如今，越來越多的數據和應用程序正在向云端移動，這為組織帶來了獨特的信息安全挑戰(zhàn)。很多組織在使用云服務時將面臨12個主要的安全威脅。

云計算繼續(xù)改變組織使用、存儲和共享數據、應用程序和工作負載的方式。它還帶來了一系列新的安全威脅和挑戰(zhàn)。隨著如此多的數據進入云端，特別是進入公共云服務，這些資源成為網絡攻擊者的主要目標。

調研機構Gartner公司副總裁兼云計算安全負責人Jay Heiser表示，“公共云的使用量正在快速增長，因此不可避免地會導致更多的敏感內容可能存在風險。”

Heiser說，“與許多人的想法相反，保護組織在云中數據的主要責任不在于服務提供商，而在于采用云計算的用戶自身�，F在人們正處在云安全過渡期，其安全重點將從云計算提供商轉移到用戶。很多組織正花費大量時間來了解某個特定的云服務提供商是否安全，但其調查幾乎沒有任何回報。”

為了向企業(yè)提供有關云安全問題的最新情況，以便他們能夠就云采用策略做出明智的決策，云計算安全聯(lián)盟（CSA）發(fā)布了最新版本的“云計算安全的12個頂級威脅”的行業(yè)洞察報告。

該報告反映了云計算安全聯(lián)盟（CSA）的安全專家目前對云中最重要的安全問題的共識。雖然云中存在許多安全問題，但云計算安全聯(lián)盟（CSA）表示，這個列表主要關注12個與云計算的共享、按需特性相關的問題。其后續(xù)發(fā)布的《云計算的最大威脅：深度挖掘》報告探討了12種威脅中的案例研究。

為了確定人們最關注的問題，云計算安全聯(lián)盟（CSA）對行業(yè)專家進行了一項調查，以匯總有關云計算中最主要的安全問題的專業(yè)意見。以下是組織面臨的一些主要的云計算安全問題（按調查結果的嚴重程度排列）：

1.數據泄露

云計算安全聯(lián)盟（CSA）表示，數據泄露是網絡攻擊者和黑客的主要目標，也可能只是人為錯誤、應用程序漏洞或糟糕的安全實踐的結果。它可能涉及任何非公開信息，包括個人健康信息、財務信息、個人身份信息、商業(yè)秘密和知識產權。由于不同的原因，企業(yè)基于云計算的數據可能對不同的參與方具有價值。數據泄露的風險并非云計算所獨有，但它始終是云計算用戶最關心的問題。

這個深度挖掘報告引用了2012年LinkedIn公司的用戶密碼泄露作為一個主要的例子。網絡攻擊者能夠竊取LinkedIn公司密碼數據庫的1.67億個密碼，因為該公司并沒有進行加密。應對這種漏洞的關鍵點是，企業(yè)應始終對包含用戶憑據的數據庫進行哈希加密處理，并實施適當的日志記錄和行為異常分析。

2. 身份、憑證和訪問管理不足

云計算安全聯(lián)盟（CSA）表示，偽裝成合法用戶、運營商或開發(fā)商的網絡攻擊者可以讀取、修改、刪除數據；發(fā)布控制平臺和管理功能；窺探傳輸中的數據或發(fā)布源于合法來源的惡意軟件。因此，身份、憑證或密鑰管理不足會導致對數據的未經授權訪問，并可能對組織或最終用戶造成災難性損害。

根據這份深度挖掘報告，訪問管理不足的一個例子是發(fā)現MongoDB數據庫的不受保護的默認安裝。這種默認實現使端口始終處于開放狀態(tài)，允許訪問而無需身份驗證。該報告建議在所有周邊設置預防性控制，并且組織掃描托管、共享和公共環(huán)境中的漏洞。

3.不安全的接口和應用程序編程接口（API）

云計算提供商公開了一組客戶用來管理云服務并與之交互的軟件用戶界面（UI）或API。云計算安全聯(lián)盟（CSA）表示，配置、管理和監(jiān)控都是通過這些接口執(zhí)行的，一般云計算服務的安全性和可用性取決于API的安全性。它們需要設計成防止意外和惡意企圖規(guī)避政策。

4.系統(tǒng)漏洞

系統(tǒng)漏洞是可利用程序中的漏洞，網絡攻擊者可以利用這些漏洞滲透系統(tǒng)以竊取數據、控制系統(tǒng)或中斷服務操作。云計算安全聯(lián)盟（CSA）表示，操作系統(tǒng)組件中的漏洞使所有服務和數據的安全性面臨重大風險。隨著云計算中多租戶的出現，來自不同組織的系統(tǒng)彼此靠近，并允許訪問共享內存和資源，從而創(chuàng)建了新的攻擊面。

5.帳戶劫持

云計算安全聯(lián)盟（CSA）指出，帳戶劫持或服務劫持并不是什么新鮮事，但云計算服務給環(huán)境帶來了新的威脅。如果網絡攻擊者獲得了對用戶憑證的訪問權，他們可以竊聽活動和事務、操縱數據、返回偽造信息，并將客戶機重定向到非法站點。帳戶或服務實例可能成為攻擊者的新基礎。有了被盜的憑證，攻擊者通�？梢栽L問云計算服務的關鍵區(qū)域，從而降低這些服務的機密性、完整性、可用性。

深度挖掘報告中的一個例子：Dirty Cow公司的高級持續(xù)威脅（APT）小組能夠通過弱審查或社交工程接管現有賬戶來獲得系統(tǒng)的Root級控制。該報告建議了關于訪問權限的必要知識，需要訪問的政策以及關于帳戶接管策略的社交工程培訓。

6.惡意內部人士

云計算安全聯(lián)盟（CSA）表示，雖然威脅程度尚未引起很大的關注，但內部威脅是一個真正的威脅。惡意內部人員（如系統(tǒng)管理員）可以訪問潛在的敏感信息，并且可以對更關鍵的系統(tǒng)和最終的數據進行更高級別的訪問。而只依靠云計算服務提供商來提高安全性的系統(tǒng)風險更大。

該報告引用了Zynga公司一名心懷不滿的員工進行內部攻擊的例子，該員工從Zynga公司下載并泄露了機密業(yè)務的數據。當時該公司沒有實施嚴格的防損控制措施。深度挖掘報告建議實施數據丟失防護（DLP）控制，并建立安全和隱私意識計劃，以改進對可疑活動的識別和報告。