细数2013云计算几大威胁：数据安全仍居首位

云安全联盟(CSA)本周对2013年的一些威胁进行了排名。在本次的排名中，前九名分别是分别是数据泄露、数据丢失、账户或服务流量劫持、不安全的接口和API、拒绝服务、恶意的内部人员、云服务的滥用、不够充分的审查、共享技术漏洞。

今年前三大威胁是数据泄露、数据丢失和账户劫持。在2010年，前三个是云服务的滥用、不安全的接口和API、恶意的内部人士。这三个威胁仍在今年的名单上，但排名分别下跌到第7、4、6位。

在RSA大会的年度首脑会议上，CSA发布了这份由其Top Threats Working Group汇编的排行榜，旨在对企业和他们的风险管理决策方面提供帮助。

CSA 的Top Threats Working Group与联盟的行业专家开展了一项云威胁的调查，这些行业专家包括惠普软件的高级安全分析师Rafal Los、Voodoo Security的创始人兼首席顾问Dave Shackleford以及微软的高级安全项目经理Bryan Sullivan等。

以下是2013年的9个的最严重的威胁

1. 数据泄露

我们都知道，数据泄露像一个讨厌的老相识，但加重了这种威胁。一个设计不当的多租户云服务数据库将使攻击者不仅仅进入一个帐户，而且会进入每一个与该服务相关的其他帐户。

2. 数据丢失

这是经常发生的故事，你的设备被破解，造成数据被偷或被删除。意外删除或天灾(比如飓风桑迪)都可能会导致永久性的数据丢失，除非供应商提供备份。同样，如果一个企业的数据在上传到云之前就行加密，他们就能更好地保护加密密钥或数据。

3. 账户或服务流量劫持

黑客通过网络钓鱼、欺诈或利用软件漏洞来劫持无辜的用户。通常黑客根据一个密码就可以窃取用户多个服务中的资料，因为用户不会为每个服务设立一个不一样的密 码。对于供应商，如果被盗的密码可以登陆云，那么用户的数据将被窃听、篡改，黑客将向用户返回虚假信息，或重定向用户的服务到欺诈网站。不仅对用户自身造 成损失，还将对供应商的声誉造成影响。

4. 不安全的接口和API

云中的API允许任意数量的交互——配置、管理和监控等，他们对整体安全来说是一个薄弱的环节。API通过政策进行控制，开发人员必须在质量和安全性方面注意设计，这是无法避免的。这个问题变得更复杂，因为API是跨领域的分层。

5. 拒绝服务

剥夺用户访问他们的资源和数据，并造成延迟是破坏一个云服务的一个攻击方法，可能意味着在线服务的死亡。其他形式的攻击，如非对称应用级的DoS攻击，在不消耗大量的资源的情况下就可利用弱点将Web服务器、数据库和其他云资源作为目标。

6. 恶意的内部人员

恶意的内部人员风险是每个组织必须考虑的方面。这种情况不一定发生，但当它发生时，它造成的伤害就会很大。CSA表示，完全依赖于云服务提供商的安全系统，是最大的风险。

7. 云服务的滥用

云服务的大众化，导致它可向任何人提供计算资源，不管那些人的目的是什么，即便他们正是那些寻求资源，以破解你的加密信息、发动拒绝服务攻击、服务服务器的恶意软件或散布盗版软件的人。

8. 不够充分的审查

的好处听起来有很多，比如降低成本、提高效率、更好的安全性等，但迁移到的风险是没有足够的评估风险。不了解云服务环境、应用程序或服务被推到云中、营运责任(比如事件响应、加密、安全监控等)，这些都会对企业产生未知的风险。

9. 共享技术漏洞

所有的交付模型展示了共享基础设施、平台和应用程序所带来的特点。一个防守深入策略由CSA提出，包括计算、存储、网络、应用程序和用户安全执行，以及对IaaS、PaaS和SaaS的监测。一个故障可以波及整个服务提供商的云。