随着越来越多的企业资源转移到云环境，我们将不可避免地听到更多与云计算相关的事故，但我们仍将看到更多针对企业内部资源的攻击事故。云环境并不是攻击中的薄弱环节。云供应商（例如Drophbox和Google）当然存在自己的问题，但与云相关的问题主要涉及系统中断，而不是数据泄露。

    这并不意味着投资于云环境的企业可以松一口气，基于云的应用程序安全测试服务供应商Veracode公司研究副总裁ChrisEng表示：“攻击者目前使用的攻击方法已经很够用，他们只需要使用相同的SQL注入攻击就可以成功发动攻击，而不需要花大量时间来开发新的攻击方法，”

    黑客并不是将云视为目标

    攻击者并不是将云视为目标，而是将其作为一种资源。云计算向合法企业提供一切服务，同样也提供给攻击者，越来越多的网络犯罪分子租用云基础设施来安装垃圾邮件程序（spambot）或者打造恶意软件命令以及控制基础设施。每个月只需要花50美元或者60美元，攻击者就可以利用很好的云资源。攻击者可以将这些廉价的基础设施加入低成本、自动化恶意软件工具包，并可以租借僵尸网络来发动攻击。

    虽然攻击者目前没有专门针对云环境，但大多数专家认为他们很快将开始攻击云环境，毕竟越来越多的企业资源开始转移到云环境。“云环境本身已经是一个诱人的目标，”Eng表示，“在云环境中，数据非常集中，你只要瞄准一个供应商，就可以攻击多个企业。”

    现在，最重要的企业资产仍然位于企业防火墙内，以后呢？可能会转移到云环境中。

    为什么云环境容易受到攻击

    云环境的优势在于，主要云供应商有责任保护他们的环境，如果Amazon或者谷歌遭遇泄露事故，他们的业务将受到严重影响。

    主要云供应商都清楚这一点，他们都在努力采取措施避免事故的发生。很早以前，网络就已经不再是物理孤岛，企业逐渐发现需要连接到其他企业，然后有了互联网，企业网络开始与公共基础设施相连接。[page]
    为了减轻风险，很多企业正采取措施来隔离他们的流量，例如使用多协议标签交换（MPLS）链接和加密。这些听起来都很不错，但是一些常见错误（例如糟糕的身份验证方法或者开放管理端口）可能让供应商的安全保护措施付诸东流。

    迁移到云环境存在的一个问题是，你需要远程管理你的资源，很多很多公司没有关闭管理端口，攻击者就是利用了这一点。

    询问云供应商的10个问题

    在对云服务供应商进行评估时，请一定要问以下十个问题：

    1.你是否使用安全开发生命周期来开发你的服务？

    2.你能否证明或者提供渗透测试结果？

    3.你部署了怎样的数据保护政策？

    4.你的数据隐私政策是什么？

    5.你如何执行这些不同的政策？

    6.安全涵盖在你的SLA中吗？如果没有，为什么？

    7.你如何备份和恢复数据？

    8.你如何加密动态数据和静态数据？

    9.你如何将我的数据与别人的数据分开？

    10.我对你的日志信息有怎样的能见度

    请确保API密钥的安全

    我最常听到的云安全问题是API密钥的安全。大多数企业使用API密钥来访问他们的云服务，这些密钥非常重要。API密钥是一个巨大的问题，如果我知道你的API密钥在服务器的位置，我能够拿到它们，然后我就可以进入你的云环境。

    API密钥必须受到保护，我们经常会看到IT管理员将这些密钥通过电子邮件来发送给另一名管理员，或者将密钥存储在并不难被发现的配置文件中。

    API密钥必须保存在一个安全的加密的位置，并且进行定期检查，必须确保只有具有正当理由的人才能访问这些密钥。另外，云经纪人可以帮你保管密钥，但你必须意识到你正在将云安全的关键部分外包给第三方。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。