法律责任在云客户自己来分担。
私有云风险:
1、人员风险;
2、自然灾害;
3、法律合规;
4、恶意软件;
社区云风险:
公有云风险:
1、vendor lock-in
2、vendor lock-out
多租户环境
1、利益冲突;
2、特权提升;
3、信息泄露;
4、法律相关;
混合云风险:
IaaS
1、人员威胁;
2、外部威胁;
3、缺少专业技能;
PaaS
1、互操作问题;
2、后门;
3、虚拟化;
4、资源共享;
SaaS
1、私有数据格式;
2、虚拟化;
3、web应用安全;
4、API;
虚拟化安全风险:(type 1裸金属虚拟化;type2物理服务器装操作系统,装hypervisor,再装操作系统)
1、针对Hypervisor的攻击;
2、guest 逃逸:访问虚机所在宿主,访问虚机所在网络;
3、信息泄露(资源共享);
4、 数据 seizure;
私有云威胁:
1、恶意软件;
2、社工;
3、内部威胁;
4、设备失窃;
5、外部威胁;
6、中间人攻击;
7、自然灾害;
8、违反法律规定;
社区云威胁:
1、策略管控松散;
2、物理控制缺失;
3、接入审计缺失;
公有云威胁:
1、权限提升;
2、rogue administrator;
混合云威胁:
恶意软件测量:->
外部威胁:->
1、杀软;
2、防病毒网关;
3、培训;
4、网络流量监控;
5、基线配置,补丁更新;
内部威胁:->
1、背景调查;
2、人员策略;
3、双人操作;
4、岗位轮换;
5、最小权限;
中间人攻击:->
1、加密、验证;
社工:->
培训
设备失窃:->
合规:->
应对自然灾害:->
1、灾备
策略:->
1、合同;
2、审计;
物理控制:->
审计缺失:->
Roge Administrator:->
1、监控
特权提升:->
1、访问控制;
2、双因素认证;