云安全聯(lián)盟與惠普公司共同列出了云計算的七宗罪�����,主要是基于對29家企業(yè)����、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論�����。
1)數(shù)據(jù)丟失/泄漏:云計算中對數(shù)據(jù)的安全控制力度并不是十分理想��,API訪問權(quán)限控制以及密鑰生成��、存儲和管理方面的不足都可能造成數(shù)據(jù)泄漏�����,并且還可能缺乏必要的數(shù)據(jù)銷毀政策����。
2)共享技術(shù)漏洞:在云計算中��,簡單的錯誤配置都可能造成嚴(yán)重影響�,因為云計算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置,因此必須為網(wǎng)絡(luò)和服務(wù)器配置執(zhí)行服務(wù)水平協(xié)議(SLA)���,以確保及時安裝修復(fù)程序以及實施最佳做法�。
3)供應(yīng)商可靠性不易評估:云計算服務(wù)供應(yīng)商對工作人員的背景調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權(quán)限的控制力度有所不同�����,很多供應(yīng)商在這方面做得還不錯,但并不夠�����,企業(yè)需要對供應(yīng)商進(jìn)行評估并提出如何篩選員工的方案��。
4)身份認(rèn)證機(jī)制薄弱:很多數(shù)據(jù)�、應(yīng)用程序和資源都集中在云計算中,而云計算的身份驗證機(jī)制如果很薄弱的話�����,人侵者就可以輕松獲取用戶賬號并登錄客戶的虛擬機(jī)�����。
5)不安全的應(yīng)用程序接口:在開發(fā)應(yīng)用程序方面����,企業(yè)必須將云計算看作是新的平臺�����,而不是外包。在應(yīng)用程序的生命周期中�����,必須部署嚴(yán)格的審核過程�,開發(fā)者可以運用某些準(zhǔn)則來處理身份驗證、訪問權(quán)限控制和加密�。
6)沒有正確運用云計算:在運用技術(shù)方面,黑客可能比技術(shù)人員進(jìn)步更快���,黑客通常能夠迅速部署新的攻擊技術(shù)在云計算中自由穿行��。
7)未知的風(fēng)險:透明度問題一直困擾著云服務(wù)供應(yīng)商���,賬戶用戶僅使用前端界面,他們不知道他們的供應(yīng)商使用的是哪種平臺或者修復(fù)水平���,主要是管理的問題��。
七宗罪說明了云安全狀況變化非?���??�,比以往的信息系統(tǒng)問題更加嚴(yán)重,信息安全等級保護(hù)如何適應(yīng)石計算���,需要深人研究���。對現(xiàn)有的防護(hù)措施應(yīng)做相應(yīng)的變化。
另外�,云計算與以往的計算模式安全風(fēng)險不同,云計算環(huán)境下���,信息安全問題更嚴(yán)重����、更突出�����,核心的問題在于兩個方面����,首先是以前的信息系統(tǒng)都是自己建的����,或者托管����,在安全資源和基礎(chǔ)設(shè)備方面有可控性���。在云計算的環(huán)境下���,是由不可控不可信的經(jīng)營商統(tǒng)管IT資源和基礎(chǔ)設(shè)施,自己無法管理和控制��。第二個問題就是更大規(guī)模異構(gòu)共享和虛擬動態(tài)的運行環(huán)境難以控制�,云計算是屬于動態(tài)變化的計算環(huán)境,這個運行環(huán)境在某種意義上是無序的����。
