分析師表示，虛擬化和云計(jì)算不會(huì)影響到大多數(shù)公司的在線安全。但是由于IT服務(wù)客戶想當(dāng)然的認(rèn)為他們的云計(jì)算提供商應(yīng)當(dāng)承擔(dān)安全責(zé)任，這使得這些客戶變得易于遭受攻擊。與此同時(shí)，虛擬化和云計(jì)算也在其中起到推波助瀾的作用。

科技商務(wù)研究公司負(fù)責(zé)服務(wù)器問(wèn)題的分析師Ezra Gottheil稱：“安全和云托管是兩個(gè)獨(dú)立的事物，入門的花費(fèi)很低，通常也十分簡(jiǎn)單。客戶或許不會(huì)花很多心思考慮許應(yīng)當(dāng)為安全負(fù)責(zé)。”

在本周公布的報(bào)告中，市場(chǎng)研究公司Gartner認(rèn)為云計(jì)算的安全責(zé)任并不明確。他們認(rèn)為有必要獲得云服務(wù)是如何工作的信息列表以及明確寫明了客戶的希望與要求的服務(wù)級(jí)協(xié)議。

在今年三月份，云安全聯(lián)盟進(jìn)行的研究列出了云計(jì)算存在的七個(gè)頂級(jí)安全風(fēng)險(xiǎn)，其中有一項(xiàng)就是客戶忽視了安全實(shí)踐，而服務(wù)提供商拒絕提供信息以解決這一安全風(fēng)險(xiǎn)。據(jù)云安全聯(lián)盟的研究顯示，云項(xiàng)目和它們面臨的風(fēng)險(xiǎn)可能會(huì)受到云部署的事實(shí)而變得極為復(fù)雜。如今云所展示出來(lái)的優(yōu)勢(shì)以及一些團(tuán)體正積極推動(dòng)云部署。值得擔(dān)憂的是這些團(tuán)體可能并沒(méi)能緊跟上安全形勢(shì)的發(fā)展。

451集團(tuán)分析師Josh Corman稱，云計(jì)算業(yè)務(wù)的特性意味著許多客戶或潛在客戶并不清楚當(dāng)他們將一個(gè)網(wǎng)站或是公司的應(yīng)用放在其他人的硬件上時(shí)，他們是如何暴露在風(fēng)險(xiǎn)之中的。

負(fù)責(zé)托管和保護(hù)客戶應(yīng)用安全的云服務(wù)商FireHost公司的首席執(zhí)行官Chris Drake稱，即便不是如此，大多數(shù)云和網(wǎng)站托管客戶也都想當(dāng)然的認(rèn)為他們的服務(wù)提供商負(fù)有保護(hù)他們網(wǎng)站安全的責(zé)任。

#p#

云計(jì)算客戶是如何受害的

金融服務(wù)公司LawLeaf是FireHost最近才發(fā)展的一個(gè)客戶，該公司主要業(yè)務(wù)是為那些籌資打官司的人提供貸款。在經(jīng)歷了一場(chǎng)幾乎導(dǎo)致公司倒閉的攻擊后，LawLeaf最終放棄了他們?cè)冗x擇的網(wǎng)絡(luò)托管服務(wù)商BlueHost。

LawLeaf公司的總經(jīng)理Tim Burke稱他在2007年以很少的資金開始運(yùn)營(yíng)這個(gè)公司，當(dāng)時(shí)他的主要工作是向非營(yíng)利公司出售成員管理軟件，運(yùn)營(yíng)公司只是他的一個(gè)副業(yè)。他最初選擇了BlueHost托管LawLeaf.com，選擇BlueHost的原因是該公司的名聲和每月6.95美元的服務(wù)費(fèi)用。Burke稱，在今年年初LawLeaf.com開始走下坡路之前，他對(duì)BlueHost的服務(wù)還中相當(dāng)滿意的。

在今年一月份，LawLeaf.com遭到了SQL注入式攻擊。攻擊導(dǎo)致網(wǎng)站頻繁崩潰，更為糟糕的是網(wǎng)站還在沒(méi)有任何防備的用戶電腦中強(qiáng)行安裝惡意插件。Burke稱，到了二月份，網(wǎng)站每周都會(huì)崩潰兩次，而到了三月份，網(wǎng)站的崩潰頻率已經(jīng)到了一天一次的地步。

惡意插件的下載使得LawLeaf受到了來(lái)自谷歌的警告。Burke稱，如果LawLeaf不解決這一問(wèn)題，那么谷歌將禁止他們的網(wǎng)站出現(xiàn)在搜索結(jié)果列表中。

由于LawLeaf的大多數(shù)業(yè)務(wù)來(lái)自自己的網(wǎng)站，頻繁的崩潰導(dǎo)致公司的業(yè)務(wù)下滑，影響到了公司的信譽(yù)。

Burke稱：“由于網(wǎng)站問(wèn)題，我們失去了許多業(yè)務(wù)，我們每天都會(huì)損失數(shù)千美元。我最為擔(dān)心的是向客戶推薦我們服務(wù)的律師。客戶向我們提供了機(jī)密文件，律師向客戶推薦我們進(jìn)行融資。如果我們的網(wǎng)站每時(shí)每刻都在受到黑客攻擊，那么客戶根本不會(huì)信任我們。”

對(duì)于LawLeaf來(lái)說(shuō)，幸運(yùn)的是通過(guò)電子郵件發(fā)過(guò)來(lái)的客戶文件并沒(méi)有受到影響。Burke稱，盡管如此，網(wǎng)站的每一次崩潰都對(duì)公司的聲譽(yù)產(chǎn)生了嚴(yán)重的負(fù)面影響。

Burke指出，在網(wǎng)站崩潰時(shí)，BlueHost會(huì)對(duì)他進(jìn)行提醒，并做出一些初步分析以確定問(wèn)題并不在他們的服務(wù)器上。他稱，BlueHost從來(lái)就沒(méi)有采取進(jìn)一步行動(dòng)以解決這一問(wèn)題。

Burke稱："他們僅僅是不停的告訴我殺毒或是關(guān)閉我們的網(wǎng)頁(yè)。我按他們的說(shuō)法嘗試了許多次，但是網(wǎng)站還是不斷的崩潰。"

BlueHost公司的重點(diǎn)是為客戶和規(guī)模較小的公司提供低廉的托管服務(wù)。除了每月收費(fèi)只有6.95美元的基本服務(wù)外，他們并不提供更為高級(jí)的服務(wù)，也不會(huì)對(duì)客戶多次反應(yīng)的問(wèn)題做出回應(yīng)。

由于LawLeaf.com的問(wèn)題一直沒(méi)有解決，Burke將服務(wù)商換成為了FireHost。FireHost承諾將阻止今后的攻擊或是在出現(xiàn)攻擊后進(jìn)行防范。Burke稱，現(xiàn)在他們每月要支付400美元的服務(wù)費(fèi)。在接管了LawLeaf.com后，F(xiàn)ireHost就分離了基于PHP的頁(yè)面，清除了問(wèn)題代碼。

FireHost的首席執(zhí)行官Drake稱："實(shí)際上，LawLeaf在關(guān)閉PHP頁(yè)面方面采取了很好的措施。但是之所以還是不斷的出現(xiàn)問(wèn)題是因?yàn)閿?shù)據(jù)庫(kù)中存在有大量的SQL注入代碼。"

Burke稱為了得到更好的服務(wù)，他們?cè)?jīng)向BlueHost公司支付了不少錢。到目前為止，Burke仍然認(rèn)為BlueHost應(yīng)當(dāng)負(fù)責(zé)網(wǎng)站的安全，有義務(wù)解決惡意插件問(wèn)題。

盡管BlueHost的承諾中正常運(yùn)行率和可靠性高達(dá)99.5%，但是公司并沒(méi)有對(duì)LawLeaf.com的安全問(wèn)題負(fù)起責(zé)任?？萍忌虅?wù)研究公司分析師Gottheil稱："在這個(gè)案例中，我并不能確定這是機(jī)制問(wèn)題。但是由于SQL注入攻擊經(jīng)常會(huì)通過(guò)他們自己的網(wǎng)頁(yè)進(jìn)行攻擊，無(wú)論客戶知道與否，防范這類攻擊應(yīng)當(dāng)是客戶的責(zé)任。"

LawLeaf和BlueHost的案例向我們展示了為什么云計(jì)算客戶需要搞清楚誰(shuí)應(yīng)當(dāng)承擔(dān)安全責(zé)任的原因。
 

【編輯推薦】

1. 警惕：云計(jì)算四大安全隱患
2. 云計(jì)算安全：讓IT部門失控了
3. 云計(jì)算比你想象的更安全