如今，越來越多的數據和應用程序正在向云端移動，這為組織帶來了獨特的信息安全挑戰。很多組織在使用云服務時將面臨12個主要的安全威脅。

云計算繼續改變組織使用、存儲和共享數據、應用程序和工作負載的方式。它還帶來了一系列新的安全威脅和挑戰。隨著如此多的數據進入云端，特別是進入公共云服務，這些資源成為網絡攻擊者的主要目標。

調研機構Gartner公司副總裁兼云計算安全負責人Jay Heiser表示，“公共云的使用量正在快速增長，因此不可避免地會導致更多的敏感內容可能存在風險。”

Heiser說，“與許多人的想法相反，保護組織在云中數據的主要責任不在于服務提供商，而在于采用云計算的用戶自身。現在人們正處在云安全過渡期，其安全重點將從云計算提供商轉移到用戶。很多組織正花費大量時間來了解某個特定的云服務提供商是否安全，但其調查幾乎沒有任何回報。”

為了向企業提供有關云安全問題的最新情況，以便他們能夠就云采用策略做出明智的決策，云計算安全聯盟(CSA)發布了最新版本的“云計算安全的12個頂級威脅”的行業洞察報告。

該報告反映了云計算安全聯盟(CSA)的安全專家目前對云中最重要的安全問題的共識。雖然云中存在許多安全問題，但云計算安全聯盟(CSA)表示，這個列表主要關注12個與云計算的共享、按需特性相關的問題。其后續發布的《云計算的最大威脅：深度挖掘》報告探討了12種威脅中的案例研究。

為了確定人們最關注的問題，云計算安全聯盟(CSA)對行業專家進行了一項調查，以匯總有關云計算中最主要的安全問題的專業意見。以下是組織面臨的一些主要的云計算安全問題(按調查結果的嚴重程度排列)：

1.數據泄露

云計算安全聯盟(CSA)表示，數據泄露是網絡攻擊者和黑客的主要目標，也可能只是人為錯誤、應用程序漏洞或糟糕的安全實踐的結果。它可能涉及任何非公開信息，包括個人健康信息、財務信息、個人身份信息、商業秘密和知識產權。由于不同的原因，企業基于云計算的數據可能對不同的參與方具有價值。數據泄露的風險并非云計算所獨有，但它始終是云計算用戶最關心的問題。

這個深度挖掘報告引用了2012年LinkedIn公司的用戶密碼泄露作為一個主要的例子。網絡攻擊者能夠竊取LinkedIn公司密碼數據庫的1.67億個密碼，因為該公司并沒有進行加密。應對這種漏洞的關鍵點是，企業應始終對包含用戶憑據的數據庫進行哈希加密處理，并實施適當的日志記錄和行為異常分析。

2. 身份、憑證和訪問管理不足

云計算安全聯盟(CSA)表示，偽裝成合法用戶、運營商或開發商的網絡攻擊者可以讀取、修改、刪除數據;發布控制平臺和管理功能;窺探傳輸中的數據或發布源于合法來源的惡意軟件。因此，身份、憑證或密鑰管理不足會導致對數據的未經授權訪問，并可能對組織或最終用戶造成災難性損害。

根據這份深度挖掘報告，訪問管理不足的一個例子是發現MongoDB數據庫的不受保護的默認安裝。這種默認實現使端口始終處于開放狀態，允許訪問而無需身份驗證。該報告建議在所有周邊設置預防性控制，并且組織掃描托管、共享和公共環境中的漏洞。

3.不安全的接口和應用程序編程接口(API)

云計算提供商公開了一組客戶用來管理云服務并與之交互的軟件用戶界面(UI)或API。云計算安全聯盟(CSA)表示，配置、管理和監控都是通過這些接口執行的，一般云計算服務的安全性和可用性取決于API的安全性。它們需要設計成防止意外和惡意企圖規避政策。

4.系統漏洞

系統漏洞是可利用程序中的漏洞，網絡攻擊者可以利用這些漏洞滲透系統以竊取數據、控制系統或中斷服務操作。云計算安全聯盟(CSA)表示，操作系統組件中的漏洞使所有服務和數據的安全性面臨重大風險。隨著云計算中多租戶的出現，來自不同組織的系統彼此靠近，并允許訪問共享內存和資源，從而創建了新的攻擊面。

5.帳戶劫持

云計算安全聯盟(CSA)指出，帳戶劫持或服務劫持并不是什么新鮮事，但云計算服務給環境帶來了新的威脅。如果網絡攻擊者獲得了對用戶憑證的訪問權，他們可以竊聽活動和事務、操縱數據、返回偽造信息，并將客戶機重定向到非法站點。帳戶或服務實例可能成為攻擊者的新基礎。有了被盜的憑證，攻擊者通常可以訪問云計算服務的關鍵區域，從而降低這些服務的機密性、完整性、可用性。