為了表明數(shù)據(jù)泄露對企業(yè)的危害程度，CSA在報告中提到了其在2012年11月發(fā)表的一篇研究文章，該文章描述了黑客如何利用邊信道(Side-Channel)時間信息，通過侵入一臺虛擬機來獲取同一服務(wù)器上的其他虛擬機所使用的私有密鑰。不過，其實不懷好意的黑客未必需要如此煞費苦心，就能確保這種攻擊得逞。要是多租戶云服務(wù)數(shù)據(jù)庫設(shè)計不當，哪怕某一個用戶的應(yīng)用程序只存在一個漏洞，都可以讓攻擊者獲取這個用戶的數(shù)據(jù)，而且還能獲取其他用戶的數(shù)據(jù)。

要應(yīng)對數(shù)據(jù)丟失和數(shù)據(jù)泄露方面的威脅，難就難在其有可能造成“拆東墻補西墻”般的效果。CSA報告認為：“你落實到位的措施可能可以緩解一種威脅，但是會加大遭遇另一種威脅的風(fēng)險?！庇脩艨梢詫?shù)據(jù)進行加密，以減小泄露的風(fēng)險，不過一旦用戶丟失了加密密鑰，就再也無法查看數(shù)據(jù)了。反過來說，如果用戶決定對數(shù)據(jù)進行異地備份以減小數(shù)據(jù)丟失風(fēng)險，卻就又加大了數(shù)據(jù)泄露的幾率。

安全威脅2:數(shù)據(jù)丟失

CSA認為，云計算環(huán)境的第二大威脅是數(shù)據(jù)丟失。用戶有可能會眼睜睜地看著那些寶貴數(shù)據(jù)消失得無影無蹤，但是卻對此毫無辦法。不懷好意的黑客會刪除攻擊對象的數(shù)據(jù)。粗心大意的服務(wù)提供商或者災(zāi)難(如大火、洪水或地震)也可能導(dǎo)致用戶的數(shù)據(jù)丟失。讓情況更為嚴峻的是，要是用戶丟失了加密密鑰，那么對數(shù)據(jù)進行加密的行為反而會給用戶帶來麻煩。

報告特別指出，數(shù)據(jù)丟失帶來的問題不僅僅可能影響企業(yè)與客戶之間的關(guān)系。按照法規(guī)，企業(yè)必須存儲某些數(shù)據(jù)存檔以備核查，然而這些數(shù)據(jù)一旦丟失，企業(yè)由此有可能陷入困境，遭到政府的處罰。

安全威脅3: 數(shù)據(jù)劫持

第三大云計算安全風(fēng)險是賬戶或服務(wù)流量被劫持。CSA認為，云計算在這方面增添了一個新的威脅。如果黑客獲取了企業(yè)的登錄資料，其就有可能竊聽相關(guān)活動和交易，并操縱數(shù)據(jù)、返回虛假信息，將企業(yè)客戶引到非法網(wǎng)站。報告表示：“你的賬戶或服務(wù)實例可能成為攻擊者新的大本營。他們進而會利用你的良好信譽，對外發(fā)動攻擊?！盋SA在報告中提到了2010年亞馬遜曾遭遇到的跨站腳本(XSS)攻擊。

要抵御這種威脅，關(guān)鍵在于保護好登錄資料，以免被偷竊。CSA認為：“企業(yè)應(yīng)考慮禁止用戶與服務(wù)商之間共享賬戶登錄資料?？赡艿脑?，企業(yè)應(yīng)該盡量采用安全性高的雙因子驗證技術(shù)。”

安全威脅4:不安全的接口

第四大安全威脅是不安全的接口(API)。IT管理員們會利用API對云服務(wù)進行配置、管理、協(xié)調(diào)和監(jiān)控。API對一般云服務(wù)的安全性和可用性來說極為重要。企業(yè)和第三方因而經(jīng)常在這些接口的基礎(chǔ)上進行開發(fā)，并提供附加服務(wù)。CSA在報告中表示：“這為接口管理增加了復(fù)雜度。由于這種做法會要求企業(yè)將登錄資料交給第三方，以便相互聯(lián)系，因此其也加大了風(fēng)險。”

CSA在此給出的建議是，企業(yè)要明白使用、管理、協(xié)調(diào)和監(jiān)控云服務(wù)會在安全方面帶來什么影響。安全性差的API會讓企業(yè)面臨涉及機密性、完整性、可用性和問責(zé)性的安全問題。

安全威脅5: 拒絕服務(wù)攻擊

分布式拒絕服務(wù)(DDoS)被列為云計算面臨的第五大安全威脅。多年來，DDoS一直都是互聯(lián)網(wǎng)的一大威脅。而在云計算時代，許多企業(yè)會需要一項或多項服務(wù)保持7×24小時的可用性，在這種情況下這個威脅顯得尤為嚴重。DDoS引起的服務(wù)停用會讓服務(wù)提供商失去客戶，還會給按照使用時間和磁盤空間為云服務(wù)付費的用戶造成慘重損失。雖然攻擊者可能無法完全摧垮服務(wù)，但是“還是可能讓計算資源消耗大量的處理時間，以至于對提供商來說運行成本大大提高，只好被迫自行關(guān)掉服務(wù)?！?

安全威脅6: 不懷好意的“臨時工”

第六大威脅是不懷好意的內(nèi)部人員，這些人可能是在職或離任的員工、合同工或者業(yè)務(wù)合作伙伴。他們會不懷好意地訪問網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)。在云服務(wù)設(shè)計不當?shù)膱鼍跋拢粦押靡獾膬?nèi)部人員可能會造成較大的破壞。從基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺即服務(wù)(PaaS)到軟件即服務(wù)(SaaS)，不懷好意的內(nèi)部人員擁有比外部人員更高的訪問級別，因而得以接觸到重要的系統(tǒng)，最終訪問數(shù)據(jù)。在云服務(wù)提供商完全對數(shù)據(jù)安全負責(zé)的場合下，權(quán)限控制在保證數(shù)據(jù)安全方面有著很大作用。CSA方面認為：“就算云計算服務(wù)商實施了加密技術(shù)，如果密鑰沒有交由客戶保管，那么系統(tǒng)仍容易遭到不懷好意的內(nèi)部人員攻擊?！?

安全威脅7:濫用云服務(wù)

第七大安全威脅是云服務(wù)濫用，比如壞人利用云服務(wù)破解普通計算機很難破解的加密密鑰。另一個例子是，惡意黑客利用云服務(wù)器發(fā)動分布式拒絕服務(wù)攻擊、傳播惡意軟件或共享盜版軟件。這其中面臨的挑戰(zhàn)是，云服務(wù)提供商需要確定哪些操作是服務(wù)濫用，并且確定識別服務(wù)濫用的最佳流程和方法。

安全威脅8:貿(mào)然行事

第八大云計算安全威脅是調(diào)查不夠充分，也就是說，企業(yè)還沒有充分了解云計算服務(wù)商的系統(tǒng)環(huán)境及相關(guān)風(fēng)險，就貿(mào)然采用云服務(wù)。因此，企業(yè)進入到云端需要與服務(wù)提供商簽訂合同，明確責(zé)任和透明度方面的問題。此外，如果公司的開發(fā)團隊對云技術(shù)不夠熟悉，就把應(yīng)用程序貿(mào)然放到云端，可能會由此出現(xiàn)運營和架構(gòu)方面的問題。CSA的基本忠告是，企業(yè)要確保自己有足夠的資源準備，而且進入到云端之前進行了充分的調(diào)查工作。

安全威脅9:共享隔離問題

最后，CSA將共享技術(shù)的安全漏洞列為云計算所面臨的第九大安全威脅。云服務(wù)提供商經(jīng)常共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序，并以一種靈活擴展的方式來交付服務(wù)。CSA在報告中表示：“共享技術(shù)的安全漏洞很有可能存在于所有云計算的交付模式中，無論構(gòu)成數(shù)據(jù)中心基礎(chǔ)設(shè)施的底層部件(如處理器、內(nèi)存和GPU等)是不是為多租戶架構(gòu)(IaaS)、可重新部署的平臺(PaaS)或多用戶應(yīng)用程序(SaaS)提供了隔離特性?！?

如果極其重要的數(shù)據(jù)中心組成部分，比如虛擬機管理程序、共享平臺組件或者應(yīng)用程序受到攻擊，那么由此可能導(dǎo)致整個環(huán)境遭受到損害。CSA建議采用更深入的整體防御策略，通過涵蓋計算、存儲、網(wǎng)絡(luò)、應(yīng)用程序、用戶安全執(zhí)行以及監(jiān)控等多個層面的解決方案，來應(yīng)對相應(yīng)的安全挑戰(zhàn)。