行業非盈利組織云安全聯盟發布了一份關于云計算面臨的最大威脅的報告，結論是，最大的問題是由客戶造成的，而不是由云“解決方案”提供商（csp）造成的。

在云計算的早期，安全問題集中在多租戶（在相同的物理硬件上與其他客戶共享計算資源）的風險上，或者CSP在保護數字資產方面可能不如內部IT部門做得好。

CSA表示，它“注意到傳統云安全問題在供應商責任下的排名有所下降”。諸如拒絕服務、共享技術漏洞、CSP數據丟失和系統漏洞等問題現在被評為非常低的級別，因此被排除在本報告之外。相反，我們看到更多的是需要解決高級管理層決策導致的位于更高技術層次的安全問題。

沒有驚喜。但目前主要的云風險是什么？

排在首位的是數據泄露，云主機租用，其原因多種多樣，從被黑的賬戶和服務器漏洞，到數據在互聯網可訪問服務上不受保護。一個可能的原因被CSA錯誤配置和不充分的變更控制列為單獨的風險。多云讓情況變得更糟。“使用多個云提供商增加了復雜性，因為每個提供商都有獨特的功能，虛擬主機，這些功能幾乎每天都在增強和擴展，”該組織表示。這意味著企業無法跟上。

接下來是糟糕的云安全架構，CSA將矛頭指向升降式遷移。如果你優先考慮讓遺留應用程序在不同的平臺上快速運行，而不是為云重新設計它，那么你很可能會弄錯。

憑證和密鑰管理是另一個重要的方面。報告指出，將密碼放在公共GitHub存儲庫中并不是個好主意。其他建議包括使用雙因素身份驗證、根據業務需求和最小特權原則對賬戶進行隔離和分段，以及刪除未使用的憑據。

csp并沒有完全擺脫困境。CSA表示，雙因素認證應該作為標準提供，然而，“不幸的是，許多csp只將雙因素認證作為一種高級服務提供給客戶”。最大的csp似乎有這個權利，至少對于基本的多因素身份驗證來說是這樣，但是對于較小的提供者來說，這仍然是一個問題。

另一個問題是，有時由于薄弱的策略或影子IT（發生在IT部門監管之外的項目），組織對其使用的云服務沒有足夠的使用可視性。

最后，報告指出，csp有責任解決黑客和騙子濫用其資源的問題。這可能很困難，因為csp還需要觀察運行在云中的客戶系統的機密性。CSA認為，每個CSP都應該有一個事件響應框架來“解決資源濫用問題”。

從其中了解到，企業同樣有能力破壞安全性，無論它的IT系統是在本地還是在云中。云并不是一些人擔心的安全災難，但是從本地系統遷移對修復薄弱的安全實踐毫無幫助。

【凡本網注明來源非中國IDC圈的作品，均轉載自其它媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點和對其真實性負責。】