把數據、系統和應用放到云環境中的風險已經是眾所周知的事情。現今像云安全聯盟(CSA)這樣的組織一直描述各種云部署模型中存在的風險，并在2015年 5月發表題為“IaaS云存在的錯誤可能讓你的數據處于危險之中”的文章，Symantec描述了一些可能對基礎設施及服務(IaaS)云服務的客戶產成風險的主要領域。在一次采訪中，亞馬遜Web服務的資深安全項目經理Bill Murray表示關于云安全最大的擔憂是，客戶沒有把基本的安全最佳實踐應用到他們部署和管理的IaaS資產中。這與Symantec的研究結果相一致，該結果發現16000個已經發現的云域中有0.3%的域文件夾結構很容易被猜到，其不僅可以被訪問，而且還導致11000個文件，包含如信用卡交易、用戶名和密碼、電子郵件地址的敏感數據對任何人都可讀。研究人員還發現了一些泄露的可訪問的密碼憑證，其中有些被硬編碼到應用程序中。

IaaS的數據安全風險對企業遷移到云來說是一個長期存在的問題，然而有一些特定的問題需要我們時刻留意。

Symantec在云安全研究中發現的首要問題包括接口API、共享資源、數據泄露、惡意的內部人員和錯誤配置的問題。所有這些都和CSA的報告“臭名昭著的九條：2013年云計算主要威脅”所描述的問題一致。Symantec在研究中發現了這些數據安全風險的具體事例，不過，在組織實施和評估云服務的今天，應該提供一些“發人深思的東西”。

提防不安全的API

Symantec報告的一個核心主題是，許多最嚴重的IaaS風險很大程度是由于云管理員對操作系統，應用程序和云管理界面的錯誤配置或缺乏安全控制。列出的第一個主要風險是缺乏安全的API，這些API是由云提供商提供以允許用戶與他們的服務以及服務管理更無縫的集成。盡管提供商負責提供安全的API和補丁，客戶應該自己對這些API進行評估，包括支持的傳輸方法以及什么樣的數據在與供應商的交互過程中被來回發送。API或應用程序的更新很容易導致兼容性問題，甚至也可能引發數據泄露的場景，因此客戶應該定期測試他們的程序和API交互的部分。

云提供商的責任

當然云用戶本身無法完全減輕內部人員威脅，云提供商必須監控所有的活動和實現可靠的職責和權限管理流程控制的分離。該報告明確提到將加密密鑰存儲到云里，那里惡意的內部人員有可能訪問到這些密鑰。虛擬化管理程序的漏洞也存在同樣的問題--用戶無法查看虛擬機管理程序的配置或控制，因此供應商將需要對虛擬化平臺和工具相關的補丁和新缺陷更加細心。大多數云供應商也有對分布式DDoS攻擊的強力控制，以及對數據丟失的控制。但是，用戶沒有對云帳戶口令的訪問控制權或無法監控IaaS日志來查看非法活動或者帳戶使用的情況。攻擊者正在黑市上以每個7到8美元的價格販售云服務帳戶。

防御IaaS攻擊

Symantec的報告中描述了各種不同的針對IaaS環境的攻擊，包括存儲枚舉，泄露的訪問令牌等。建議云客戶要在選定IaaS前徹底調研云服務提供商的安全控制和服務水平協議。客戶應盡可能利用多因素身份驗證，對數據進行加密以減少內部威脅，維護密鑰的控制權，并開始比以往任何時候都更關注在云環境中的可用日志。定期掃描基于云的系統漏洞也是一個最佳做法。