CSA发布新版云计算安全威胁报告
如今,公共云的应用正在快速增长,但也不可避免地带来了一系列新的安全威胁和挑战。而保护云端企业数据的安全,亟需云服务提供商与每一位云客户的共同努力。近日,云计算安全联盟(CSA)发布最新版云计算安全报告,以帮助企业了解云安全问题,进而采取更为明智的防护举措。
如服务商遭遇意外删除、火灾或地震等状况,可能导致客户数据的永久丢失,因此必须采取适当措施以备份数据,确保业务的连续性。针对性攻击、人为错误、应用程序漏洞或安全措施不佳,将极大可能导致客户数据的泄露。数据泄露的风险并不仅仅存在于云端,但应始终作为用户首要考虑的因素。
操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。攻击者可以通过漏洞入侵并控制系统,窃取数据和破坏服务操作。而共享的技术漏洞,也可能在所有交付模式中被攻击者利用。随着云端出现多租户,不同组织的系统彼此靠近,并且允许访问共享内存和资源,从而创建新的攻击面。
网络犯罪分子伪装成合法用户、运营人员或开发人员以读取、修改和删除数据,获取控制平台和管理功能,在用户传输数据的过程中进行窥探,发布看似合法来源的来源的恶意软件。如果身份不足、凭证或密钥管理不善,可能导致未经授权的数据访问,对组织或终端用户造成灾难性损害。
滥用和恶意使用云服务:安全性差的云端部署,免费的云服务试用,以及通过支付工具欺诈进行的欺诈性账户登录将云计算模式暴露在恶意攻击之下。攻击者可能会利用云计算资源来定位用户、组织或其他云计算提供商。滥用云端资源的例子包括启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。
云计算提供商提供了一组客户使用的软件用户界面(UI)或API来管理和与云服务交互。因此云服务的安全性和可用性多取决于API,需要进行设计以防止意外或恶意企图。拒绝服务(DoS)攻击影响用户正常访问其数据或应用程序,并大量消耗有限系统资源,导致系统速度下降。