2013潜在安全隐患云计算产业推广应用(2)

延伸

流量高峰期遭遇拒绝服务攻击时就像遇到了大堵车一样，无法访问目标服务器，除了等待你什么都做不了。对于消费者，服务中断不仅会挫伤他们对云服务的信心，还会导致他们考虑将关键性数据从云中转移走以降低损失。更糟的是，由于云服务的收费模式通常都是按用户消耗了多少系统资源占用了多少空间来计算，因此即便是攻击者没有完全把你的系统搞瘫痪，也会让你因为巨大的资源消耗而蒙受巨大的云服务费用。

威胁6：

恶意的内部人员在安全行业，来自内部恶意人员造成的威胁已经成为一个争议话题。争议归争议，事实上这种事情确实存在。对组织存在威胁的恶意内部人员可能是那些有进入企业组织网络、系统、数据库权限的在任的或曾经的员工，承包商，或者其他业务伙伴，他们滥用权限，导致企业组织的系统和数据的机密性、完整性、可用性受损。

延伸

诸如系统管理员等内部恶意人员，都拥有访问企业敏感信息和关键领域的权限。从IaaS到PaaS和SaaS，内部恶意人员能够访问的敏感领域级别也越来越多，甚至是数据。因此那些全靠云服务供应商来进行安全管理的系统都面临着巨大的风险。即便是加密过，如果客户没有很好的掌握着密钥，或者限制可用的时间段，那么系统都可能面临着来自内部恶意人员的威胁。

威胁7：

滥用云服务云计算的一个最大的优点就是它可以让哪怕是最小的企业，来使用最大数量的计算资源。对于大多数企业来说，他们都支付不起成百上千的服务器，而使用成百上千个云服务器就没问题。然而，并非所有人都能正确良好的利用这种资源。比如如果一个攻击者想要破解一个密钥，使用自己的机器可能要好几年，而使用云计算服务器强大的计算能力，可能数分钟就搞定了。或者攻击者可能使用云服务器来进行DDoS攻击，存储恶意软件或者盗版软件。

延伸

需要考虑这一威胁的，更多的是云服务供应商。此类事情发生次数已经在增多了。如何防止别人滥用使用你提供的服务?如何定义“滥用”?如何阻止这种事情再次发生?

威胁8：

审查不足降低成本，运营效率，安全提升，这些优点让人们对云计算趋之若鹜，对于那些有资源有能力来合理利用云技术的企业来说，这确实是一个很实在的目标，但有很多企业实际上在一拥而上的大潮里，并未真正的明确的了解这一技术的全貌。

如果对云服务供应商环境、应用程序、运营责任(如事故责任、加密问题、安全监控)等没有充分的了解，企业组织如果贸然采用云计算，就可能面临着认知不足的各种未知的风险，这恐怕比眼下的风险要更加严重。

延伸

贸然采用云服务的企业组织可能会自己陷入多种问题。如责任、义务、供应商和客户间透明度、服务的相符程度等合同问题。将那些依赖完整网络级别安全控制的应用程序迁移到云之后，如果失去控制或者供应商提供的服务与客户的需求不符，就会非常麻烦和危险。未知的运营和架构问题也会随着应用程序设计师和架构师与客户沟通不足而引发种种问题。

企业和组织迁移到云的底线是，必须要有一定的资本能力，以及对云服务供应商足够广泛详细的审查，并充分了解新技术所存在的风险。

威胁9：

共享技术漏洞云服务供应商要交付规模化的服务，就要共享基础设施、平台和应用程序。组成这些基础设施的组件(包括CPU缓存、GPU等)的设计，如果没有针对多租户架构(IaaS)、重部署平台(PaaS)或多客户应用程序(SaaS)的优良隔离机制，那么如果存在威胁，所有的服务模式都将面临威胁。必须建立深层次的防御战略，包括计算、存储、网络、应用程序和用户安全执法和监控，无论是何种云服务模式。关键是在整个的云服务里，必须要有一个完整的漏洞和错误配置解决机制。

延伸

管理程序、共享平台组件、共享应用程序等共享技术所存在的风险远比客户行为更要紧，因为这种问题可能将整个系统的弱点暴露给攻击者。这些漏洞将会是非常致命的，牵一发而动全身，整个云系统可能瞬间瘫痪。