De NSA heeft een waarschuwing afgegeven voor de beveiligingsrisico's van clouddiensten. Dergelijke diensten kunnen de security van een organisatie volgens de Amerikaanse geheime dienst verbeteren, maar ook risico's introduceren waarbij het kiezen en gebruik van de cloud rekening moet worden gehouden.

Cloudkwetsbaarheden worden door de NSA in vier klassen verdeeld, namelijk misconfiguratie, slechte toegangscontrole, kwetsbaarheden door gedeelde cloudplatformen en supplychainkwetsbaarheden. Volgens de NSA spelen cloudgebruikers een belangrijke rol bij het voorkomen van misconfiguraties en slechte toegangscontrole, maar kunnen ze ook stappen ondernemen om misbruik van de ander twee klasse kwetsbaarheden te voorkomen.

In de waarschuwing beschrijft de NSA verschillende maatregelen die organisaties kunnen nemen, waarbij het kiezen van clouddiensten op moet worden gelet en de verschillende aanvallers waar cloudklanten mee te maken kunnen krijgen. Het gaat onder andere om kwaadwillende beheerders aan de kant van de provider, kwaadwillende beheerders aan de kant van de klant, cybercriminelen en statelijke actoren en ongetrainde of nalatige beheerders van de klant.

Misconfiguraties komen het meest voor en zijn eenvoudig door aanvallers uit te buiten, aldus de NSA. Om dergelijke aanvallen tegen te gaan wordt het gebruik van scantools, het auditen van logs en het instellen van de juiste policies aangeraden, alsmede het volgen van best practices die misbruik van geprivilegieerde accounts moeten voorkomen. Tevens wordt het identificeren en elimineren van "Shadow IT" aangeraden.

"Klanten moeten beseffen dat ze samen met de cloudprovider een gedeelde verantwoordelijkheid hebben in het beschermen van de cloud", concludeert de NSA (pdf). "Security in de cloud is een continu proces en klanten moeten continu hun clouddiensten monitoren en hun 'security posture' proberen te verbeteren."