伴随着云服务的常见威胁详解！

　　云服务是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。[1] 云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网，后来也用来表示互联网和底层基础设施的抽象。云服务指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。

　　对于云计算中的数据，最主要的风险通常在于外部攻击者可利用的漏洞，但安全团队认为来自其内部企业的威胁同样可怕。

　　提起内部人员威胁这个关键词，可能大家都会想起斯诺登事件，即内部人员公开数据给媒体而引起广泛关注。现实情况是，类似于斯诺登事件还只是冰山一角，内部威胁可能是因为粗心的员工或者恶意内部人员试图谋取个人利益。在过去一年中虽然只有17%的安全专业人士知道其企业内的内部人员威胁，但Skyhigh最新云部署和风险报告的数据显示，85%的企业存在异常活动可能意味着内部威胁。

　　云计算极大地扩展了企业的内部威胁的范围，云计算应用程序的数量之多(超过8000)以及不成熟的审计和管理控制，导致企业对这些应用程序缺乏可视性和管理。

　　从云计算的服务模式上看，个人云的诞生其实是整个云计算服务整体的一个延伸，个人云服务领域也必将得以不断的拓展，其市场价值也会得到凸显，根据个人云存储厂商云创存储的云服务调查报告显示，目前有将近5000万的用户在使用个人云服务，个人云服务截止目前的应收已经达到了2.4亿美金，它的市值大约可以到40亿美元。通过上述的一组数字我们可以看出，就现阶段来说，个人云的云计算服务模式仍然还处在一个刚刚起步的阶段，作为云计算的一种，和其他的云计算服务模式一样，个人云在对于信息的存储方面，也同样是把用户的大量数据上传到云计算服务提供商的服务器设备当中，并且由运行在服务器中的应用程序进行相应的计算，个人用户可以借助终端中的客户端软件访问个人云服务。这点同公有云以及私有云的技术原理都是相同的。

　　下面让我们来看看云计算内部威胁的一些可怕情况：

　　1、销售人员跳槽

　　在最常见的内部威胁情况中，销售代表离开公司，带着销售线索去竞争对手公司。在各行各业，这种情况都很普遍，特别是在竞争激烈的市场。并且，窃取销售线索很难被发现。

　　与物理地窃取信息相比，云计算服务让这种事情更加无法察觉。销售团队提供了大量销售线索以供员工访问，而且员工只需轻松点击按钮即可获取。在允许数千名销售人员登录的企业，面临的挑战是在日常活动中发现异常情况。

　　2、当管理员成为内部威胁

　　企业各级员工都依赖于云服务来完成他们的工作，包括C级管理人员。然而，特权用户有着独特的权力：对存储在云服务中的数据的管理访问权限。

　　有些大型科技公司担心内部管理员对CRM软件的操作权限。这些管理员负责管理用户的权限和安全政策。与此同时，他们可以访问云服务中的业务数据，这可能构成安全风险。又如：云计算存储服务的管理员可以访问仅高管可查看的财务预测，以及机密信息。

　　3、来自内部的危险

　　内部人员威胁通常指的是企业员工，但云服务提供商的员工也可能从内部渗出数据。例如，云服务由人力资源部内部使用，云服务提供商的员工而言访问该服务中托管的机密企业数据。根据用户协议，云服务提供商可能甚至不需要为丢失数据负责。这种情况说明企业云使用必须包含一定水平的安全控制，来同时抵御外部和内部威胁。

　　4、数据与第三方分享

　　云服务可实现全球协作，但这也意味着数据可能传输到不应该出现的地方。例如，某公司的开发人员外包自己的工作给中国同行，他付给中国工人钱来完成他的工作，并保持自己的利润率。先不谈合法性，这种创造性的做法让其雇主可能面临安全风险，因为企业数据被与第三方公开共享。

　　5、黑幕服务

　　违反企业云计算使用政策构成另一种内部威胁类型，这可能包括不正当使用Facebook到非法文件共享。在更糟糕的情况中，员工上传数据到开发网站，例如CodeHaus，该网站在其用户协议条款中确定了上传知识产权的所有权。发送数据到这些服务可能会产生法律后果，如果敏感知识产权信息被泄露，甚至可能会伤害到企业。

　　6、好心办坏事

　　并不是所有内部威胁都来自于恶意肇事者。企业中丰富的消费级应用程序让员工可能无意地泄露数据。在某个金融服务机构的倒霉的员工意外上传敏感数据到Facebook，这绝对要比在社交媒体“过度分享”更严重 。

　　优势云开发的优势之一就是规模经济。利用云计算供应商提供的基础设施，同在单一的企业内开发相比，开发者能够提供更好，更便宜和更可靠的应用。如果需要，应用能够利用云的全部资源而无须要求公司投资类似的物理资源。说到成本，由于云服务遵循一对多的模型，与单独的桌面程序部署相比，成本极大地降低了。云应用通常是“租用的”，以每用户为基础计价，而不是购买或许可软件程序(每个桌面一个)的物理拷贝。它更像是订阅模型而不是资产购买(和随之而来的贬值)模型，这意味着更少的前期投资和一个更可预知的月度业务费用流。部门喜欢云应用是因为所有的管理活动都经由一个中央位置而不是从单独的站点或工作站来管理。这使得员工能够通过Web来远程访问应用。其他的好处包括用需要的软件快速装备用户(称为“快速供应”)，当更多的用户导致系统重负时添加更多计算资源(自动扩展)。当你需要更多的存储空间或带宽时，公司只需要从云中添加另外一个虚拟服务器。这比在自己的数据中心购买、安装和配置一个新的服务器容易得多。对开发者而言，升级一个云应用比传统的桌面软件更容易。只需要升级集中的应用程序，应用特征就能快速顺利地得到更新，而不必手工升级组织内每台台式机上的单独应用。有了云服务，一个改变就能影响运行应用的每一个用户，这大大降低了开发者的工作量。

　　不足也许人们所意识到的云开发最大的不足就是给所有基于web的应用带来麻烦的问题：它安全吗?基于web的应用长时间以来就被认为具有潜在的安全风险。由于这一原因，许多公司宁愿将应用、数据和IT操作保持在自己的掌控之下。也就是说，利用云托管的应用和存储在少数情况下会产生数据丢失。尽管可以说，一个大的云托管公司可能比一般的企业有更好的数据安全和备份的工具。然而，在任何情况下，即便是感知到的来自关键数据和服务异地托管的安全威胁也可能阻止一些公司这么做。另外一个潜在的不足就是云计算宿主离线所导致的事件。

     尽管多数公司说这是不可能的，但它确实发生了，亚马逊的EC2业务在2008年2月15日经受了一次大规模的服务中止，并抹去了一些客户应用数据。(该次业务中止由一个软件部署所引起，它错误地终止了数量未知的用户实例。)对那些需要可靠和安全平台的客户来说，平台故障和数据消失就像被粗鲁地唤醒一样。更进一步讲，如果一个公司依赖于第三方的云平台来存放数据而没有其他的物理备份，该数据可能处于危险之中。

　　还有更多关于云服务的详细内容，仅在课课家教育，我们期待您的咨询!