在RSA 2010大會上，云安全成為了眾人關(guān)注的焦點(diǎn)，去年成立的云安全聯(lián)盟CSA一直以來提倡保障云環(huán)境安全的最佳做法并對用戶對云怎樣確保計(jì)算安全的疑問進(jìn)行教育。為此，CSA列出了7個最大的安全威脅，同時(shí)也是企業(yè)部署云技術(shù)時(shí)候最關(guān)心的問題。盡管只是7個問題，但是其中任何一個都可能導(dǎo)致安全風(fēng)險(xiǎn)、法律通知和訴訟問題的出現(xiàn)。以下就是這7個問題以及解決的辦法。

安全風(fēng)險(xiǎn)之對云的不良使用

IAAS(基礎(chǔ)設(shè)施即服務(wù))供應(yīng)商對登記程序管理不嚴(yán)。“任何一個持有有效信用卡的人都可以注冊并立即使用云服務(wù)。”CSA表示。通過這種不良的濫用，網(wǎng)絡(luò)犯罪分子可以進(jìn)行攻擊或發(fā)送惡意軟件。云供應(yīng)商需要嚴(yán)格的首次注冊和驗(yàn)證過程，并監(jiān)督公共黑名單和客戶網(wǎng)絡(luò)活動。

安全風(fēng)險(xiǎn)之不安全的API

通常的云服務(wù)的安全性和能力取決于API的安全性，用戶用之管理和交互這些服務(wù)。這些接口的設(shè)計(jì)必須能夠防御意外和惡意企圖的政策規(guī)避行為，以確保強(qiáng)用戶認(rèn)證、加密和訪問控制的有效。

安全風(fēng)險(xiǎn)之惡意的內(nèi)部人員

當(dāng)缺乏對云供應(yīng)商程序和流程的認(rèn)識的時(shí)候，惡意內(nèi)部人員的風(fēng)險(xiǎn)就會加劇。企業(yè)應(yīng)該了解供應(yīng)商的信息安全和管理政策，強(qiáng)迫其使用嚴(yán)格的供應(yīng)鏈管理以及加強(qiáng)與供應(yīng)商的緊密合作。同時(shí)，還應(yīng)在法律合同中對工作要求有明確的指定說明，以規(guī)范他們處理你的數(shù)據(jù)等這些隱蔽的過程。

安全風(fēng)險(xiǎn)之共享技術(shù)的問題

IAAS廠商用在基礎(chǔ)設(shè)施中的基礎(chǔ)組件并不能在多用戶架構(gòu)中提供強(qiáng)有力的隔離能力。供應(yīng)商使用虛擬化來縮小這一差距，但是由于安全漏洞存在的可能性，企業(yè)應(yīng)該監(jiān)督那些未經(jīng)授權(quán)的改動和行為，促進(jìn)補(bǔ)丁管理和強(qiáng)用戶認(rèn)證的實(shí)行。

安全風(fēng)險(xiǎn)之?dāng)?shù)據(jù)丟失或泄漏

降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn)意味著實(shí)施強(qiáng)有力的API訪問控制以及對傳輸過程的數(shù)據(jù)進(jìn)行加密。CSA還建議，實(shí)施強(qiáng)有力的密鑰生成、存儲、管理和銷毀的做法。

安全風(fēng)險(xiǎn)之帳戶或服務(wù)劫持

如果攻擊者控制了你的證書，那么他們可以為所欲為，竊聽你的活動、交易，將數(shù)據(jù)變?yōu)閭卧斓男畔�，將賬戶引到非法的網(wǎng)站。企業(yè)應(yīng)該屏蔽用戶和服務(wù)商之間對賬戶證書的共享，在需要的時(shí)候使用強(qiáng)大的雙因素認(rèn)證技術(shù)。

安全風(fēng)險(xiǎn)之未知的風(fēng)險(xiǎn)

了解你的安全配置，無論是軟件的版本、代碼更新、安全做法、漏洞簡介，入侵企圖還是安全設(shè)計(jì)。看看誰在共享你的基礎(chǔ)設(shè)施，盡快獲取網(wǎng)絡(luò)入侵日志和重定向企圖中的相關(guān)信息。“隱藏安全問題不用花太多的精力，但是可以導(dǎo)致未知的風(fēng)險(xiǎn)。”CSA說。