维基百科:云计算是一种将规模可动态拓展的虚拟化资源通过Internet提供对外按需使用服务的计算模式,用户无需了解提供这种服务的底层基础设施,也无需拥有和控制。云形象地代表了Internet网络,及提供服务的基础设施。

云计算安全威胁

云计算面临的安全威胁可分为9大类:数据丢失和泄漏、网络攻击、不安全的接口、恶意的内部行为、云计算服务滥用或误用、管理或审查不足、共享技术存在漏洞、未知的安全风险和法律风险。

0x00 数据丢失和泄漏

1.云计算服务模式造成的用户数据泄漏或丢失的风险

当用户将自身数据交给云服务提供商管理时,用户便失去了对数据的掌控。

2.由于服务器或者虚拟化软件的安全漏洞造成用户数据被入侵的风险

由于云计算的共享特性,多个虚拟资源很可能被绑定在同一物理资源中,仅靠软件区分边界。因此,如果云计算的服务器或者虚拟化软件中存在安全漏洞,那么资源可能相互越界,用户的数据很可能被其他用户访问。

3.数据没有进行加密导致信息泄漏的风险

一般而言,对静态数据的加密是可行的,但是动态数据或者云计算应用程序使用的数据通常是不能加密的,因为动态数据加密后将导致无法直接对数据进行处理、索引和查询。

此外,云计算使用分布式架构,意味着比传统的基础设施需要更多的数据传输,在传输过程中如未采用加密机制,攻击者可能通过实施嗅探、中间人攻击、重放攻击来窃取或篡改数据。

4.加密数据的密钥管理存在缺失导致数据泄漏的风险

数据的保密性需要大量的加/解密钥,而密钥的管理是一大难题。

5.用户数据存储没有进行容灾备份导致数据丢失的风险

在云计算环境中, 大量用户信息、财务数据、关键业务记录等敏感数据被集中存储并在网络中传输。

0x01 网络攻击

1.账户或服务流量劫持

如果攻击者能够获取用户的某个账户、密码信息,即可窃取用户多个服务中的资料,因为用户不会为每个账户设立不一样的密码。

2.拒绝服务攻击

云计算最主要的安全威胁之一就是应用层的DDos攻击,这些攻击严重威胁到云计算基础设施的可用性。

0x02 不安全的接口

云服务提供商需要提供大量的网络接口和应用程序编程接口整合相关资源。

0x03 恶意的内部行为

大多数企业都被内部恶意人员的问题所困扰。

0x04 云计算服务滥用或误用

攻击者能以很低的成本租用海量云计算和带宽资源进行分布式攻击,如利用云计算平台发送大量垃圾邮件、制造或托管恶意代码、大规模的破解密码、实施拒绝服务攻击、制造及管理将是网络等。

0x05 管理或审查不足

1.身份认证管理薄弱

云服务提供上目前所支持的身份认证管理时间和标准不足,随着网络边界的持续消退,在保护用户知识产权和敏感信息及保持合规性等方面,云服务提供商面临更大的风险。

2.安全管理缺失

云计算服务集成了互联网和内容服务、数据存储、内容分发等业务,并扩大了经营范围。但根据目前的电信分类方法,无法简单地将元计算服务定位为某一类电信业务,更无相应的配套安全监管要求。

3.调查审计困难

在云计算环境下,由于用户根本知道其数据存放的位置,因此很难实施安全审计、评估及认证,云服务提供商也可能不会配合用户自身发起的安全审计和评估;云服务提供商及时委托第三方进行相关安全审计,其结果也未必能适用于各个用户;同时,云计算环境下用户信息设施的安全审计、评估及认证方法,目前尚在研究之中。

0x06 共享技术存在漏洞

云计算资源的虚拟池化是的传统的安全策略无法管理到每个虚拟机及虚拟网络,因为传统的基于物理安全边界的防护机制难以有效保护基于共享虚拟及环境下的用户应用及信息安全。虚拟化是的安全访问控制、认证和授权更加困难,从而使得恶意代码的传播和感染变得相对容易。攻击者可利用虚拟机管理系统自身的漏洞,入侵到宿主机或同一个宿主机上的其他虚拟机。

0x07 法律风险

使用云计算可能不满足某些工业标准或法律规定的要求。例如,有些法律要求特定数据不能与其他数据混杂保存在共享的服务器或数据库中;有些国家严格限制本国公民的私密数据保存于其他国家等。