延伸
需要考虑这一威胁的,更多的是云服务供应商。此类事情发生次数已经在增多了。如何防止别人滥用使用你提供的服务?如何定义“滥用”?如何阻止这种事情再次发生?
威胁8:
审查不足降低成本,运营效率,安全提升,这些优点让人们对云计算趋之若鹜,对于那些有资源有能力来合理利用云技术的企业来说,这确实是一个很实在的目标,但有很多企业实际上在一拥而上的大潮里,并未真正的明确的了解这一技术的全貌。
如果对云服务供应商环境、应用程序、运营责任(如事故责任、加密问题、安全监控)等没有充分的了解,企业组织如果贸然采用云计算,就可能面临着认知不足的各种未知的风险,这恐怕比眼下的风险要更加严重。
延伸
贸然采用云服务的企业组织可能会自己陷入多种问题。如责任、义务、供应商和客户间透明度、服务的相符程度等合同问题。将那些依赖完整网络级别安全控制的应用程序迁移到云之后,如果失去控制或者供应商提供的服务与客户的需求不符,就会非常麻烦和危险。未知的运营和架构问题也会随着应用程序设计师和架构师与客户沟通不足而引发种种问题。
企业和组织迁移到云的底线是,必须要有一定的资本能力,以及对云服务供应商足够广泛详细的审查,并充分了解新技术所存在的风险。
威胁9:
共享技术漏洞云服务供应商要交付规模化的服务,就要共享基础设施、平台和应用程序。组成这些基础设施的组件(包括CPU缓存、GPU等)的设计,如果没有针对多租户架构(IaaS)、重部署平台(PaaS)或多客户应用程序(SaaS)的优良隔离机制,那么如果存在威胁,所有的服务模式都将面临威胁。必须建立深层次的防御战略,包括计算、存储、网络、应用程序和用户安全执法和监控,无论是何种云服务模式。关键是在整个的云服务里,必须要有一个完整的漏洞和错误配置解决机制。
延伸
管理程序、共享平台组件、共享应用程序等共享技术所存在的风险远比客户行为更要紧,因为这种问题可能将整个系统的弱点暴露给攻击者。这些漏洞将会是非常致命的,牵一发而动全身,整个云系统可能瞬间瘫痪。
