管理或?qū)彶椴蛔阒矸菡J(rèn)證管理薄弱

傳統(tǒng)的網(wǎng)絡(luò)安全模型中，針對(duì)網(wǎng)絡(luò)終端用戶的安全接入和訪問控制已有成熟的解決方案，但是在云計(jì)算環(huán)境下，對(duì)云端用戶的安全接入和訪問控制出現(xiàn)一些新的要求

2018-04-19 閱讀全文>>

云計(jì)算服務(wù)濫用或誤用

目前，出于市場的考慮，為了使更多的用戶使用云計(jì)算服務(wù)，云服務(wù)提供商對(duì)登記流程的管理不是很嚴(yán)格，任何一個(gè)持有信用卡的用戶都可以注冊(cè)和使用云計(jì)算服務(wù)，云計(jì)算服務(wù)很容易獲得且租用費(fèi)用低廉。

惡意的內(nèi)部行為

大多數(shù)企業(yè)都被內(nèi)部惡意人員的問題所困擾，在云計(jì)算環(huán)境下，這種威脅進(jìn)一步增加。在此場景下，所有IT設(shè)備或數(shù)據(jù)被集中管理，內(nèi)部人員擁有的權(quán)限能夠讓其獲取敏感數(shù)據(jù)甚至整個(gè)云計(jì)算服務(wù)平臺(tái)的完全控制權(quán)，并且難以被發(fā)現(xiàn)。

不安全的接口

另外，開發(fā)過程的安全測試、運(yùn)行過程的滲透測試等安全實(shí)踐，不管從測試工具還是測試方法上，對(duì)于網(wǎng)絡(luò)接口和應(yīng)用程序編程接口都不夠成熟，一旦后臺(tái)安全功能被開放，將引入額外的安全入侵入口。

拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指攻擊者阻止用戶正常訪問云計(jì)算服務(wù)的一種攻擊手段，通常是發(fā)起一些關(guān)鍵性操作來消耗大量的系統(tǒng)資源，如進(jìn)程、內(nèi)存、硬盤空間、網(wǎng)絡(luò)帶寬等，導(dǎo)致云計(jì)算服務(wù)器反應(yīng)變得極為緩慢或者完全沒有響應(yīng)。

賬戶或服務(wù)流量劫持

在云計(jì)算環(huán)境中，攻擊者一般通過網(wǎng)絡(luò)釣魚、社會(huì)工程學(xué)欺詐或利用軟件漏洞來劫持無辜的用戶。如果攻擊者能夠獲得用戶的某個(gè)賬號(hào)、密碼信息，即可竊取用戶多個(gè)服務(wù)中的資料，因?yàn)橛脩舨粫?huì)為每個(gè)賬戶設(shè)立不一樣的密碼。

網(wǎng)絡(luò)攻擊

在云計(jì)算環(huán)境下，多數(shù)應(yīng)用和操作都是在網(wǎng)絡(luò)上進(jìn)行。用戶通過云計(jì)算操作系統(tǒng)將自己的數(shù)據(jù)從網(wǎng)絡(luò)傳輸?shù)皆朴?jì)算平臺(tái)中，由云計(jì)算平臺(tái)來提供服務(wù)。

用戶數(shù)據(jù)存儲(chǔ)沒有進(jìn)行容災(zāi)備份導(dǎo)致數(shù)據(jù)丟失的風(fēng)險(xiǎn)

在云計(jì)算環(huán)境中，大量用戶信息、財(cái)務(wù)數(shù)據(jù)、關(guān)鍵業(yè)務(wù)記錄等敏感數(shù)據(jù)被集中存儲(chǔ)并在網(wǎng)絡(luò)中傳輸。在未做備份的情況下對(duì)數(shù)據(jù)刪除、修改，把數(shù)據(jù)存儲(chǔ)于不可靠的介質(zhì)上

加密數(shù)據(jù)的密鑰管理存在缺失導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)

數(shù)據(jù)的保密性需要大量的加／解密鑰，而密鑰的管理是一大難題。對(duì)用戶來說，如果數(shù)據(jù)的加密密鑰或訪問權(quán)限的丟失，將會(huì)帶來嚴(yán)重的安全問題。加密管理信息的丟失（如加密密鑰、認(rèn)證代碼和訪問權(quán)限等）將會(huì)給用戶帶來損害，例如數(shù)據(jù)的丟失和不期望的信息泄漏等。

數(shù)據(jù)沒有進(jìn)行加密導(dǎo)致信息泄露的風(fēng)險(xiǎn)

用戶數(shù)據(jù)以靜態(tài)和動(dòng)態(tài)兩種形式存在于云計(jì)算服務(wù)器中。靜態(tài)數(shù)據(jù)一般以存儲(chǔ)為目的，僅僅利用云計(jì)算的存儲(chǔ)功能，不需參與運(yùn)算，如文字、圖片和影音文件等。動(dòng)態(tài)數(shù)據(jù)一般用于索引和查詢，參與運(yùn)算，如數(shù)據(jù)庫文件、程序文件和業(yè)務(wù)邏輯用到的文件等。

云計(jì)算服務(wù)模式造成用戶數(shù)據(jù)泄露或丟失的風(fēng)險(xiǎn)

云計(jì)算環(huán)境的不同層次都存在數(shù)據(jù)安全問題。在基礎(chǔ)設(shè)施即服務(wù)環(huán)境中，用戶可以創(chuàng)建私有的基礎(chǔ)設(shè)施，加密、訪問控制和監(jiān)控等手段能夠降低數(shù)據(jù)被泄露的風(fēng)險(xiǎn)

云計(jì)算安全威脅之?dāng)?shù)據(jù)丟失和泄露

云計(jì)算面臨安全威脅可分為9大類：數(shù)據(jù)丟失和泄露、網(wǎng)絡(luò)攻擊、不安全的接口、惡意的內(nèi)部行為、云計(jì)算服務(wù)濫用或誤用、管理或?qū)彶椴蛔恪⒐蚕砑夹g(shù)存在漏洞、未知的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。下面將對(duì)這9類威脅進(jìn)行展開論述。

云計(jì)算安全事件之服務(wù)故障或中斷二

2011年4月22日，亞馬遜云位于弗吉尼亞州的云計(jì)算中心宕機(jī)，導(dǎo)致回答服務(wù)Quora、新聞服務(wù)Reddit、Hootsuite和位置跟蹤服務(wù)FourSquare和為網(wǎng)絡(luò)出版商提供游戲工具的BigDoor癱瘓，故障持續(xù)了4天。