云計算安全一直成為業界關注焦點，近日從CSA報告(點擊下載)中對云領域的威脅進行了分析，并對2013年云計算的一些威脅進行了排名。

從報告中可以看到，2013年前三大威脅是數據泄露、數據丟失和賬戶劫持。在2010年，云計算中前三個是云服務的濫用、不安全接口和API、內部人員惡意破壞。這三個威脅仍在今年的名單上，但排名分別下跌到第7、4、6位。

從報告中總結2013年九個云計算的威脅：

1. 數據泄露

對于企業，數據泄露是一個老生常談的問題，但云計算加重了這種威脅，特別是對于一個設計不當的云服務數據庫將使攻擊者不僅僅進入一個帳戶，而且會進入與該服務相關的其他帳戶。

2. 數據丟失

對于數據丟失也是經常發生的，用戶設備被破解，造成數據被偷或被刪除。同樣天災(比如颶風桑迪)可能會導致永久性的數據丟失，對于云計算而言如果一個企業的數據在上傳到云之前就行加密，就能更好地保護加密密鑰或數據。

3. 賬戶或服務信息劫持

黑客通過網絡釣魚或軟件漏洞來劫持用戶信息。通常根據一個密碼就可以竊取用戶多個服務中的資料。對于云供應商而言，如果被盜的密碼可以登陸云端平臺，那么用戶的數據將被竊聽、篡改，甚至重定向用戶的服務到網站。

4. 不安全的接口和API

云端平臺中的API允許任意數量的交互應用，對整體安全來說是一個薄弱的環節。API通過政策進行控制，開發人員須在質量和安全性設計方面有所變化，但因為API是跨領域的分層使得問題比較復雜。

5. 拒絕提供服務

通過對用戶阻止訪問資源和數據，并造成延遲成為破壞云服務的一個攻擊方法，可能意味著在線服務的。其他形式的攻擊，非對稱應用級DoS攻擊，直接利用弱點將Web服務器、數據庫和其他云資源作為攻擊目標。

6. 內部人員惡意破壞

數據的丟失，有一定程度上是內部人員惡意破壞造成的。盡管這種情況對于企業而言不一定發生，但當一旦造成破壞的傷害就會很大。CSA表示，完全依賴于云服務提供商的安全系統是云端最大的風險。

7. 云服務的濫用

作為大眾化的云服務，可向任何人提供計算資源，但并不考慮使用者的目的，很可能是通過尋求資源，以破解用戶的加密信息、發動拒絕服務攻擊、服務器的惡意軟件的黑客。

8. 不充分的審查

云計算的好處對于企業用戶是顯而易見，比如降低成本、提高效率、更好的安全性等，但遷移到云計算的風險中需要有足夠的風險評估，特別對不了解云服務環境、應用程序或服務被推到云中、營運責任(比如事件響應、加密、安全監控等)都會對企業產生未知的風險。

9. 共享技術漏洞

所有的交付模型全面展示出共享基礎設施、平臺和應用程序所帶來的特點。CSA強調深入安全保護策略，包括計算、存儲、網絡、應用程序和用戶安全執行，以及對IaaS、PaaS和SaaS的監測。