自云計算被提出以來，安全問題就如影隨形，云計算的落地也因為安全問題遲遲未能大范圍的落地，但隨著互聯網技術的發(fā)展，盡管安全問題已逐漸褪去“云計算阻礙者”的包袱，但依舊還是云計算服務提供商和用戶的頭疼的大問題。

云計算安全聯盟CSA近日發(fā)布了一項關于云計算安全的最新調查報告，調查發(fā)現在安全專家們看來，網絡犯罪分子和黑客造成的混亂是云計算領域面臨的最大的威脅。CSA云計算安全聯盟列出的云計算行業(yè)面臨的九大安全威脅，排序依次是 1.數據泄露 2.數據丟失 3.帳戶劫持 4.不安全的API 5.拒絕服務攻擊 6.內部人員的惡意操作 7.云計算服務的濫用 8.云服務規(guī)劃不合理 9.共享技術的漏洞問題。

安全重點發(fā)生變化

從云計算安全聯盟CSA這項調查報告我們可以發(fā)現云計算安全領域的重點發(fā)生了變化，主要以盜取企業(yè)數據的網絡攻擊為主，而且危害也越來越嚴重。相比2010年，此次CSA列出的云安全威脅發(fā)生了較大的變化，數據泄露和帳戶劫持的比例分別上升了1和3個百分點，與此同時，拒絕服務攻擊也首次上升到安全威脅榜第五的位置。

云安全聯盟CSA的報告指出這些威脅主要發(fā)生在企業(yè)用戶在進行數據存儲和業(yè)務交互過程此外，這種威脅已經開始慢慢滲入到企業(yè)、政府和教育機構的Web站點和服務提供商。

根據隱私權信息交流中心的數據來看，截止到今年有黑客攻擊造成的數據泄露已有28起，導致117000條記錄丟失，被攻擊的服務提供商包括Zendesk和Twitter。2012年，至少發(fā)生了230起數據泄露，造成至少900萬條記錄的丟失。受此困擾的服務提供商包括Yahoo、eHarmony和LinkedIn。

專家一致認為只要企業(yè)在互聯網進行業(yè)務就無法避免黑客的攻擊，因為“地下黑客”發(fā)展越來越復雜，黑客總是能獲取到相關的軟件工具已達到自己的目的。

Gartner分析師Lawrence Pingree表示，“所有預置的非虛擬化和非云部署的漏洞和安全問題仍存在云中，如果整個云計算供應商的基礎設施被破壞，那些為了云化和虛擬化而引入的虛擬化軟件反而增加了數據外泄的風險。”

黑客行為并不是唯一的威脅

令人驚訝的是在CSA的列表的第二大威脅并不是來自網絡犯罪的攻擊造成的數據丟失，卻是來自云服務商本身，云計算服務商內部人員的意外刪除操作導致的數據丟失，這種情況的數據丟失更是時常發(fā)生，而且發(fā)生的概率絕對大于人們的想象。

【圖：內部人員誤操作】

在一月份針對3200個組織機構的調查中，賽門鐵克發(fā)現超過40%的企業(yè)丟失了云中的數據，不得不依靠備份數據進行數據的恢復，這樣的數據實在驚人。

無論是因為黑客的攻擊還是因為服務提供商，數據的丟失無疑是傷害了多方的利益，不管是誰的錯，客戶和服務提供商的利益都將收到損害，他們損失的不僅僅是營收，還有可能連同客戶的信任一起失去，所以數據丟失才會名列威脅榜首。

【圖：API安全】

2010年排在威脅榜第四的API目前有所改善，今年的名次下降到了第四，應該說是一件好事吧。

API中文為應用程序編程接口，顧名思義就是連接云服務和本地應用的接口，通過bending應用來管理云服務。但隨著技術的進步，從目前的形勢來看，云服務商在對API的鎖定上仍有很長的路要走，看API的排名就再清楚不過了。

云服務濫用嚴峻

內部員工惡意操作、云服務的濫用、云服務規(guī)劃不足和共享技術的漏洞這些都很有可能發(fā)生在云服務提供商內部的基礎設施架構中，所以如果出意外，所有的客戶都將受到影響。

云服務的濫用指的的是黑客侵入云計算服務提供商內部的服務器執(zhí)行惡意操作，例如發(fā)動拒絕服務攻擊和垃圾軟件。而這四個應用在2010的排名還很靠后，現在的危害也越來越明顯。

總體來看，2013年的云安全問題真是魚龍混雜。很多領域得到改善，但數據保護的需求也越來越明顯，Gartner預測2016年公共云的營收將達到2066億美元，不過筆者認為除非數據安全問題得到很好的解決，否則這樣高的收入不太容易實現。