自云計算被提出以來,安全問題就如影隨形,云計算的落地也因為安全問題遲遲未能大范圍的落地,但隨著互聯(lián)網技術的發(fā)展,盡管安全問題已逐漸褪去“云計算阻礙者”的包袱,但依舊還是云計算服務提供商和用戶的頭疼的大問題。
云計算安全聯(lián)盟CSA近日發(fā)布了一項關于云計算安全的最新調查報告,調查發(fā)現(xiàn)在安全專家們看來,網絡犯罪分子和黑客造成的混亂是云計算領域面臨的最大的威脅。CSA云計算安全聯(lián)盟列出的云計算行業(yè)面臨的九大安全威脅,排序依次是
1.數(shù)據泄露 2.數(shù)據丟失 3.帳戶劫持 4.不安全的API 5.拒絕服務攻擊 6.內部人員的惡意操作 7.云計算服務的濫用 8.云服務規(guī)劃不合理 9.共享技術的漏洞問題。
安全重點發(fā)生變化
從云計算安全聯(lián)盟CSA這項調查報告我們可以發(fā)現(xiàn)云計算安全領域的重點發(fā)生了變化,主要以盜取企業(yè)數(shù)據的網絡攻擊為主,而且危害也越來越嚴重。相比 2010年,此次CSA列出的云安全威脅發(fā)生了較大的變化,數(shù)據泄露和帳戶劫持的比例分別上升了1和3個百分點,與此同時,拒絕服務攻擊也首次上升到安全威脅榜第五的位置。
云安全聯(lián)盟CSA的報告指出這些威脅主要發(fā)生在企業(yè)用戶在進行數(shù)據存儲和業(yè)務交互過程此外,這種威脅已經開始慢慢滲入到企業(yè)、政府和教育機構的Web站點和服務提供商。
根據隱私權信息交流中心的數(shù)據來看,截止到今年有黑客攻擊造成的數(shù)據泄露已有28起,導致117000條記錄丟失,被攻擊的服務提供商包括 Zendesk和Twitter。2012年,至少發(fā)生了230起數(shù)據泄露,造成至少900萬條記錄的丟失。受此困擾的服務提供商包括Yahoo、 eHarmony和LinkedIn。
專家一致認為只要企業(yè)在互聯(lián)網進行業(yè)務就無法避免黑客的攻擊,因為“地下黑客”發(fā)展越來越復雜,黑客總是能獲取到相關的軟件工具已達到自己的目的。
Gartner分析師Lawrence Pingree表示,“所有預置的非虛擬化和非云部署的漏洞和安全問題仍存在云中,如果整個云計算供應商的基礎設施被破壞,那些為了云化和虛擬化而引入的虛擬化軟件反而增加了數(shù)據外泄的風險。”
黑客行為并不是唯一的威脅
令人驚訝的是在CSA的列表的第二大威脅并不是來自網絡犯罪的攻擊造成的數(shù)據丟失,卻是來自云服務商本身,云計算服務商內部人員的意外刪除操作導致的數(shù)據丟失,這種情況的數(shù)據丟失更是時常發(fā)生,而且發(fā)生的概率絕對大于人們的想象。
在一月份針對3200個組織機構的調查中,賽門鐵克發(fā)現(xiàn)超過40%的企業(yè)丟失了云中的數(shù)據,不得不依靠備份數(shù)據進行數(shù)據的恢復,這樣的數(shù)據實在驚人。
無論是因為黑客的攻擊還是因為服務提供商,數(shù)據的丟失無疑是傷害了多方的利益,不管是誰的錯,客戶和服務提供商的利益都將收到損害,他們損失的不僅僅是營收,還有可能連同客戶的信任一起失去,所以數(shù)據丟失才會名列威脅榜首。
2010年排在威脅榜第四的API目前有所改善,今年的名次下降到了第四,應該說是一件好事吧。
API中文為應用程序編程接口,顧名思義就是連接云服務和本地應用的接口,通過bending應用來管理云服務。但隨著技術的進步,從目前的形勢來看,云服務商在對API的鎖定上仍有很長的路要走,看API的排名就再清楚不過了。
云服務濫用嚴峻
內部員工惡意操作、云服務的濫用、云服務規(guī)劃不足和共享技術的漏洞這些都很有可能發(fā)生在云服務提供商內部的基礎設施架構中,所以如果出意外,所有的客戶都將受到影響。
云服務的濫用指的的是黑客侵入云計算服務提供商內部的服務器執(zhí)行惡意操作,例如發(fā)動拒絕服務攻擊和垃圾軟件。而這四個應用在2010的排名還很靠后,現(xiàn)在的危害也越來越明顯。
總體來看,2013年的云安全問題真是魚龍混雜。很多領域得到改善,但數(shù)據保護的需求也越來越明顯,Gartner預測2016年公共云的營收將達到2066億美元,不過筆者認為除非數(shù)據安全問題得到很好的解決,否則這樣高的收入不太容易實現(xiàn)。