維基百科:雲計算是一種將規模可動態拓展的虛擬化資源通過Internet提供對外按需使用服務的計算模式,用戶無需瞭解提供這種服務的底層基礎設施,也無需擁有和控制。雲形象地代表了Internet網絡,及提供服務的基礎設施。
雲計算安全威脅
雲計算面臨的安全威脅可分爲9大類:數據丟失和泄漏、網絡攻擊、不安全的接口、惡意的內部行爲、雲計算服務濫用或誤用、管理或審查不足、共享技術存在漏洞、未知的安全風險和法律風險。
0x00 數據丟失和泄漏
1.雲計算服務模式造成的用戶數據泄漏或丟失的風險
當用戶將自身數據交給雲服務提供商管理時,用戶便失去了對數據的掌控。
2.由於服務器或者虛擬化軟件的安全漏洞造成用戶數據被入侵的風險
由於雲計算的共享特性,多個虛擬資源很可能被綁定在同一物理資源中,僅靠軟件區分邊界。因此,如果雲計算的服務器或者虛擬化軟件中存在安全漏洞,那麼資源可能相互越界,用戶的數據很可能被其他用戶訪問。
3.數據沒有進行加密導致信息泄漏的風險
一般而言,對靜態數據的加密是可行的,但是動態數據或者雲計算應用程序使用的數據通常是不能加密的,因爲動態數據加密後將導致無法直接對數據進行處理、索引和查詢。
此外,雲計算使用分佈式架構,意味着比傳統的基礎設施需要更多的數據傳輸,在傳輸過程中如未採用加密機制,攻擊者可能通過實施嗅探、中間人攻擊、重放攻擊來竊取或篡改數據。
4.加密數據的密鑰管理存在缺失導致數據泄漏的風險
數據的保密性需要大量的加/解密鑰,而密鑰的管理是一大難題。
5.用戶數據存儲沒有進行容災備份導致數據丟失的風險
在雲計算環境中, 大量用戶信息、財務數據、關鍵業務記錄等敏感數據被集中存儲並在網絡中傳輸。
0x01 網絡攻擊
1.賬戶或服務流量劫持
如果攻擊者能夠獲取用戶的某個賬戶、密碼信息,即可竊取用戶多個服務中的資料,因爲用戶不會爲每個賬戶設立不一樣的密碼。
2.拒絕服務攻擊
雲計算最主要的安全威脅之一就是應用層的DDos攻擊,這些攻擊嚴重威脅到雲計算基礎設施的可用性。
0x02 不安全的接口
雲服務提供商需要提供大量的網絡接口和應用程序編程接口整合相關資源。
0x03 惡意的內部行爲
大多數企業都被內部惡意人員的問題所困擾。
0x04 雲計算服務濫用或誤用
攻擊者能以很低的成本租用海量雲計算和帶寬資源進行分佈式攻擊,如利用雲計算平臺發送大量垃圾郵件、製造或託管惡意代碼、大規模的破解密碼、實施拒絕服務攻擊、製造及管理將是網絡等。
0x05 管理或審查不足
1.身份認證管理薄弱
雲服務提供上目前所支持的身份認證管理時間和標準不足,隨着網絡邊界的持續消退,在保護用戶知識產權和敏感信息及保持合規性等方面,雲服務提供商面臨更大的風險。
2.安全管理缺失
雲計算服務集成了互聯網和內容服務、數據存儲、內容分發等業務,並擴大了經營範圍。但根據目前的電信分類方法,無法簡單地將元計算服務定位爲某一類電信業務,更無相應的配套安全監管要求。
3.調查審計困難
在雲計算環境下,由於用戶根本知道其數據存放的位置,因此很難實施安全審計、評估及認證,雲服務提供商也可能不會配合用戶自身發起的安全審計和評估;雲服務提供商及時委託第三方進行相關安全審計,其結果也未必能適用於各個用戶;同時,雲計算環境下用戶信息設施的安全審計、評估及認證方法,目前尚在研究之中。
0x06 共享技術存在漏洞
雲計算資源的虛擬池化是的傳統的安全策略無法管理到每個虛擬機及虛擬網絡,因爲傳統的基於物理安全邊界的防護機制難以有效保護基於共享虛擬及環境下的用戶應用及信息安全。虛擬化是的安全訪問控制、認證和授權更加困難,從而使得惡意代碼的傳播和感染變得相對容易。攻擊者可利用虛擬機管理系統自身的漏洞,入侵到宿主機或同一個宿主機上的其他虛擬機。
0x07 法律風險
使用雲計算可能不滿足某些工業標準或法律規定的要求。例如,有些法律要求特定數據不能與其他數據混雜保存在共享的服務器或數據庫中;有些國家嚴格限制本國公民的私密數據保存於其他國家等。
部分內容引自《硬黑客》