理员等内部恶意人员都拥有访问企业敏感信息和关键领域的权限。从IS到PS和SS内部恶意人员能够访问的敏感领域级别也越来越多甚至是数据。因此那些全靠云服务供应商来进行安全管理的系统都面临着巨大的风险。即便是加密过如果客户没有很好的掌握着密钥或者限制可用的时间段那么系统都可能面临着来自内部恶意人员的威胁。

威胁7：

滥用云服务云计算的一个最大的优点就是它可以让哪怕是最小的企业来使用最大数量的计算资源。对于大多数企业来说他们都支付不起成百上千的服务器而使用成百上千个云服务器就没问题。然而并非所有人都能正确良好的利用这种资源。比如如果一个攻击者想要破解一个密钥使用自己的机器可能要好几而使用云计算服务器强大的计算能力可能数分钟就搞定了。或者攻击者可能使用云服务器来进行DDS攻击存储恶意软件或者盗版软件。

延伸

需要考虑这一威胁的更多的是云服务供应商。此类事情发生次数已经在增多了。如何防止别人滥用使用你提供的服务？如何定义滥用？如何阻止这种事情再次发生？

威胁8：

审查不足降低成本运营效率安全提升这些优点让人们对云计算趋之若鹜对于那些有资源有能力来合理利用云技术的企业来说这确实是一个很实在的目标但有很多企业实际上在一拥而上的大潮里并未真正的明确的了解这一技术的全貌。

如果对云服务供应商环境、应用程序、运营责任如事故责任、加密问题、安全监控等没有充分的了解企业组织如果贸然采用云计算就可能面临着认知不足的各种未知的风险这恐怕比眼下的风险要更加严重。

延伸

贸然采用云服务的企业组织可能会自己陷入多种问题。如责任、义务、供应商和客户间透明度、服务的相符程度等合同问题。将那些依赖完整络级别安全控制的应用程序迁移到云之后如果失去控制或者供应商提供的服务与客户的需求不符就会非常麻烦和危险。未知的运营和架构问题也会随着应用程序设计师和架构师与客户沟通不足而引发种种问题。

企业和组织迁移到云的底线是必须要有一定的资本能力以及对云服务供应商足够广泛详细的审查并充分了解新技术所存在的风险。

威胁9：

共享技术漏洞云服务供应商要交付规模化的服务就要共享基础设施、平台和应用程序。组成这些基础设施的组件包括CPU缓存、GPU等的设计如果没有针对多租户架构IS、重部署平台PS或多客户应用程序SS的优良隔离机制那么如果存在威胁所有的服务模式都将面临威胁。必须建立深层次的防御战略包括计算、存储、络、应用程序和用户安全执法和监控无论是何种云服务模式。关键是在整个的云服务里必须要有一个完整的漏洞和错误配置解决机制。

延伸

管理程序、共享平台组件、共享应用程序等共享技术所存在的风险远比客户行为更要紧因为这种问题可能将整个系统的弱点暴露给攻击者。这些漏洞将会是非常致命的牵一发而动全身整个云系统可能瞬间瘫痪。