安全問題是擋在云計(jì)算規(guī)模商用道路上的巨大障礙。幫助人們解決對云計(jì)算安全威脅擔(dān)心的第一步，就是正確地識別安全威脅，以下是目前云計(jì)算面臨的七大安全威脅。

　　威脅一：拒絕服務(wù)攻擊

　　首先，云計(jì)算以寬帶網(wǎng)絡(luò)和Web方式提供服務(wù)，其可用性方面將會受到挑戰(zhàn)，針對云計(jì)算服務(wù)的拒絕服務(wù)攻擊，需要云計(jì)算服務(wù)提供商認(rèn)真調(diào)查、采取相應(yīng)的專門保護(hù)措。其次，云計(jì)算快速彈性的特征，要求服務(wù)提供商自身必須具備非常強(qiáng)大的網(wǎng)絡(luò)和服務(wù)器資源，按需服務(wù)的特征，又對業(yè)務(wù)開通和服務(wù)變更等環(huán)節(jié)提出了靈活性的要求。這兩個(gè)特征結(jié)合在一起，使得云計(jì)算服務(wù)很容易成為濫用、惡意使用服務(wù)的溫床。在2010年Defcon大會上，David Bryan公開演示了如何在Amazon的云計(jì)算服務(wù)平臺上以6美元的成本對目標(biāo)網(wǎng)站發(fā)起致命的拒絕服務(wù)攻擊。利用云計(jì)算服務(wù)來破解密碼、搭建僵尸網(wǎng)絡(luò)等惡意使用案例也屢有發(fā)生。

　　威脅二：不安全的接口和API

　　“開放”是云計(jì)算時(shí)代的一個(gè)重要的業(yè)務(wù)變革方向。云計(jì)算服務(wù)商需要提供大量的網(wǎng)絡(luò)接口和API(應(yīng)用程序編程接口)來整合上下游、尋找業(yè)務(wù)伙伴，甚至直接提供業(yè)務(wù)。

　　但是，開發(fā)過程中的安全測試、運(yùn)行過程中的滲透測試，以及測試工具、測試方法等，在針對網(wǎng)絡(luò)接口和API上都還不夠成熟，這些通常工作于后臺相對安全環(huán)境的功能被開放出來后，將會帶來新的安全威脅。

　　威脅三：惡意的內(nèi)部員工

　　Verizon Business最新的數(shù)據(jù)泄漏調(diào)查報(bào)告顯示，48%的數(shù)據(jù)泄漏是由于惡意的內(nèi)部人士所為。云計(jì)算服務(wù)作為某種程度上的外包業(yè)務(wù)，工作上有權(quán)限、有能力接觸并處理用戶數(shù)據(jù)的范圍進(jìn)一步擴(kuò)大，其中包括用戶自己的內(nèi)部人士、供應(yīng)商員工、云計(jì)算服務(wù)商的管理維護(hù)人員、云計(jì)算服務(wù)商的供應(yīng)商員工等。這種訪問范圍的擴(kuò)大，增加了惡意的“內(nèi)部員工”濫用數(shù)據(jù)和服務(wù)的可能性。

　　威脅四：共享技術(shù)產(chǎn)生的問題

　　資源的虛擬池化和共享是云計(jì)算的根本，但是這種共享并不是沒有代價(jià)的，最為典型的代價(jià)就是使得安全性降低。事實(shí)上，針對虛擬層的安全研究已經(jīng)被廣為重視，從2007年開始，主流的虛擬層軟件屢有漏洞被發(fā)現(xiàn)。

　　威脅五：數(shù)據(jù)泄漏

　　數(shù)據(jù)泄漏是云計(jì)算、尤其是公共“云”最被人們擔(dān)心的問題。企業(yè)或組織的管理層和IT決策者，需要仔細(xì)評估云計(jì)算提供商對數(shù)據(jù)的保護(hù)能力。很多威脅都可能導(dǎo)致云中的數(shù)據(jù)丟失和泄漏。云中關(guān)鍵數(shù)據(jù)的高密度聚合，給潛在的攻擊者帶來極大的誘惑。

　　密鑰的管理也是一個(gè)挑戰(zhàn)，密鑰的丟失會導(dǎo)致數(shù)據(jù)毀壞，密鑰的國度分享又會削弱加密的效果。另外，由于同宿主機(jī)上其他客戶的法律取證要求，也可能會導(dǎo)致不必要的數(shù)據(jù)外泄和損失。

　　威脅六：賬號和服務(wù)劫持

　　傳統(tǒng)的服務(wù)和會話劫持已經(jīng)廣為人知，云計(jì)算給賬號和服務(wù)“劫持”又增添了不少新的含義。在云環(huán)境中，如果攻擊者能夠獲得你的賬號信息，他們就可以竊聽你的活動和交易，操縱處理的數(shù)據(jù)，發(fā)送虛假的信息，將你的客戶引到假冒的站點(diǎn)，并且被“劫持”的服務(wù)和賬號可能會被利用，以便發(fā)起新的攻擊。

　　威脅七：未知的風(fēng)險(xiǎn)場景

　　云計(jì)算服務(wù)商和用戶之間存在很大的信息不對稱性。一方面，用戶選擇將自己的IT計(jì)算和服務(wù)外包給云服務(wù)提供商，就是為了解放和優(yōu)化自己的資源，所以沒有必要也沒有足夠的資源去全面洞察“云”中的所有細(xì)節(jié);另一方面，云服務(wù)提供商出于商業(yè)機(jī)密和安全考慮，并不情愿分享所有的關(guān)鍵信息(即使是和安全直接相關(guān)的)。在這種情形下，云計(jì)算的用戶必然需要處理大量的未知安全風(fēng)險(xiǎn)。

　　實(shí)際上，這些未知安全風(fēng)險(xiǎn)，也就是說那些未知漏洞是云中真正的危險(xiǎn)，而軟件版本、安全實(shí)踐、代碼更新、漏洞情況、入侵企圖、安全設(shè)計(jì)等，都是可以幫助評估自身所面臨的安全風(fēng)險(xiǎn)的重要因素。