自云计算被提出以来,安全问题就如影随形,云计算的落地也因为安全问题迟迟未能大范围的落地,但随着互联网技术的发展,尽管安全问题已逐渐褪去“云计算阻碍者”的包袱,但依旧还是云计算服务提供商和用户的头疼的大问题。
云计算安全联盟CSA近日发布了一项关于云计算安全的最新调查报告,调查发现在安全专家们看来,网络犯罪分子和黑客造成的混乱是云计算领域面临的最大的威胁。CSA云计算安全联盟列出的云计算行业面临的九大安全威胁,排序依次是
1.数据泄露 2.数据丢失 3.帐户劫持 4.不安全的API 5.拒绝服务攻击 6.内部人员的恶意操作 7.云计算服务的滥用 8.云服务规划不合理 9.共享技术的漏洞问题。
安全重点发生变化
从云计算安全联盟CSA这项调查报告我们可以发现云计算安全领域的重点发生了变化,主要以盗取企业数据的网络攻击为主,而且危害也越来越严重。相比 2010年,此次CSA列出的云安全威胁发生了较大的变化,数据泄露和帐户劫持的比例分别上升了1和3个百分点,与此同时,拒绝服务攻击也首次上升到安全威胁榜第五的位置。
云安全联盟CSA的报告指出这些威胁主要发生在企业用户在进行数据存储和业务交互过程此外,这种威胁已经开始慢慢渗入到企业、政府和教育机构的Web站点和服务提供商。
根据隐私权信息交流中心的数据来看,截止到今年有黑客攻击造成的数据泄露已有28起,导致117000条记录丢失,被攻击的服务提供商包括 Zendesk和Twitter。2012年,至少发生了230起数据泄露,造成至少900万条记录的丢失。受此困扰的服务提供商包括Yahoo、 eHarmony和LinkedIn。
专家一致认为只要企业在互联网进行业务就无法避免黑客的攻击,因为“地下黑客”发展越来越复杂,黑客总是能获取到相关的软件工具已达到自己的目的。
Gartner分析师Lawrence Pingree表示,“所有预置的非虚拟化和非云部署的漏洞和安全问题仍存在云中,如果整个云计算供应商的基础设施被破坏,那些为了云化和虚拟化而引入的虚拟化软件反而增加了数据外泄的风险。”
黑客行为并不是唯一的威胁
令人惊讶的是在CSA的列表的第二大威胁并不是来自网络犯罪的攻击造成的数据丢失,却是来自云服务商本身,云计算服务商内部人员的意外删除操作导致的数据丢失,这种情况的数据丢失更是时常发生,而且发生的概率绝对大于人们的想象。
在一月份针对3200个组织机构的调查中,赛门铁克发现超过40%的企业丢失了云中的数据,不得不依靠备份数据进行数据的恢复,这样的数据实在惊人。
无论是因为黑客的攻击还是因为服务提供商,数据的丢失无疑是伤害了多方的利益,不管是谁的错,客户和服务提供商的利益都将收到损害,他们损失的不仅仅是营收,还有可能连同客户的信任一起失去,所以数据丢失才会名列威胁榜首。
2010年排在威胁榜第四的API目前有所改善,今年的名次下降到了第四,应该说是一件好事吧。
API中文为应用程序编程接口,顾名思义就是连接云服务和本地应用的接口,通过bending应用来管理云服务。但随着技术的进步,从目前的形势来看,云服务商在对API的锁定上仍有很长的路要走,看API的排名就再清楚不过了。
云服务滥用严峻
内部员工恶意操作、云服务的滥用、云服务规划不足和共享技术的漏洞这些都很有可能发生在云服务提供商内部的基础设施架构中,所以如果出意外,所有的客户都将受到影响。
云服务的滥用指的的是黑客侵入云计算服务提供商内部的服务器执行恶意操作,例如发动拒绝服务攻击和垃圾软件。而这四个应用在2010的排名还很靠后,现在的危害也越来越明显。
总体来看,2013年的云安全问题真是鱼龙混杂。很多领域得到改善,但数据保护的需求也越来越明显,Gartner预测2016年公共云的营收将达到2066亿美元,不过笔者认为除非数据安全问题得到很好的解决,否则这样高的收入不太容易实现。