【51CTO獨家譯稿】安全研究者們說：像亞馬遜那樣的云計算服務提供商們必須要防止它們強大的計算能力被非法的攻擊所利用。那么，什么樣安全措施可以防止云成為犯罪者的天堂呢？

想要攻擊其他人的犯罪者可以租用已經(jīng)被控制的計算機網(wǎng)絡或僵尸網(wǎng)絡，或其他犯罪者在地下的社區(qū)中提供的服務。在它們自己的領域中，這些資源也被當成了“云”，但是安全研究者們警告說：合法的云服務提供商也必須要防止它們強大的計算能力被非法的攻擊者所利用。

在8月召開的DEFCON黑客大會上，在一個演示中，兩個研究者做了這樣的事情：Trustwave的David Bryan和NetSPI的Michael Anderson建立了幾個虛擬服務器來攻擊一個小型的財務公司——這個客戶希望測試自己對這樣的攻擊的防御能力。這兩個研究者并沒有租用其他犯罪者提供的僵尸網(wǎng)絡，而是使用亞馬遜提供的Elastic Computing Cloud (EC2)租用了不到一打的虛擬服務器，通過流量來擁塞攻擊目標的網(wǎng)絡。

這兩個研究者表示：并沒有什么跡象表明亞馬遜探測到了這次攻擊。同時，他們呼吁所有的云服務提供商們，在監(jiān)控資源的使用方式方面，要多加注意。

Trustwave的Bryan說：“在它變得一發(fā)不可收拾之前，讓我們先解決掉它?！?/P>

雖然亞馬遜并沒有抓到那兩個特定的安全研究者，但是亞馬遜表示，在云中，要抓到那些壞家伙是很容易的。

在一份發(fā)送給CIO.com的聲明中，亞馬遜表示：“在云出現(xiàn)以前，通過互聯(lián)網(wǎng)進行的違法犯罪活動就已經(jīng)相當普遍了。那些非法使用者們選擇在Amazon EC2環(huán)境中運行他們的軟件，只會讓我們更容易地訪問和禁用他們的軟件。對于整個互聯(lián)網(wǎng)來說，這是一個重大的改進，在云環(huán)境中，非法使用的主機不能被訪問，而且，這種情況會持續(xù)很長時間?！?/P>

然而，在這種情況下，公司必須要監(jiān)控它們自己的云空間。

下面是亞馬遜和其他的云服務提供商們提供的一些安全策略。

1，讓客戶更方便，就是讓攻擊者更方便

惠普（Hewlett-Packard）負責Secure Advantage與Cloud Security的首席技術官 Archie Reed說：“優(yōu)秀的云服務應該讓云資源更方便消費者和內(nèi)部的客戶使用。但是，這些優(yōu)秀的特性也很容易被攻擊者們利用。”

Reed說：“我們給云提供的所有優(yōu)秀的特性，尤其是給公有云提供的所有優(yōu)秀的特性——包括相對較低的成本，instant provisioning，以及在任何時間，任何地點都能訪問云服務的能力。所有這些優(yōu)秀的特性可以被任何一個人利用——只要他有相關的知識，并且他希望這樣做?！?/P>

與其做出決定關閉那些信息不完整的潛在客戶的賬戶，倒不如少做一些黑白分明的選擇。與其阻止一個潛在的惡意用戶，倒不如利用惠普的技術限制他們的帶寬。這就是惠普的策略。

Reed說：“我們正在和客戶們一起努力，來檢測各種可疑的行為，為了讓客戶更快地做出反應，我們特意讓一些事情慢了下來。你不要關閉客戶們的賬戶，但是你也不要給各種惡意行為提供主機服務?！?/P>

2，從第一天起就把安全性考慮在內(nèi)

來自于Trustwave和NetSPI的研究者的拒絕服務攻擊，在最高峰的時候可以達到150MB/s。在兩個多小時里，他們一共發(fā)送了大約10GB的數(shù)據(jù)，成本不到6美金。

他們認為，這樣的惡意行為應該被探測到。

雖然亞馬遜并沒有對這次的事件做出任何的評論，但是亞馬遜表示，給云提供必要的安全措施是很重要的——它的工程師一直在做這樣的事情。

在一個聲明中，亞馬遜表示：“提供按需分配的基礎設施，同時提供安全隔離，和在公司現(xiàn)有的私有環(huán)境下并沒有什么本質(zhì)性的不同?！?/P>

3，把所有事情都記錄在日志里

現(xiàn)在，所有公司都應該投資的一種技術是日志管理。在最近的Data Breach Investigations Report中，Verizon公司發(fā)現(xiàn)：90%以上對企業(yè)的攻擊都可以反映在日志數(shù)據(jù)里，但是只有不到5%的公司監(jiān)控這些通常足以探測到各種攻擊的數(shù)據(jù)。

基于云的日志管理公司Loggly的創(chuàng)始人兼首席運營官 Raffael Marty說：“實現(xiàn)日志管理對每個人來說都很重要，尤其是在你的數(shù)據(jù)中心里。你必須要管理已經(jīng)發(fā)生的一些事情的日志，這不僅僅是為了遵守SLA（service level agreement），也是為了安全性?！?/P>

他說：“云服務提供商們（例如：亞馬遜），應該專門開發(fā)一些技術，以便于更快地從日志中收集信息?！?/P>

4，不只是計算要具有可擴展性，安全也要具有可擴展性

亞馬遜表示：“云計算的一個主要的優(yōu)勢是：大型的提供商們可以利用經(jīng)濟規(guī)模的優(yōu)勢，提供低成本的虛擬系統(tǒng)。但是，提供商們也不得不提供相應的可擴展性，來更好地保護它們的資源?！?/P>

亞馬遜公司說：“龐大的經(jīng)濟規(guī)模可以讓我們提供低成本的，靈活的服務，同時，可以讓我們構(gòu)建有效的，可擴展的防護?！?/P>

和其他沒有這樣的經(jīng)濟規(guī)模的公司相比，亞馬遜可以在安全方面投入更多地資金。使用亞馬遜提供的API，一個負責安全或操作的人員可以識別出運行在云中的每個機器實例。

5，觀察那些已經(jīng)變壞的客戶

云安全聯(lián)盟表示：在云系統(tǒng)上，最常見的攻擊是賬戶劫持。在云安全聯(lián)盟2010年3月做出一份報告中，在所有和云計算相關的頂級威脅中，云資源的非法使用是最危險的。但是在列出的威脅中，有六個涉及到攻擊者對賬戶的非法使用。

惠普的Reed建議所有云服務提供商使用雙重認證來限制賬戶劫持。

Reed說：“云服務提供商們必須要提供一般水平的防護，來保護它們的基礎設施和品牌?，F(xiàn)在攻擊者們知道你可以得到什么——不僅是從亞馬遜得到一本書那么簡單了，而是整個計算環(huán)境，那些賬戶成為了攻擊目標?！?/P>