威胁2:
数据丢失对于消费者和企业双方而言,数据丢失都是非常严重的问题。而存储在云中的数据则可能因为其他的原因而造成丢失。云服务供应商的一次删除误操作,或者火灾等自然因素导致的物理性损害,都可能导致用户数据丢失,除非供应商做了非常到位的备份工作。但数据丢失的责任并非总是只在供应商一方,比如如果用户在上传数据之前加密不妥当,然后自己又弄丢了密钥,那么也可能造成数据丢失。
延伸
许多承诺性政策里都要求组织对数据安全进行持续的审计记录或其他形式的文档存档。如果组织存储在云中的数据发生了丢失,将会导致组织的承诺陷入困境。
威胁3:
账户或服务流量劫持黑客通过网络钓鱼、欺诈或利用软件漏洞来劫持无辜的用户。通常黑客根据一个密码就可以窃取用户多个服务中的资料,因为用户不会为每个服务设立一个不一样的密码。对于供应商,如果被盗的密码可以登陆云,那么用户的数据将被窃听、篡改,黑客将向用户返回虚假信息,或重定向用户的服务到欺诈网站。不仅对用户自身造成损失,还将对供应商的声誉造成影响。
延伸
账户和服务劫持及通常伴随的证书盗窃,仍位列威胁前列。窃取证书后攻击者通常都可以进入云服务里的一些关键性领域,破坏其机密性、完整性和可用性。企业组织应该对这种技术手段做必要的防范,以及采取一些深层次的防御手段来保护数据免受外泄危机。同时应该禁止用户和服务之间共享账号证书,必要的话还应采取双重验证机制。
威胁4:
账户或服务流量劫持对于每位CIO来说最大的噩梦就是自己公司敏感的内部数据落入了竞争者之手,这也让高管们寝食难安。云计算则为这一问题增加了新的挑战。2012年11月,北卡莱罗纳州大学和RSA公司的研究者发布的报告就显示了在同一台物理机上,一个虚拟机如何利用侧通道计时信息来提取出另一个虚拟机的私有密钥。但是在许多案例里,攻击者甚至不需要这么复杂的操作。如果一个多租户的云服务数据库设计不妥当,或许就会因为一个漏洞而导致所有客户的数据遭殃。
延伸
大多数供应商都在努力加强他们服务的安全机制,而对于消费者来说他们未必能很好的理解他们在使用、管理和监控云服务过程中可能牵涉到的安全问题。薄弱的接口和API设置会让企业组织陷入许多安全性问题,影响机密性、可用性等。
