據(jù)IDC預(yù)測(cè)，到2015年之前，云計(jì)算總產(chǎn)值將超過300億美元。同時(shí)專家預(yù)計(jì)，三年間，云計(jì)算市場(chǎng)規(guī)模年均復(fù)合增長(zhǎng)率將達(dá)91.5%。2010年，中國(guó)云計(jì)算的市場(chǎng)規(guī)模為167.31億元，2013年將達(dá)1174.12億元。

    目前即使眾多專家認(rèn)為今年為產(chǎn)業(yè)元年，但是對(duì)于用戶來說，對(duì)于它的安全性還一直保有疑慮，直接導(dǎo)致發(fā)展遇到一困擾。現(xiàn)階段，云產(chǎn)業(yè)的發(fā)展還面臨九大產(chǎn)業(yè)威脅：

    威脅1：

    數(shù)據(jù)泄露對(duì)于每位CIO來說最大的噩夢(mèng)就是自己公司敏感的內(nèi)部數(shù)據(jù)落入了競(jìng)爭(zhēng)者之手，這也讓高管們寢食難安。云計(jì)算則為這一問題增加了新的挑戰(zhàn)。2012年11月，北卡萊羅納州大學(xué)和RSA公司的研究者發(fā)布的報(bào)告就顯示了在同一臺(tái)物理機(jī)上，一個(gè)虛擬機(jī)如何利用側(cè)通道計(jì)時(shí)信息來提取出另一個(gè)虛擬機(jī)的私有密鑰。但是在許多案例里，攻擊者甚至不需要這么復(fù)雜的操作。如果一個(gè)多租戶的云服務(wù)數(shù)據(jù)庫(kù)設(shè)計(jì)不妥當(dāng)，或許就會(huì)因?yàn)橐粋�(gè)漏洞而導(dǎo)致所有客戶的數(shù)據(jù)遭殃。

    延伸

    不幸的是，雖然數(shù)據(jù)丟失和數(shù)據(jù)泄露都是對(duì)云計(jì)算的嚴(yán)重威脅，你所采取的措施或許能緩解某一方面但卻可能讓另一方面更加麻煩，或許你可以把所有的數(shù)據(jù)都加密起來，但如果把密鑰丟了那你等于所有數(shù)據(jù)都丟了。反之，如果你想把所有的數(shù)據(jù)都進(jìn)行離線備份來降低災(zāi)難性數(shù)據(jù)丟失的影響，但又增加了你的數(shù)據(jù)暴露的風(fēng)險(xiǎn)。

    威脅2：

    數(shù)據(jù)丟失對(duì)于消費(fèi)者和企業(yè)雙方而言，數(shù)據(jù)丟失都是非常嚴(yán)重的問題。而存儲(chǔ)在云中的數(shù)據(jù)則可能因?yàn)槠渌�的原因而造成丟失。云服務(wù)供應(yīng)商的一次刪除誤操作，或者火災(zāi)等自然因素導(dǎo)致的物理性損害，都可能導(dǎo)致用戶數(shù)據(jù)丟失，除非供應(yīng)商做了非常到位的備份工作。但數(shù)據(jù)丟失的責(zé)任并非總是只在供應(yīng)商一方，比如如果用戶在上傳數(shù)據(jù)之前加密不妥當(dāng)，然后自己又弄丟了密鑰，那么也可能造成數(shù)據(jù)丟失。

    延伸

    許多承諾性政策里都要求組織對(duì)數(shù)據(jù)安全進(jìn)行持續(xù)的審計(jì)記錄或其他形式的文檔存檔。如果組織存儲(chǔ)在云中的數(shù)據(jù)發(fā)生了丟失，將會(huì)導(dǎo)致組織的承諾陷入困境。

    威脅3：

    賬戶或服務(wù)流量劫持黑客通過網(wǎng)絡(luò)釣魚、欺詐或利用軟件漏洞來劫持無辜的用戶。通常黑客根據(jù)一個(gè)密碼就可以竊取用戶多個(gè)服務(wù)中的資料，因?yàn)橛脩舨粫?huì)為每個(gè)服務(wù)設(shè)立一個(gè)不一樣的密碼。對(duì)于供應(yīng)商，如果被盜的密碼可以登陸云，那么用戶的數(shù)據(jù)將被竊聽、篡改，黑客將向用戶返回虛假信息，或重定向用戶的服務(wù)到欺詐網(wǎng)站。不僅對(duì)用戶自身造成損失，還將對(duì)供應(yīng)商的聲譽(yù)造成影響。

    延伸

    賬戶和服務(wù)劫持及通常伴隨的證書盜竊，仍位列威脅前列。竊取證書后攻擊者通常都可以進(jìn)入云服務(wù)里的一些關(guān)鍵性領(lǐng)域，破壞其機(jī)密性、完整性和可用性。企業(yè)組織應(yīng)該對(duì)這種技術(shù)手段做必要的防范，以及采取一些深層次的防御手段來保護(hù)數(shù)據(jù)免受外泄危機(jī)。同時(shí)應(yīng)該禁止用戶和服務(wù)之間共享賬號(hào)證書，必要的話還應(yīng)采取雙重驗(yàn)證機(jī)制。

    威脅4：

    賬戶或服務(wù)流量劫持對(duì)于每位CIO來說最大的噩夢(mèng)就是自己公司敏感的內(nèi)部數(shù)據(jù)落入了競(jìng)爭(zhēng)者之手，這也讓高管們寢食難安。云計(jì)算則為這一問題增加了新的挑戰(zhàn)。2012年11月，北卡萊羅納州大學(xué)和RSA公司的研究者發(fā)布的報(bào)告就顯示了在同一臺(tái)物理機(jī)上，一個(gè)虛擬機(jī)如何利用側(cè)通道計(jì)時(shí)信息來提取出另一個(gè)虛擬機(jī)的私有密鑰。但是在許多案例里，攻擊者甚至不需要這么復(fù)雜的操作。如果一個(gè)多租戶的云服務(wù)數(shù)據(jù)庫(kù)設(shè)計(jì)不妥當(dāng)，或許就會(huì)因?yàn)橐粋�(gè)漏洞而導(dǎo)致所有客戶的數(shù)據(jù)遭殃。

    延伸

    大多數(shù)供應(yīng)商都在努力加強(qiáng)他們服務(wù)的安全機(jī)制，而對(duì)于消費(fèi)者來說他們未必能很好的理解他們?cè)谑褂谩⒐芾砗捅O(jiān)控云服務(wù)過程中可能牽涉到的安全問題。薄弱的接口和API設(shè)置會(huì)讓企業(yè)組織陷入許多安全性問題，影響機(jī)密性、可用性等。

    威脅5：

    拒絕服務(wù)攻擊簡(jiǎn)單來說，拒絕服務(wù)攻擊就是指攻擊者阻止正常用戶正常訪問云服務(wù)的一種攻擊手段。通常是迫使一些關(guān)鍵性云服務(wù)來消耗大量的系統(tǒng)資源，例如處理進(jìn)程、內(nèi)存、硬盤空間、網(wǎng)絡(luò)帶寬，導(dǎo)致云服務(wù)器反應(yīng)變得極為緩慢或者完全沒有響應(yīng)。

    拒絕服務(wù)攻擊(DDoS)引起過許多的麻煩，并一直被媒體所關(guān)注，他們的攻擊可能并無實(shí)質(zhì)性目的。非對(duì)稱應(yīng)用程序級(jí)別拒絕服務(wù)攻擊所瞄準(zhǔn)的就是Web服務(wù)器、數(shù)據(jù)庫(kù)或其他云計(jì)算資源脆弱的這一點(diǎn)，然后在應(yīng)用程序上運(yùn)行一小段惡意程序，有時(shí)甚至不足100個(gè)字節(jié)。

    延伸

    流量高峰期遭遇拒絕服務(wù)攻擊時(shí)就像遇到了大堵車一樣，無法訪問目標(biāo)服務(wù)器，除了等待你什么都做不了。對(duì)于消費(fèi)者，服務(wù)中斷不僅會(huì)挫傷他們對(duì)云服務(wù)的信心，還會(huì)導(dǎo)致他們考慮將關(guān)鍵性數(shù)據(jù)從云中轉(zhuǎn)移走以降低損失。更糟的是，由于云服務(wù)的收費(fèi)模式通常都是按用戶消耗了多少系統(tǒng)資源占用了多少空間來計(jì)算，因此即便是攻擊者沒有完全把你的系統(tǒng)搞癱瘓，也會(huì)讓你因?yàn)榫薮蟮馁Y源消耗而蒙受巨大的云服務(wù)費(fèi)用。

    威脅6：

    惡意的內(nèi)部人員在安全行業(yè)，來自內(nèi)部惡意人員造成的威脅已經(jīng)成為一個(gè)爭(zhēng)議話題。爭(zhēng)議歸爭(zhēng)議，事實(shí)上這種事情確實(shí)存在。對(duì)組織存在威脅的惡意內(nèi)部人員可能是那些有進(jìn)入企業(yè)組織網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)權(quán)限的在任的或曾經(jīng)的員工，承包商，或者其他業(yè)務(wù)伙伴，他們?yōu)E用權(quán)限，導(dǎo)致企業(yè)組織的系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性、可用性受損。

    延伸

    諸如系統(tǒng)管理員等內(nèi)部惡意人員，都擁有訪問企業(yè)敏感信息和關(guān)鍵領(lǐng)域的權(quán)限。從IaaS到PaaS和SaaS，內(nèi)部惡意人員能夠訪問的敏感領(lǐng)域級(jí)別也越來越多，甚至是數(shù)據(jù)。因此那些全靠云服務(wù)供應(yīng)商來進(jìn)行安全管理的系統(tǒng)都面臨著巨大的風(fēng)險(xiǎn)。即便是加密過，如果客戶沒有很好的掌握著密鑰，或者限制可用的時(shí)間段，那么系統(tǒng)都可能面臨著來自內(nèi)部惡意人員的威脅。

    威脅7：

    濫用云服務(wù)云計(jì)算的一個(gè)最大的優(yōu)點(diǎn)就是它可以讓哪怕是最小的企業(yè)，來使用最大數(shù)量的計(jì)算資源。對(duì)于大多數(shù)企業(yè)來說，他們都支付不起成百上千的服務(wù)器，而使用成百上千個(gè)云服務(wù)器就沒問題。然而，并非所有人都能正確良好的利用這種資源。比如如果一個(gè)攻擊者想要破解一個(gè)密鑰，使用自己的機(jī)器可能要好幾年，而使用云計(jì)算服務(wù)器強(qiáng)大的計(jì)算能力，可能數(shù)分鐘就搞定了。或者攻擊者可能使用云服務(wù)器來進(jìn)行DDoS攻擊，存儲(chǔ)惡意軟件或者盜版軟件。

    延伸

    需要考慮這一威脅的，更多的是云服務(wù)供應(yīng)商。此類事情發(fā)生次數(shù)已經(jīng)在增多了。如何防止別人濫用使用你提供的服務(wù)?如何定義“濫用”?如何阻止這種事情再次發(fā)生?

    威脅8：

    審查不足降低成本，運(yùn)營(yíng)效率，安全提升，這些優(yōu)點(diǎn)讓人們對(duì)云計(jì)算趨之若鶩，對(duì)于那些有資源有能力來合理利用云技術(shù)的企業(yè)來說，這確實(shí)是一個(gè)很實(shí)在的目標(biāo)，但有很多企業(yè)實(shí)際上在一擁而上的大潮里，并未真正的明確的了解這一技術(shù)的全貌。

    如果對(duì)云服務(wù)供應(yīng)商環(huán)境、應(yīng)用程序、運(yùn)營(yíng)責(zé)任(如事故責(zé)任、加密問題、安全監(jiān)控)等沒有充分的了解，企業(yè)組織如果貿(mào)然采用云計(jì)算，就可能面臨著認(rèn)知不足的各種未知的風(fēng)險(xiǎn)，這恐怕比眼下的風(fēng)險(xiǎn)要更加嚴(yán)重。

    延伸

    貿(mào)然采用云服務(wù)的企業(yè)組織可能會(huì)自己陷入多種問題。如責(zé)任、義務(wù)、供應(yīng)商和客戶間透明度、服務(wù)的相符程度等合同問題。將那些依賴完整網(wǎng)絡(luò)級(jí)別安全控制的應(yīng)用程序遷移到云之后，如果失去控制或者供應(yīng)商提供的服務(wù)與客戶的需求不符，就會(huì)非常麻煩和危險(xiǎn)。未知的運(yùn)營(yíng)和架構(gòu)問題也會(huì)隨著應(yīng)用程序設(shè)計(jì)師和架構(gòu)師與客戶溝通不足而引發(fā)種種問題。

    企業(yè)和組織遷移到云的底線是，必須要有一定的資本能力，以及對(duì)云服務(wù)供應(yīng)商足夠廣泛詳細(xì)的審查，并充分了解新技術(shù)所存在的風(fēng)險(xiǎn)。

    威脅9：

    共享技術(shù)漏洞云服務(wù)供應(yīng)商要交付規(guī)�；�的服務(wù)，就要共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用程序。組成這些基礎(chǔ)設(shè)施的組件(包括CPU緩存、GPU等)的設(shè)計(jì)，如果沒有針對(duì)多租戶架構(gòu)(IaaS)、重部署平臺(tái)(PaaS)或多客戶應(yīng)用程序(SaaS)的優(yōu)良隔離機(jī)制，那么如果存在威脅，所有的服務(wù)模式都將面臨威脅。必須建立深層次的防御戰(zhàn)略，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用程序和用戶安全執(zhí)法和監(jiān)控，無論是何種云服務(wù)模式。關(guān)鍵是在整個(gè)的云服務(wù)里，必須要有一個(gè)完整的漏洞和錯(cuò)誤配置解決機(jī)制。

    延伸

    管理程序、共享平臺(tái)組件、共享應(yīng)用程序等共享技術(shù)所存在的風(fēng)險(xiǎn)遠(yuǎn)比客戶行為更要緊，因?yàn)檫@種問題可能將整個(gè)系統(tǒng)的弱點(diǎn)暴露給攻擊者。這些漏洞將會(huì)是非常致命的，牽一發(fā)而動(dòng)全身，整個(gè)云系統(tǒng)可能瞬間癱瘓。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：九大潛在威脅阻礙云計(jì)算產(chǎn)業(yè)推廣

本文網(wǎng)址：http://www.ezxoed.cn/html/news/1051539504.html