在RSA 2010大會上，云安全成為了眾人關注的焦點，去年成立的云安全聯(lián)盟CSA一直以來提倡保障云環(huán)境安全的最佳做法并對用戶對云怎樣確保計算安全的疑問進行教育。為此，CSA列出了7個最大的安全威脅，同時也是企業(yè)部署云技術時候最關心的問題。盡管只是7個問題，但是其中任何一個都可能導致安全風險、法律通知和訴訟問題的出現(xiàn)。以下就是這7個問題以及解決的辦法。

安全風險之對云的不良使用

IAAS(基礎設施即服務)供應商對登記程序管理不嚴。“任何一個持有有效信用卡的人都可以注冊并立即使用云服務。”CSA表示。通過這種不良的濫用，網(wǎng)絡犯罪分子可以進行攻擊或發(fā)送惡意軟件。云供應商需要嚴格的首次注冊和驗證過程，并監(jiān)督公共黑名單和客戶網(wǎng)絡活動。

安全風險之不安全的API

通常的云服務的安全性和能力取決于API的安全性，用戶用之管理和交互這些服務。這些接口的設計必須能夠防御意外和惡意企圖的政策規(guī)避行為，以確保強用戶認證、加密和訪問控制的有效。

安全風險之惡意的內(nèi)部人員

當缺乏對云供應商程序和流程的認識的時候，惡意內(nèi)部人員的風險就會加劇。企業(yè)應該了解供應商的信息安全和管理政策，強迫其使用嚴格的供應鏈管理以及加強與供應商的緊密合作。同時，還應在法律合同中對工作要求有明確的指定說明，以規(guī)范他們處理你的數(shù)據(jù)等這些隱蔽的過程。

安全風險之共享技術的問題

IAAS廠商用在基礎設施中的基礎組件并不能在多用戶架構中提供強有力的隔離能力。供應商使用虛擬化來縮小這一差距，但是由于安全漏洞存在的可能性，企業(yè)應該監(jiān)督那些未經(jīng)授權的改動和行為，促進補丁管理和強用戶認證的實行。

安全風險之數(shù)據(jù)丟失或泄漏

降低數(shù)據(jù)泄漏的風險意味著實施強有力的API訪問控制以及對傳輸過程的數(shù)據(jù)進行加密。CSA還建議，實施強有力的密鑰生成、存儲、管理和銷毀的做法。

安全風險之帳戶或服務劫持

如果攻擊者控制了你的證書，那么他們可以為所欲為，竊聽你的活動、交易，將數(shù)據(jù)變?yōu)閭卧斓男畔�，將賬戶引到非法的網(wǎng)站。企業(yè)應該屏蔽用戶和服務商之間對賬戶證書的共享，在需要的時候使用強大的雙因素認證技術。

安全風險之未知的風險

了解你的安全配置，無論是軟件的版本、代碼更新、安全做法、漏洞簡介，入侵企圖還是安全設計。看看誰在共享你的基礎設施，盡快獲取網(wǎng)絡入侵日志和重定向企圖中的相關信息。“隱藏安全問題不用花太多的精力，但是可以導致未知的風險。”CSA說。