雲服務模式明顯的特徵為數據的所有權和管理權分開,用戶不是直接控制雲計算系統,依靠雲服務商來防護系統。在這種情況下,雲服務商的管理規範程度、雙方安全邊界劃分是否清晰等會直接影響用戶應用和數據的安全。

1.組織與策略風險

1)服務中斷

計算的長處是给予資源的優化與IT服務的便利快捷。在降低IT成本的基礎上,確保業務運營陆续在性的方式是業界不断在乎的問題之一。儘管時間再短的雲計算服務中斷會讓企業進入困境,而長時間更可能讓會倒閉。因此,對雲服務商來說,保證業務不中斷是個關鍵問題。

2)供應鏈風險

雲服務商在構建雲平台時通常需購買第三方的物理設施、產品和服務,同時有關開發人員也是雲服務商供應鏈的重要環節。從供應鏈層面來看,風險主要有第三方產品風險、第三方服務風險、內部人員風險3類。

2.數據歸屬不清晰

在雲計算時代,數據會是最有價值的資產。在雲環境下,不一樣的用戶的數據都存儲在共享的雲基礎設施之上,當用戶的數據存儲和維護均是顺利获得雲服務商來完成時,就不易分清到底是誰擁有用這些數據的權利並對它們負責。现在,大多數雲商均由職責劃分、用戶協議、訪問控制等方式來約束內部人員接觸數據且儘可能與用戶達成共識。

3.安全邊界不清晰

在傳統網絡中,藉助物理或邏輯上的安全域定義對物理資源進行區域劃分,在不同的區域邊界可顺利获得引入邊界防護設備進行邊界防護,但在雲環境下,伴着虛擬化技術的引入,租戶的資源更多是虛擬機的形式呈現,由於雲計算環境中服務器、存儲設備、網絡設備的高度整合,租戶的資源通常是跨主機甚至是跨數據中心的部署,破壞了傳統的物理防禦邊界,租戶的安全邊界不明顯,所以得進一步开展傳統的邊界防禦來適應雲計算的新特性。

4.內部竊密

因雲服務商在給用戶给予雲服務時無法避免地會接觸到用戶的數據,所以雲服務商內部竊密是一個重大的安全隱患。事實上,內部竊密有內部人員無意泄露特權信息或有意與外部勾結竊取敏感信息兩種情況。在雲計算環境下,內部人員不再是以往所說雲服務商的內部人員,也包括給雲服務商第三方服務的廠商的內部人員,這加大了內部威脅的複雜性。此時需用更嚴格的權限訪問控制來約束不一樣的級別內部用戶的數據訪問權限。

5.權限管理混亂

雲服務商內部得有完善的權限管理機制去防止數據泄露,但是由於雲計算自身有易擴展、多租戶、彈性化等諸多有別於傳統模型的特徵,傳統模型的某些權限模型並不都適用如今的雲平台結構複雜、權限變更頻，所以在雲環境中權限管理還未成熟的解決方案,各大廠商採用的方案都還存在一定缺陷，造成雲中的權限管理混亂。