|
CSA發(fā)布新版云計算安全威脅報告
如今,公共云的應(yīng)用正在快速增長���,但也不可避免地帶來了一系列新的安全威脅和挑戰(zhàn)����。而保護云端企業(yè)數(shù)據(jù)的安全,亟需云服務(wù)提供商與每一位云客戶的共同努力����。近日���,云計算安全聯(lián)盟(CSA)發(fā)布最新版云計算安全報告�,以幫助企業(yè)了解云安全問題,進而采取更為明智的防護舉措���。數(shù)據(jù)丟失或泄露如服務(wù)商遭遇意外刪除、火災(zāi)或地震等狀況��,可能導致客戶數(shù)據(jù)的永久丟失����,因此必須采取適當措施以備份數(shù)據(jù),確保業(yè)務(wù)的連續(xù)性。針對性攻擊�����、人為錯誤、應(yīng)用程序漏洞或安全措施不佳�����,將極大可能導致客戶數(shù)據(jù)的泄露���。數(shù)據(jù)泄露的風險并不僅僅存在于云端�����,但應(yīng)始終作為用戶首要考慮的因素���。系統(tǒng)和技術(shù)漏洞操作系統(tǒng)組件中的漏洞使得所有服務(wù)和數(shù)據(jù)的安全性都面臨重大風險��。攻擊者可以通過漏洞入侵并控制系統(tǒng),竊取數(shù)據(jù)和破壞服務(wù)操作����。而共享的技術(shù)漏洞�����,也可能在所有交付模式中被攻擊者利用。隨著云端出現(xiàn)多租戶�����,不同組織的系統(tǒng)彼此靠近,并且允許訪問共享內(nèi)存和資源��,從而創(chuàng)建新的攻擊面��。賬戶與身份管理不善網(wǎng)絡(luò)犯罪分子偽裝成合法用戶����、運營人員或開發(fā)人員以讀取、修改和刪除數(shù)據(jù),獲取控制平臺和管理功能�����,在用戶傳輸數(shù)據(jù)的過程中進行窺探,發(fā)布看似合法來源的來源的惡意軟件�����。如果身份不足����、憑證或密鑰管理不善,可能導致未經(jīng)授權(quán)的數(shù)據(jù)訪問,對組織或終端用戶造成災(zāi)難性損害�。免費背后的欺詐隱患濫用和惡意使用云服務(wù):安全性差的云端部署����,免費的云服務(wù)試用����,以及通過支付工具欺詐進行的欺詐性賬戶登錄將云計算模式暴露在惡意攻擊之下���。攻擊者可能會利用云計算資源來定位用戶����、組織或其他云計算提供商��。濫用云端資源的例子包括啟動分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊�。API安全存疑��,DoS攻擊泛濫云計算提供商提供了一組客戶使用的軟件用戶界面(UI)或API來管理和與云服務(wù)交互。因此云服務(wù)的安全性和可用性多取決于API���,需要進行設(shè)計以防止意外或惡意企圖��。拒絕服務(wù)(DoS)攻擊影響用戶正常訪問其數(shù)據(jù)或應(yīng)用程序,并大量消耗有限系統(tǒng)資源�����,導致系統(tǒng)速度下降��。
|
