今年,在旧金山举行的2013年RSA大会上,供应商们所展示的各种各样的产品和服务,使得加强IT控制、以及云计算所带来秩序混乱,再一次成为媒体镁光灯的焦点。但是,其实,企业最为重要的第一步应该是要准确地确定云计算最大的相关威胁在何处。
为此,CSA(云安全联盟)已经确定了“2013年云计算的九大威胁”。该报告反映了CSA所调查的业内专家们的共识,侧重于涉及到的共享的具体威胁,以及云计算按需部署的本质。
在这份云安全的九大威胁的名单上的头号威胁便是数据破坏。为了说明这种威胁的潜在规模,CSA指出,去年11月的一篇研究论文即描述了虚拟机如何使用侧信道的定时信息提取在同一服务器上的其他虚拟机的私钥。一个恶意黑客不一定需要竭尽全力,就可以轻易获取。如果多租户云服务数据库设计不当,一个客户端应用程序的一个单一的缺陷就可能使得攻击者窃取的不仅是客户端的数据,还包括每一个客户的数据。
根据该报告,应对数据丢失和数据泄漏这一威胁的所面临的挑战的措施包括:您可以加密您的数据,以减轻可能会加剧的影响,但如果您失去了您的加密密钥,您将失去您的数据。然而,如果您选择保持脱机备份您的数据,以减少数据丢失,也会增加您数据泄露的风险。
根据CSA的报告称,第二大威胁是在云计算环境中的数据丢失。恶意的黑客可能会删除目标的数据泄愤。但是,您也可能会因为云服务供应商的一个不小心或灾难,如火灾、洪水或地震而失去您的数据。雪上加霜的状况是,加密您的数据以抵御盗窃,但如果您失去了您的加密密钥,可能会适得其反。
该报告指出,数据丢失不仅会影响客户关系。如果您企业所在地的法律规定特定的数据存储(如HIPAA法案),您还可能因此必须接受联邦调查局的调查。
云计算安全的第大的风险是账户或业务流量被劫持。根据CSA的报告称,如果攻击者能够访问您的凭据,他或她就可以窃听您的活动和交易,操纵数据,返回虚假信息,并把您的客户端重定向到非法网站。“您的帐户或服务在这种情况下,可能会成为攻击者的新基地。他们可以利用您的名声发动后续的攻击”。CSA指出,作为一个例子,亚马逊在2010年所遭受的XSS攻击,便让攻击者劫持到了网站的凭据。
抵御这种威胁的关键是保护凭据,防止被盗。“企业应该禁止用户和服务之间的共享帐户凭据,在可能的情况下,他们应该利用强大的双因素认证技术。”根据CSA的报告显示。
列表上的第四大威胁是不安全的接口和API。IT管理员依靠接口进行云配置、管理、协调和监控。API是一般云服务的安全性和可用性的组成部分。从那里,企业和第三方都建立在这些接口上,注入附加服务。“这就引入了新的分层API的复杂性,也增加了风险,因为企业可能会被要求放弃他们的凭据交给第三方组织”,该报告指出。
CSA建议企业通过使用、管理、协调业务流程以及云服务的监测了解相关的安全隐患问题。弱界面和API可能会暴露企业的保密性、完整性、可用性和问责制等安全问题。
拒绝服务被列为第五大云计算安全威胁。DOS成为互联网的威胁已多年,但它在云计算时代,当企业依赖于一个或多个服务全天候24小时的可用性时,变得越来越有麻烦。DOS中断会消耗服务供应商和客户的成本,客户的计费是以计算周期和磁盘空间为基础的。虽然攻击者可能无法完全成功淘汰服务,但他或她“仍可能导致其消耗更多的处理时间,使得运行变得太昂贵。”报告说。
列表上的第六大威胁是恶意的内部人员,他们可以是一个现任或前任雇员、承包商或生意伙伴。这些人具有访问网络、系统的权限,或恶意攻击数据。在云环境设计不当的情况下,内部的恶意人员可以造成更大的破坏。从SaaS到IaaS再到PaaS,内部恶意的访问危害关键系统和最终数据。在这种情况下,云服务提供商负责的安全风险是很大的。“即使是加密的部署,如果客户密钥仅适用于数据的使用时间,系统仍然容易受到内部人员的恶意攻击。”根据CSA的报告称。
第七名是云的滥用,如攻击者使用云服务来破解很难在一台标准的计算机上破解的加密密钥。另一个例子是恶意黑客使用云服务器发动DDoS攻击,传播恶意软件,或共享盗版软件。云供应商的挑战在于如何定义什么是云的滥用,并确定最佳工艺流程。
列表上的第八大威胁是对于云计算没有足够的尽职调查;即,企业在没有充分理解的云环境和相关的风险的情况下部署了云服务。例如,部署了云计算可能就供应商的合同问题产生超过责任和透明度。更重要的是,如果对于某一个问题的操作,由于云计算技术的应用会导致企业的开发团队不是很熟悉。CSA的基本建议是企业必须确保他们有足够的资源,并在部署云计算之前进行深入的细致的调查。
最后一点但并非最不重要的,CSA提出共享技术漏洞是云计算的第九大安全威胁。云服务供应商共享基础设施、平台和应用程序提供可伸缩的服务方式。“基础设施(如CPU高速缓存、GPU图形处理器等)底层组件,并不是设计用于提供给强大的隔离特性为多租户架构(IaaS)、重新部署平台(PaaS)的,或者多客户应用程序(SaaS)的共享漏洞的威胁存在于所有的交付模式。”根据该报告称。
如果一个整体的组成部分被破坏了,比如,一个管理系统、一个共享的平台组件或应用程序——它会暴露整个环境的一个潜在的妥协和违约。CSA推荐采用防御性的、深入的战略,包括计算、存储、网络、应用程序和用户安全执法,以及监测。