調(diào)查審計(jì)困難

在云計(jì)算被廣泛應(yīng)用的情況下，其提供的計(jì)算、存儲(chǔ)、帶寬等資源及服務(wù)可在全球范圍內(nèi)獲取，而非法用戶(hù)提供的賬戶(hù)信息可能是偽造的，并可以使用盜竊的信用卡進(jìn)行支付

管理或?qū)彶椴蛔阒矸菡J(rèn)證管理薄弱

傳統(tǒng)的網(wǎng)絡(luò)安全模型中，針對(duì)網(wǎng)絡(luò)終端用戶(hù)的安全接入和訪(fǎng)問(wèn)控制已有成熟的解決方案，但是在云計(jì)算環(huán)境下，對(duì)云端用戶(hù)的安全接入和訪(fǎng)問(wèn)控制出現(xiàn)一些新的要求

2018-04-19 閱讀全文>>

云計(jì)算服務(wù)濫用或誤用

目前，出于市場(chǎng)的考慮，為了使更多的用戶(hù)使用云計(jì)算服務(wù)，云服務(wù)提供商對(duì)登記流程的管理不是很?chē)?yán)格，任何一個(gè)持有信用卡的用戶(hù)都可以注冊(cè)和使用云計(jì)算服務(wù)，云計(jì)算服務(wù)很容易獲得且租用費(fèi)用低廉。

惡意的內(nèi)部行為

大多數(shù)企業(yè)都被內(nèi)部惡意人員的問(wèn)題所困擾，在云計(jì)算環(huán)境下，這種威脅進(jìn)一步增加。在此場(chǎng)景下，所有IT設(shè)備或數(shù)據(jù)被集中管理，內(nèi)部人員擁有的權(quán)限能夠讓其獲取敏感數(shù)據(jù)甚至整個(gè)云計(jì)算服務(wù)平臺(tái)的完全控制權(quán)，并且難以被發(fā)現(xiàn)。

不安全的接口

另外，開(kāi)發(fā)過(guò)程的安全測(cè)試、運(yùn)行過(guò)程的滲透測(cè)試等安全實(shí)踐，不管從測(cè)試工具還是測(cè)試方法上，對(duì)于網(wǎng)絡(luò)接口和應(yīng)用程序編程接口都不夠成熟，一旦后臺(tái)安全功能被開(kāi)放，將引入額外的安全入侵入口。

拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指攻擊者阻止用戶(hù)正常訪(fǎng)問(wèn)云計(jì)算服務(wù)的一種攻擊手段，通常是發(fā)起一些關(guān)鍵性操作來(lái)消耗大量的系統(tǒng)資源，如進(jìn)程、內(nèi)存、硬盤(pán)空間、網(wǎng)絡(luò)帶寬等，導(dǎo)致云計(jì)算服務(wù)器反應(yīng)變得極為緩慢或者完全沒(méi)有響應(yīng)。

賬戶(hù)或服務(wù)流量劫持

在云計(jì)算環(huán)境中，攻擊者一般通過(guò)網(wǎng)絡(luò)釣魚(yú)、社會(huì)工程學(xué)欺詐或利用軟件漏洞來(lái)劫持無(wú)辜的用戶(hù)。如果攻擊者能夠獲得用戶(hù)的某個(gè)賬號(hào)、密碼信息，即可竊取用戶(hù)多個(gè)服務(wù)中的資料，因?yàn)橛脩?hù)不會(huì)為每個(gè)賬戶(hù)設(shè)立不一樣的密碼。

網(wǎng)絡(luò)攻擊

在云計(jì)算環(huán)境下，多數(shù)應(yīng)用和操作都是在網(wǎng)絡(luò)上進(jìn)行。用戶(hù)通過(guò)云計(jì)算操作系統(tǒng)將自己的數(shù)據(jù)從網(wǎng)絡(luò)傳輸?shù)皆朴?jì)算平臺(tái)中，由云計(jì)算平臺(tái)來(lái)提供服務(wù)。

用戶(hù)數(shù)據(jù)存儲(chǔ)沒(méi)有進(jìn)行容災(zāi)備份導(dǎo)致數(shù)據(jù)丟失的風(fēng)險(xiǎn)

在云計(jì)算環(huán)境中，大量用戶(hù)信息、財(cái)務(wù)數(shù)據(jù)、關(guān)鍵業(yè)務(wù)記錄等敏感數(shù)據(jù)被集中存儲(chǔ)并在網(wǎng)絡(luò)中傳輸。在未做備份的情況下對(duì)數(shù)據(jù)刪除、修改，把數(shù)據(jù)存儲(chǔ)于不可靠的介質(zhì)上

加密數(shù)據(jù)的密鑰管理存在缺失導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)

數(shù)據(jù)的保密性需要大量的加／解密鑰，而密鑰的管理是一大難題。對(duì)用戶(hù)來(lái)說(shuō)，如果數(shù)據(jù)的加密密鑰或訪(fǎng)問(wèn)權(quán)限的丟失，將會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題。加密管理信息的丟失（如加密密鑰、認(rèn)證代碼和訪(fǎng)問(wèn)權(quán)限等）將會(huì)給用戶(hù)帶來(lái)?yè)p害，例如數(shù)據(jù)的丟失和不期望的信息泄漏等。

數(shù)據(jù)沒(méi)有進(jìn)行加密導(dǎo)致信息泄露的風(fēng)險(xiǎn)

用戶(hù)數(shù)據(jù)以靜態(tài)和動(dòng)態(tài)兩種形式存在于云計(jì)算服務(wù)器中。靜態(tài)數(shù)據(jù)一般以存儲(chǔ)為目的，僅僅利用云計(jì)算的存儲(chǔ)功能，不需參與運(yùn)算，如文字、圖片和影音文件等。動(dòng)態(tài)數(shù)據(jù)一般用于索引和查詢(xún)，參與運(yùn)算，如數(shù)據(jù)庫(kù)文件、程序文件和業(yè)務(wù)邏輯用到的文件等。

云計(jì)算服務(wù)模式造成用戶(hù)數(shù)據(jù)泄露或丟失的風(fēng)險(xiǎn)

云計(jì)算環(huán)境的不同層次都存在數(shù)據(jù)安全問(wèn)題。在基礎(chǔ)設(shè)施即服務(wù)環(huán)境中，用戶(hù)可以創(chuàng)建私有的基礎(chǔ)設(shè)施，加密、訪(fǎng)問(wèn)控制和監(jiān)控等手段能夠降低數(shù)據(jù)被泄露的風(fēng)險(xiǎn)

云計(jì)算安全威脅之?dāng)?shù)據(jù)丟失和泄露

云計(jì)算面臨安全威脅可分為9大類(lèi)：數(shù)據(jù)丟失和泄露、網(wǎng)絡(luò)攻擊、不安全的接口、惡意的內(nèi)部行為、云計(jì)算服務(wù)濫用或誤用、管理或?qū)彶椴蛔恪⒐蚕砑夹g(shù)存在漏洞、未知的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。下面將對(duì)這9類(lèi)威脅進(jìn)行展開(kāi)論述。