2.6账号和服务劫持

　　传统的服务和会话劫持已经广为人知。云计算给账号和服务“劫持”又增添了不少新的含义。在云环境中，如果攻击者能够获得你的账号信息，他们可以窃听你的活动和交易、操纵处理的数据、返回假冒的信息、将你的客户导向到假冒的站点，并且被“劫持”的服务和账号可能会被利用来发起新的攻击，并利用你的网络“信誉”或“信用”。

　　可行对策：清楚理解云服务提供商的安全策略和SLA，禁止用户和服务之间共享账号信息，及交互式的用户账号和后台服务使用的账号必须区分管理；使用强大的双因子认证技术；主动检查是否有未经授权的活动。

　　2.7未知的风险场景

　　云计算服务商和用户之间存在很大的信息不对称性。一方面，用户选择外包自己的IT计算和服务到云提供商，就是为了解放和优化自己的资源，所以没有必要也没有足够的资源去全面洞察“云”中的所有细节；另一方面，云计算提供商出于商业机密和安全考虑，并不情愿分享所有的关键信息，即使是和安全直接相关的。这种情形下，云计算的用户必然需要处理大量的未知安全风险^[6]。

　　实际上，这些“Unknown Unknowns”，也就是说那些未知漏洞们，是云中真正的危险，而软件版本、安全实践、代码更新、漏洞情况、入侵企图、安全设计等都是可以帮助评估自身所面临的安全风险的重要因素。

　　可行对策：认清自身的安全现状，向云计算提供商要求最大程度的信息透明，了解它们如何配置系统，如何及时为托管的软件打补丁等等。正确地处理安全的模糊性在未来依然会是一个长期的挑战。

　　三、下一步

　　清醒透彻地调查安全威胁、有针对性地设计相应的安全控制和方案是云计算时代安全驾云的重要举措^[7]。从实践上看，云计算提供商和用户都还不具备很好地、可视化的展现安全威胁、安全控制和安全效果的手段。云安全提供商正在防拒绝服务攻击、安全配置和漏洞管理、应用安全生命周期管理、身份认证、访问控制、数据加密、电子证据发现和审计等多个细分领域努力缩小与计算技术在发展上的差距。与此同时，安全的度量和可视化正在成为云计算时代最为重要的安全技术之一。(作者为绿盟科技首席战略官)

　　参考文献

　　[1] NIST Definition of Cloud Computing v15, http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc

　　[2] Presentation on Effectively and Securely Using the Cloud Computing Paradigm v26, http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-computing-v26.ppt

　　[3]Biggest Cloud Challenge: Security, http://cloudsecurity.org/2008/10/14/biggest-cloud-challenge-security/

　　[4] DDoS: A Threat You Can't Afford to Ignore, Forrester whitepaper, http://whitepapers.zdnet.com/abstract.aspx?docid=1155831

　　[5] David Bryan, https://www.defcon.org/images/defcon-18/dc-18-presentations/Bryan-Anderson/DEFCON-18-Bryan-Anderson-Cloud-Computing.pdf

　　[6] http://chenxiwang.wordpress.com/2009/11/24/follow-up-cloud-security/

　　[7] Kim-Kwang Raymond Choo, Cloud computing: Challenges and future directions, 2010