云計(jì)算安全缺陷分析

安全專家表示，企業(yè)在將他們的基礎(chǔ)架構(gòu)遷移到云的過(guò)程中必須對(duì)安全風(fēng)險(xiǎn)提高警惕。SensePost安全公司的技術(shù)總監(jiān)Haroon Meer在黑帽安全大會(huì)上介紹了他們的團(tuán)隊(duì)對(duì)亞馬遜在線的彈性計(jì)算云的研究成果，他表示"用戶使用云基礎(chǔ)架構(gòu)的最終目的是為了節(jié)約金錢，但是如果沒(méi)有采取任何審計(jì)措施，他們就會(huì)成為安全風(fēng)險(xiǎn)最高的用戶"。

他們的經(jīng)驗(yàn)說(shuō)明企業(yè)經(jīng)常會(huì)忽略對(duì)來(lái)自提供商的第三方計(jì)算機(jī)實(shí)例進(jìn)行掃描。Meer表示這樣以特洛伊木馬攻擊形式出現(xiàn)的惡意實(shí)例就能輕而易舉的入侵公司的內(nèi)部網(wǎng)絡(luò)。

對(duì)于云計(jì)算安全缺陷的參考經(jīng)驗(yàn)

1.企業(yè)必須意識(shí)到云經(jīng)常缺乏合法的保護(hù)，那些云上的數(shù)據(jù)在搜索和捕捉方面遵循的合法標(biāo)準(zhǔn)級(jí)別還比較低，政府或者立法者無(wú)需搜查證就可以檢索數(shù)據(jù)。云提供商更加關(guān)心的是保護(hù)自己而不是用戶，因此不要奢望那些服務(wù)協(xié)議中的法律術(shù)語(yǔ)會(huì)對(duì)你的公司有利。

所有這些提供云服務(wù)的企業(yè)都有非常活躍和經(jīng)過(guò)專業(yè)培訓(xùn)的法律部門。因此當(dāng)你訂閱這些服務(wù)要認(rèn)可他們制定的協(xié)議時(shí)，基本上對(duì)用戶起不到任何保護(hù)作用。

如果因?yàn)楣?yīng)商的錯(cuò)誤導(dǎo)致數(shù)據(jù)被入侵，客戶要同意不追索實(shí)質(zhì)責(zé)任。如果由于數(shù)據(jù)中心故障導(dǎo)致數(shù)據(jù)丟失，提供商也不承擔(dān)相關(guān)責(zé)任，如果協(xié)議中說(shuō)明他們將嘗試為你提供幫助，那已經(jīng)算不錯(cuò)了。

如果協(xié)議中說(shuō)明出現(xiàn)安全缺口他們將嘗試為你提供幫助，那是件好事，看起來(lái)在冰冷無(wú)情的法律條文和公司希望達(dá)到的安全道德規(guī)范之間還存在著差異。

2.沒(méi)有哪家硬件廠商希望對(duì)他們的提供商進(jìn)行審計(jì)，他們也不想對(duì)公司以外的硬件進(jìn)行測(cè)試。進(jìn)行風(fēng)險(xiǎn)掃描或者滲透測(cè)試需要得到云服務(wù)提供商的許可，否則客戶就是在入侵提供商的系統(tǒng)。

盡管某些服務(wù)協(xié)議，比如說(shuō)亞馬遜的服務(wù)協(xié)議詳細(xì)標(biāo)明客戶可以對(duì)提供商系統(tǒng)上運(yùn)行的軟件進(jìn)行測(cè)試，得到許可是很重要的。

3.云計(jì)算為企業(yè)帶來(lái)巨大的效益的同時(shí)還需要強(qiáng)大的協(xié)議和用戶培訓(xùn)的保障，比如說(shuō)允許企業(yè)用戶隨時(shí)隨地訪問(wèn)數(shù)據(jù)，從IT員工處獲取幫助來(lái)解決維護(hù)問(wèn)題，始終如一的服務(wù)意味著對(duì)家庭辦公的員工造成傷害的釣魚攻擊也會(huì)對(duì)公司造成威脅。

因此培訓(xùn)用戶提高風(fēng)險(xiǎn)意識(shí)，不僅是針對(duì)他們自己還有他們的公司，這一點(diǎn)是很關(guān)鍵的。讓企業(yè)內(nèi)部所有的非技術(shù)人員都了解如何防范釣魚風(fēng)險(xiǎn)是非常困難的，但是事實(shí)上對(duì)于軟件即服務(wù)來(lái)說(shuō)，釣魚攻擊正在逐漸為個(gè)人所熟知，并且開始成為企業(yè)內(nèi)部都了解的安全問(wèn)題

4.當(dāng)使用來(lái)自提供商的虛擬機(jī)時(shí)不要信賴計(jì)算機(jī)實(shí)例，比如說(shuō)亞馬遜在線的彈性計(jì)算云基礎(chǔ)架構(gòu)上建立的第三方實(shí)例等，企業(yè)用戶不應(yīng)該信賴任何系統(tǒng)。

公司的研究專家對(duì)大量事先設(shè)置的實(shí)例進(jìn)行了掃描，結(jié)果發(fā)現(xiàn)高速緩存和信用卡數(shù)據(jù)中的驗(yàn)證鑰潛伏著隱藏在系統(tǒng)內(nèi)部的惡意代碼。他們發(fā)現(xiàn)大部分用戶在使用第三方研發(fā)人員創(chuàng)建的計(jì)算機(jī)映像時(shí)都沒(méi)有考慮到安全因素。一些用戶還在這些預(yù)先設(shè)置的映像上建立了完整的驗(yàn)證服務(wù)器。

企業(yè)用戶必須根據(jù)內(nèi)部用途創(chuàng)建他們自己的映像，或者運(yùn)用技術(shù)和法律手段對(duì)他們進(jìn)行保護(hù)，使他們免受惡意的第三方研發(fā)人員的傷害。

5.在考慮安全性時(shí)必須重新考慮所有的假設(shè)，企業(yè)信息技術(shù)管理者必須對(duì)云上的配置重新考量。

舉例來(lái)說(shuō)，當(dāng)配置一款在虛擬數(shù)據(jù)中心的計(jì)算實(shí)例中運(yùn)行的應(yīng)用軟件時(shí)，那些依靠隨機(jī)數(shù)發(fā)生的特性未必會(huì)按照期望來(lái)運(yùn)行。問(wèn)題是虛擬系統(tǒng)比起物理系統(tǒng)的信息量要少，因此隨機(jī)數(shù)是可以推測(cè)出來(lái)的。

云計(jì)算的缺陷是事實(shí)存在的，云計(jì)算雖然給我們的生活帶來(lái)很多方便，但是認(rèn)識(shí)云計(jì)算的缺點(diǎn)更有利于我們更深刻的認(rèn)識(shí)它。

【編輯推薦】

1. 云安全利與弊的關(guān)系
2. 淺析云計(jì)算的安全性
3. 云計(jì)算的風(fēng)險(xiǎn)大于其收益