研究:云计算其实挺安全 攻击多在web应用程序

时至今日，人们对云计算最大的担忧仍然是它是否能和本地系统一样安全可靠，这取决于在不同的环境里的安全措施的实施到位情况。不过最近的一份调查显示“从天然角度而言云计算的安全性实际上并不比本地数据中心差。”此外的主要结论包括：本地数据中心的目标更多的是追求更加精致完善和应对攻击;不管是云计算还是本地系统，web应用程序被攻击都是他们所面临的最大问题。

这份最新云安全报告来自于安全供应商AlertLogic，是系列的第三份。虽然这种来自供应商的报告难免让人怀疑是在帮云计算说好话，但是报告的方法论似乎还是挺合理的。数据是从2012年4月初到9月末收集的，来自于AlertLogic的用户们在使用各种真实环境的过程中。换言之，这并非是测试位置或实验室，数据也并非来自于调查。报告采集了大量的安全事件样本。或许唯一的缺点就是所采集的数据都来自于已经选用了他们的服务的用户而非其他。

报告关注了多种形式的网络安全威胁，得出的结论是，在多种攻击里，云服务供应商所受到的攻击并不比企业数据中心多。类似暴力攻击、弱点扫描和恶意以软件或僵尸网络这些方面，企业数据中心更容易被瞄上。相对而言云服务供应商所受到的攻击更多的是web应用程序。

Web应用程序作为入侵载体已经成为许多公司最头疼的问题之一。随着云计算的崛起，企业越来越习惯订阅web应用程序，从微软office365 office app到salesforce。此外，企业的最终用户还会在未经IT部门审核的情况下使用一些非官方的web app，这样一来，企业运行的app数量就会非常多，而数量越多，潜在的安全风险也越大，很难保证哪一个完全没有漏洞。

这份报告的有趣之处不仅在于它所统计的原始数据，还在于它所提供的一些建议——为什么有些攻击在各种环境都如此普遍，以及企业如何减少自己的弱点。报告列举了一个案例，指出企业数据中心如今仍然在忙于应对日益复杂的攻击，如网络钓鱼等，这些都是因为企业选择了把高价值的数据存放在自己的企业数据中心里。攻击者当然会为有价值的东西“不懈努力”。

报告建议企业对日志数据进行监控和审查，同时要时时保证反病毒软件和补丁升级为最新。没有提到的一点是，加强最终用户安全意识和实施能力的重要性。企业的IT专家应该多给员工进行安全方面的培训。

如果你给了你的用户运行web app或从网上下载东西的权限，你是否也教了他们如何辨别哪些网站安全哪些网站不安全?你是否教会了他们如何辨别哪些是钓鱼网站哪些是欺诈邮件?你的最终用户或许是很聪明，但是他们未必是IT专家，所以多教教他们很有必要。