移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全云安全
当前位置: 主页 > 信息安全 > 云安全 >

2013年云计算的九大威胁 数据安全成最关键问题

时间:2013-03-11 13:35来源: 点击:
云计算带来了诸多好处,但云计算的威胁同样不能无视,CSA本周就对云领域的威胁进行了分析,并将其进行了排名。 2013年云计算的九大威胁 数据安全成最关键问题
Tags数据安全(840)云计算(555)API(6)SaaS(47)  

  带来了诸多好处,但云计算的威胁同样不能无视,CSA本周就对云领域的威胁进行了分析,并将其进行了排名。排名 前九的威胁分别是:数据泄露、数据丢失、账户或服务流量劫持、不安全的接口和API、拒绝服务、恶意的内部人员、云服务的滥用、不够充分的审查、共享技术 漏洞。

  联盟(CSA)本周对2013年云计算的一些威胁进行了排名。在本次的排名中,前九名分别是:分别是:数据泄露、数据丢失、账户或服务流量劫持、不安全的接口和API、拒绝服务、恶意的内部人员、云服务的滥用、不够充分的审查、共享技术漏洞。

  今年前三大威胁是数据泄露、数据丢失和账户劫持。在2010年,前三个是云服务的滥用、不安全的接口和API、恶意的内部人士。这三个威胁仍在今年的名单上,但排名分别下跌到第7、4、6位。

  在RSA大会的年度首脑会议上,CSA发布了这份由其Top Threats Working Group汇编的排行榜,旨在对和他们的风险管理决策方面提供帮助。

  CSA 的Top Threats Working Group与联盟的行业专家开展了一项云威胁的调查,这些行业专家包括:软件的高级安全分析师Rafal Los、Voodoo Security的创始人兼首席顾问Dave Shackleford以及的高级安全项目经理Bryan Sullivan等。

  以下是2013年的9个云计算的最严重的威胁:

  1. 数据泄露

  我们都知道,数据泄露像一个讨厌的老相识,但云计算加重了这种威胁。一个设计不当的多租户云服务将使攻击者不仅仅进入一个帐户,而且会进入每一个与该服务相关的其他帐户。

  2. 数据丢失

  这是经常发生的故事,你的设备被破解,造成数据被偷或被删除。意外删除或天灾(比如飓风桑迪)都可能会导致永久性的数据丢失,除非供应商提供备份。同样,如果一个企业的数据在上传到云之前就行加密,他们就能更好地保护加密密钥或数据。

  3. 账户或服务流量劫持

  黑 客通过、欺诈或利用软件漏洞来劫持无辜的用户。通常黑客根据一个密码就可以窃取用户多个服务中的资料,因为用户不会为每个服务设立一个不一样的密 码。对于供应商,如果被盗的密码可以登陆云,那么用户的数据将被窃听、篡改,黑客将向用户返回虚假信息,或重定向用户的服务到欺诈网站。不仅对用户自身造 成损失,还将对供应商的声誉造成影响。

  4. 不安全的接口和API

  云中的API允许任意数量的交互——配置、管理和监控等,他们对整体安全来说是一个薄弱的环节。API通过政策进行控制,开发人员必须在质量和安全性方面注意设计,这是无法避免的。这个问题变得更复杂,因为API是跨领域的分层。

  5. 拒绝服务

  剥夺用户访问他们的资源和数据,并造成延迟是破坏一个云服务的一个攻击方法,可能意味着在线服务的死亡。其他形式的攻击,如非对称应用级的DoS攻击,在不消耗大量的资源的情况下就可利用弱点将、数据库和其他云资源作为目标。

  6. 恶意的内部人员

  恶意的内部人员风险是每个组织必须考虑的方面。这种情况不一定发生,但当它发生时,它造成的伤害就会很大。CSA表示,完全依赖于云服务提供商的安全系统,是最大的风险。

  7. 云服务的滥用

  云服务的大众化,导致它可向任何人提供计算资源,不管那些人的目的是什么,即便他们正是那些寻求资源,以破解你的加密信息、发动拒绝服务攻击、服务的恶意软件或散布盗版软件的人。

  8. 不够充分的审查

  云计算的好处听起来有很多,比如降低成本、提高效率、更好的安全性等,但迁移到云计算的风险是没有足够的评估风险。不了解云服务环境、应用程序或服务被推到云中、营运责任(比如事件响应、加密、安全监控等),这些都会对企业产生未知的风险。

  9. 共享技术漏洞

  所有的交付模型展示了共享基础设施、平台和应用程序所带来的特点。一个防守深入策略由CSA提出,包括计算、、网络、应用程序和用户安全执行,以及对IaaS、PaaS和的监测。一个故障可以波及整个服务提供商的云。

------分隔线----------------------------

推荐内容