在RSA 2010大會(huì)上，云安全成為了眾人關(guān)注的焦點(diǎn)，去年成立的云安全聯(lián)盟CSA一直以來(lái)提倡保障云環(huán)境安全的最佳做法并對(duì)用戶(hù)對(duì)云怎樣確保計(jì)算安全的疑問(wèn)進(jìn)行教育。為此，CSA列出了7個(gè)最大的安全威脅，同時(shí)也是企業(yè)部署云技術(shù)時(shí)候最關(guān)心的問(wèn)題。盡管只是7個(gè)問(wèn)題，但是其中任何一個(gè)都可能導(dǎo)致安全風(fēng)險(xiǎn)、法律通知和訴訟問(wèn)題的出現(xiàn)。以下就是這7個(gè)問(wèn)題以及解決的辦法。

安全風(fēng)險(xiǎn)之對(duì)云的不良使用

IAAS(基礎(chǔ)設(shè)施即服務(wù))供應(yīng)商對(duì)登記程序管理不嚴(yán)。“任何一個(gè)持有有效信用卡的人都可以注冊(cè)并立即使用云服務(wù)。”CSA表示。通過(guò)這種不良的濫用，網(wǎng)絡(luò)犯罪分子可以進(jìn)行攻擊或發(fā)送惡意軟件。云供應(yīng)商需要嚴(yán)格的首次注冊(cè)和驗(yàn)證過(guò)程，并監(jiān)督公共黑名單和客戶(hù)網(wǎng)絡(luò)活動(dòng)。

安全風(fēng)險(xiǎn)之不安全的API

通常的云服務(wù)的安全性和能力取決于API的安全性，用戶(hù)用之管理和交互這些服務(wù)。這些接口的設(shè)計(jì)必須能夠防御意外和惡意企圖的政策規(guī)避行為，以確保強(qiáng)用戶(hù)認(rèn)證、加密和訪問(wèn)控制的有效。

安全風(fēng)險(xiǎn)之惡意的內(nèi)部人員

當(dāng)缺乏對(duì)云供應(yīng)商程序和流程的認(rèn)識(shí)的時(shí)候，惡意內(nèi)部人員的風(fēng)險(xiǎn)就會(huì)加劇。企業(yè)應(yīng)該了解供應(yīng)商的信息安全和管理政策，強(qiáng)迫其使用嚴(yán)格的供應(yīng)鏈管理以及加強(qiáng)與供應(yīng)商的緊密合作。同時(shí)，還應(yīng)在法律合同中對(duì)工作要求有明確的指定說(shuō)明，以規(guī)范他們處理你的數(shù)據(jù)等這些隱蔽的過(guò)程。

安全風(fēng)險(xiǎn)之共享技術(shù)的問(wèn)題

IAAS廠商用在基礎(chǔ)設(shè)施中的基礎(chǔ)組件并不能在多用戶(hù)架構(gòu)中提供強(qiáng)有力的隔離能力。供應(yīng)商使用虛擬化來(lái)縮小這一差距，但是由于安全漏洞存在的可能性，企業(yè)應(yīng)該監(jiān)督那些未經(jīng)授權(quán)的改動(dòng)和行為，促進(jìn)補(bǔ)丁管理和強(qiáng)用戶(hù)認(rèn)證的實(shí)行。

安全風(fēng)險(xiǎn)之?dāng)?shù)據(jù)丟失或泄漏

降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn)意味著實(shí)施強(qiáng)有力的API訪問(wèn)控制以及對(duì)傳輸過(guò)程的數(shù)據(jù)進(jìn)行加密。CSA還建議，實(shí)施強(qiáng)有力的密鑰生成、存儲(chǔ)、管理和銷(xiāo)毀的做法。

安全風(fēng)險(xiǎn)之帳戶(hù)或服務(wù)劫持

如果攻擊者控制了你的證書(shū)，那么他們可以為所欲為，竊聽(tīng)你的活動(dòng)、交易，將數(shù)據(jù)變?yōu)閭卧斓男畔�，將賬戶(hù)引到非法的網(wǎng)站。企業(yè)應(yīng)該屏蔽用戶(hù)和服務(wù)商之間對(duì)賬戶(hù)證書(shū)的共享，在需要的時(shí)候使用強(qiáng)大的雙因素認(rèn)證技術(shù)。

安全風(fēng)險(xiǎn)之未知的風(fēng)險(xiǎn)

了解你的安全配置，無(wú)論是軟件的版本、代碼更新、安全做法、漏洞簡(jiǎn)介，入侵企圖還是安全設(shè)計(jì)�？纯凑l(shuí)在共享你的基礎(chǔ)設(shè)施，盡快獲取網(wǎng)絡(luò)入侵日志和重定向企圖中的相關(guān)信息。“隱藏安全問(wèn)題不用花太多的精力，但是可以導(dǎo)致未知的風(fēng)險(xiǎn)。”CSA說(shuō)。