企業應用云計算的場景越來越多，投資也越來越大。目前唯一能造成大型企業高層們在取舍云計算時猶豫的原因就是云計算的安全問題。然而，如何對即將或者正在使用的云計算進行安全評估乃至加固，大多數企業并沒有概念，因此也很難在使用云計算獲得效率和便利以及安全兩個方面達成一致和共識。

基于此，本文針對云計算的風險類型采用經典的“CIA三性”，即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)來進行界定，并針對性地提出相關的防御、檢測、阻止措施，然后給出通過這些措施后仍然存在的剩余風險，以給企業的高層們提供云計算實踐中的有益參考。

“C”：機密性(Confidentiality)風險

這些風險與隱私和信息控制相關的缺陷、威脅有關，假定你想以一種受控制的方式，使信息只對那些需要它的實體可用，而不暴露給未經授權的第三方。

1)數據泄漏、盜竊、曝光、轉發

用戶數據和其他類型的知識產權通過有意無意的方式造成的信息丟失。數據泄漏有四個主要的威脅中介：外界盜竊，內部蓄意破壞(包括未經授權的數據打印，復制或轉發)，授權用戶無意濫用，還有不明確政策造成的錯誤。

防御：軟件控制通過數據丟失防控(DLP)方案來防止不恰當的數據訪問。避免將敏感、機密或個人識別(PII)的信息放在云中。

檢測：使用水標記和帶有監控軟件的數據分類標簽來追蹤數據流。

阻止：在與那些指定了強制執行和保護數據隱私的服務提供商的合同協議中，使用清晰而有力的語言。

剩余風險：在云供應商的環境中，涉及到多個不可追蹤的邏輯磁盤存儲位置，以及將私有數據暴露給管理員的供應商管理訪問問題相關的數據持久性問題。

2)探測、數據包檢測、數據包重新發送

有意通過未經授權的網絡截取來捕獲信息，使用工具來截獲網絡包，或者重現網絡交易和重發已傳送的數據。

防御：通過使用加密文件的強大的加密技術(如PGP)，以及在網絡上的服務器之間進行的網絡加密技術(如TLS,SSL,SFTP)，來加密靜態數據和傳輸的數據。對于提供鏈路層數據加密是云提供商進行優先考慮。

檢測：目前，我們還不能很好地發現何時有人截獲了你的數據;然而，IDS功能可以幫助識別那些可能指示未授權范圍意圖的網絡上的異常行為。

阻止：將未授權訪問的風險轉移到使用特定合同的語言的服務供應商。

剩余風險：利用網絡拓撲結構，網絡缺陷，入侵服務器和網絡設備，以及直接訪問網絡設備的方式，來從網絡中盜取數據。

3)不恰當的管理員訪問權限

使用特權訪問權限等級的工作，通常保留給系統管理員，這些管理員對系統和系統可以訪問的所有數據提供訪問，以便在不需通過系統認證過程的情況下，來瀏覽數據和做出調整。管理員有繞過所有安全控制的權利，這可以用來故意或錯誤地損害私人數據。

防御：最小化每一個提供云服務功能的管理員的數量——服務器，網絡和存儲(最好是少于十個而多于五個管理員)。此外，還有確保執行一個徹底的背景審查來篩選服務提供商的全體人員。在雇傭一個云提供商或與之簽署協議時，需要進行供應商的安全檢查來確保他們的做法有效。

檢測：按月或按季檢查云提供商對他們內部基礎設施的管理訪問日志。

阻止：只選擇那些可以證明是強健的系統，并且擁有希望認同客戶條件的網絡管理方法的云提供商。

剩余風險：由于管理員擁有全部的控制權限，他們肯能會有意或無意地濫用其訪問權限，從而導致個人信息或服務可用性二者的折衷。

4)持久性存儲

在一個數據不再被需要，或者已經被刪除之后，數據可能仍然保留在磁盤上。數據可能被刪除但一定不可能被覆蓋，所以未授權的個人進行之后的數據恢復的風險性就提高了。

防御：當磁盤被更換或者重新分配時，堅持要求供應商持有抵御磁盤擦除管理的方案。無效磁盤應消磁或銷毀，以防止數據泄露。

檢測：你不能發現何時你的數據存儲在一個已經脫機的磁盤上。

阻止：在選擇供應商之前應建立磁盤擦除的方案，確保合同語言明確規定了這些要求。

剩余風險：數據在被刪除很久之后，仍保留在物理介質上。

5)存儲平臺攻擊

直接攻擊SAN或存儲基礎設施，包括使用一個存儲系統的管理控制，可以提供對私有數據的訪問，并且是繞過建立在操作系統內部的控制設置，因為操作系統在回路的外面。

防御：確保提供商在他們的存儲系統上，已經實現了強健的分區和基于角色的訪問控制，并確保對供應商存儲系統管理接口的訪問不能通過用戶網絡來進行。

檢測：為存儲網絡實現IDS，且按季檢查存儲系統訪問控制日志。

阻止：確保云服務供應商具有強健的法律代理功能，并能夠承諾查明和起訴攻擊者。

剩余風險：數據可直接從SAN被盜，之后你也許能發現，也許一點兒也不會意識到。

6)數據誤用

有權訪問數據的人也有可能對這些數據做其它操作，包括不被允許執行的操作。比如，泄漏信息給競爭對手的員工，測試生產數據的開發者，以及從組織者私有網絡的受控環境中取出數據，放入無保護的主環境的人。

防御：對員工而言，使用類似于私有數據網絡的安全控制，如DLP，基于角色的訪問控制，和干擾測試和開發數據。破壞發送電子郵件附件到外部地址的能力。

檢測：使用水標記和帶有監控軟件的數據分類標簽來追蹤數據流。

阻止：使用為阻止人們從受控環境中傳輸數據到一個不受控環境的行為進行處罰和制裁的安全意識方案。

剩余風險：人們可以找到一些控制策略來把數據放到可能被盜竊或誤用的未受控環境中。

7)騙局

非法(或欺騙性)獲得未經授權訪問的信息。欺詐行為可以是外人犯下的，但通常是由受信任的雇員犯下。

防御：采用審查和為減少對單一個體的依賴而進行充分分離的平衡。確保業務流程包括了審查管理和批準。

檢測：對計算機系統訪問和數據使用執行定期審計，特別要注意未經授權的訪問。

阻止：確保對員工有一個合適的懲罰程序。對于服務提供商而言，通過合同的書面語言來轉移風險。

剩余風險：欺詐行為可能導致重大的聲譽和經濟損失。

8)劫持

一個有效的計算機會話，有時也稱為會話密鑰——以獲取對一個計算機系統上信息和服務的未授權訪問的開發，尤其是對遠程服務器訪問進行用戶驗證的神奇的cookie的盜用。例如，用來維持許多網站上會話的HTTP Cookie可以通過使用中間計算機或訪問受害者的計算機上保存的Cookie來盜取。如果攻擊者能夠竊取這個cookie ，攻擊者可以像真正的用戶一樣對數據操作進行請求，獲得對特權信息的訪問或更改數據。如果這個cookie是一個永久性的Cookie，那么這種假冒行為可以持續相當長的一段時間。在這種情況下，通過雙方傳遞密鑰來維持的協議是脆弱的，尤其是當它沒有被加密時。這同樣適用于云環境的管理憑據，如果整個云環境是通過會話密鑰來管理的，那么整個的環境可以被有效利用會話劫持攻擊所占據。

防御：從那些采用強健的已被加密的準確會話密鑰，來著重強調這種風險的服務提供商中查找堅實的身份管理的實現。作為客戶，應使用良好的密鑰管理流程和方案，密鑰托管和密鑰恢復方案，這樣員工的離職并不會導致服務的不可管理。

檢測：定期檢查云資源的訪問日志和它們的管理接口，以鑒定異常情況。

阻止：對阻止劫持者在積極的法律響應之外進行會話劫持，我們還不能采用有效措施來應對。

剩余風險：攻擊者可能冒充的云服務的有效用戶甚至可以使用管理憑據來鎖定，并損壞企業整個的基礎設施。