為了讓企業(yè)了解云安全問題，以便他們能夠就云安全策略做出明智的決策，云安全聯(lián)盟(CSA)于2018年1月發(fā)布了最新版本的《12大頂級云安全威脅：行業(yè)見解報告》，該報告重點聚焦了12個最嚴(yán)重的涉及云計算共享和按需特性方面的威脅。

    在云計算的建設(shè)以及使用過程中，每個環(huán)節(jié)都可能導(dǎo)致安全風(fēng)險，諸如云計算平臺安全、管理平臺的安全等，可能導(dǎo)致的安全風(fēng)險可以歸結(jié)為傳統(tǒng)信息安全風(fēng)險、云計算安全平臺風(fēng)險、用戶訪問安全風(fēng)險以及管理安全風(fēng)險。 

?傳統(tǒng)信息安全風(fēng)險 

雖然云計算給用戶提供了一種新型的計算、網(wǎng)絡(luò)、存儲環(huán)境，但是傳統(tǒng)的信息安全風(fēng)險仍是不可忽視的，包括合規(guī)安全風(fēng)險、數(shù)據(jù)安全風(fēng)險以及安全管理風(fēng)險等。 

?云計算平臺安全風(fēng)險 

    虛擬化是目前云計算供應(yīng)商使用最廣泛的技術(shù)之一，服務(wù)器、存儲、網(wǎng)絡(luò)等虛擬化技術(shù)為云計算服務(wù)提供了基礎(chǔ)技術(shù)支持，解決了資源利用率、資源提供的自動擴展等問題，虛擬化技術(shù)在提供便利的同時也帶來了大量安全風(fēng)險，比如虛擬化自身的安全漏洞、虛擬機間流量交換等問題。 

    目前，在主流虛擬化技術(shù)(KVM、Xen、VMware等)中虛擬化漏洞廣泛存在。Hypervisor（虛擬化管理器）作為虛擬機的底層一旦存在漏洞，將危及運行其上的所有虛擬機本身，甚至將影響虛擬化以下的宿主機本身的安全。 

    同時，在云計算環(huán)境中，有多種不同的虛擬化管理組件，比如虛擬機監(jiān)視器、網(wǎng)絡(luò)策略控制器，存儲控制器等等，這些都是實現(xiàn)多租戶共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的核心組件，一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用，那么租戶的安全就無法得到有效保障。 

     在虛擬化環(huán)境下，單臺物理服務(wù)器上的各虛擬機之間可能存在二層流量交換，而這部分流量對于管理員來說是不可見的。在這種情況下，管理員需要判斷虛擬機之間的訪問是否符合預(yù)定的安全策略，或者需要考慮如何設(shè)置策略以便實現(xiàn)對虛擬機之間流量的訪問控制。 

     服務(wù)提供商通過接口或者API讓客戶與云平臺進(jìn)行交互，一些第三方組織基于這些接口為客戶提供增值服務(wù)，遠(yuǎn)程訪問機制以及Web瀏覽器的使用也增加了這些接口的漏洞存在并被利用的可能性。 

?用戶訪問安全風(fēng)險 

云環(huán)境中，各個云應(yīng)用屬于不同的安全管理域，每個安全域都管理著本地的資源和用戶。攻擊者可能會假冒合法用戶進(jìn)行一些非法活動，例如竊取用戶數(shù)據(jù)、篡改用戶數(shù)據(jù)等等。 

?安全管理體系風(fēng)險 

   客戶把大部分?jǐn)?shù)據(jù)控制權(quán)交給了提供商，但服務(wù)水平協(xié)議中不可能面面俱到地詳細(xì)指明提供商對各安全問題的承諾。更進(jìn)一步的，云提供商可能把服務(wù)外包給第三方，而后者可能不提供在服務(wù)水平協(xié)議中指出的問題保證。 

   由于云中存儲大量的用戶業(yè)務(wù)數(shù)據(jù)、隱私信息或其他有價值信息，因此很容易受到攻擊，這些攻擊可能來自于竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的合法云計算用戶或者云計算運營商內(nèi)部人員，當(dāng)遇到嚴(yán)重攻擊時，云計算系統(tǒng)將可能面臨崩潰的危險，無法提供高可靠性的服務(wù)。