云计算面临的11大安全威胁

云安全是云时代企业数字化转型面临的最大挑战之一。随着云计算的快速普及，企业用户往往认为云安全的主要责任者是技术堆栈和实力更为雄厚的云服务商，这是一个常见的误区，企业过于依赖云服务商正在给企业带来更大的安全风险。

对于云安全，尤其是云端数据安全的主要责任者，Gartner，Inc.副总裁兼云安全负责人Jay Heiser直言不讳地指出：保护云中企业数据的主要责任不在于云服务提供商，而在于云客户。Heiser表示：“我们正处于云安全过渡时期，防护的重任正在从提供商转移到了客户。”“如今，企业正在学习，花费大量时间试图确定某个特定云服务提供商是否‘安全’、是否物有所值。”

为了使企业对云安全问题有全新的认识和了解，做出更有效的采购决策，云安全联盟（CSA）上个月推出了最新版本的《云计算11大威胁报告》。

为了明确用户最关注的云安全问题，CSA对行业安全专家进行了一项调查，以就云计算中最重大的安全性问题收集专业意见。并针对Capital One、迪斯尼、道琼斯、GitHub、特斯拉等九家知名企业展开云安全案例调研，深度发掘主要的云安全问题（按调查结果的严重性顺序排列）：

01、数据泄露

数据泄露威胁在去年的调查中继续保持第一的位置，也是最严重的云安全威胁。数据泄露行为可能会严重损害企业的声誉和财务，还可能会导致知识产权（IP）损失和重大法律责任。

CSA关于数据泄露威胁的关键要点包括：

• 攻击者渴望窃取数据，因此企业需要定义其数据的价值及其丢失的影响；
• 明确哪些人有权访问数据是解决数据保护问题的关键；
• 可通过互联网访问的数据最容易受到错误配置或漏洞利用的影响；
• 加密可以保护数据，但需要在性能和用户体验之间进行权衡；
• 企业需要可靠、经过测试的事件响应计划，并将云服务提供商考虑在内。

02、配置错误和变更控制不足

这是CSA云安全威胁榜单中出现的新威胁，考虑到近年来越来越多的企业都因为疏忽或意外通过云公开泄露数据，该威胁上榜不足为奇。例如，报告中引用了Exactis事件，其中云服务商因配置错误公开泄露了一个包含2.3亿美国消费者的个人数据的Elasticsearch数据库。另外一个灾难性的错误配置案例来自Level One Robitics，由于备份服务器配置错误暴露了100多家制造公司的知识产权信息。

报告指出，让企业担心的不仅仅是数据丢失，还包括通过篡改或者删除资料导致的业务停顿。报告将大多数配置错误归咎于变更控制实践欠佳。

配置错误和变更控制不充分的关键点包括：

• 云端资源的复杂性使其难以配置；
• 不要期望传统的控制和变更管理方法在云中有效；
• 使用自动化和技术，这些技术会连续扫描错误配置的资源。