“云”通常是一個模糊的術(shù)語，不完全會打包到和企業(yè)級云計(jì)算工作相關(guān)的內(nèi)容中;企業(yè)員工可能在云端存儲文檔，但是關(guān)于底層技術(shù)如何實(shí)現(xiàn)的這項(xiàng)工作，他們知之甚少，也不關(guān)心這樣做是否安全。

本質(zhì)上，所有的云計(jì)算服務(wù)由一個“堆棧”組成，可能包括硬件資產(chǎn)(服務(wù)器內(nèi)存、CPU、磁盤)、運(yùn)行在硬件上的虛擬化技術(shù)、網(wǎng)絡(luò)組建(包含物理和虛擬的)、額外的計(jì)算和編制軟件、大規(guī)模存儲和虛擬機(jī)(VM)或者應(yīng)用和軟件實(shí)例。

盡管這個廣泛的技術(shù)集在計(jì)算功能上打開了一個充滿機(jī)遇的世界，但是企業(yè)必須知道因?yàn)檫@些技術(shù)進(jìn)行交互的途徑以及經(jīng)常在云計(jì)算客戶之間共享的特性，云堆棧中會出現(xiàn)漏洞。比如，多用戶系統(tǒng)中，應(yīng)用和數(shù)據(jù)托管在公有云或者商業(yè)云環(huán)境中(就像是在相同的物理平臺上)，制定合適的隔離、分段以及虛擬系統(tǒng)和數(shù)據(jù)之間的訪問控制都是最基本的。

在任何hypervisor中，都可以托管若干VM。在一個私有網(wǎng)絡(luò)或者私有云中，內(nèi)部分段(或者甚至是在不同物理主機(jī)上物理分離的)都可以輕松維護(hù)。然而，在云環(huán)境中，內(nèi)部安全團(tuán)隊(duì)不具備基礎(chǔ)架構(gòu)(公有云和混合云部署)的控制權(quán)限，多個組織的VM和數(shù)據(jù)運(yùn)行在同樣的物理平臺上就會存在風(fēng)險(xiǎn)。此外，管理和hypervisor中所有活動的監(jiān)控都至關(guān)重要，嘗試和追蹤其他用戶的VM需要被檢測到(或者阻止)，迅速防止問題發(fā)生。

為了獲取更好的云堆棧安全漏洞理解，我們來看一下可能在不同云模型中受到的各種威脅。

IaaS和PaaS威脅

在基礎(chǔ)架構(gòu)即服務(wù)(IaaS)模型中，整個VM可以在多租戶環(huán)境中托管，這意味著攻擊者可能在相同的環(huán)境中創(chuàng)建惡意的VM。MIT的研究員透露了定位亞馬遜云中具體物理云服務(wù)器的方法，可能很多其他的提供商的環(huán)境也是如此。這是一種相當(dāng)具有創(chuàng)新性的攻擊，允許攻擊者通過具體的受害VM行為屬性，精確到其貯存的物理服務(wù)器。通過所獲取的信息，攻擊者能夠上傳和運(yùn)行惡意的VM，隨后可以用于執(zhí)行數(shù)據(jù)盜竊攻擊和其他的攻擊。

2013年十一月，一群研究員在演示可行的“邊信道”攻擊對陣運(yùn)行在相同的hypervisor平臺上的VM時，曝光了另外一種IaaS模型中潛在共享技術(shù)漏洞。在這種攻擊中，VM溢滿本地硬件緩存，導(dǎo)致目標(biāo)VM自己重寫一些數(shù)據(jù)?；谶@些寫入的數(shù)據(jù)，以及其寫入方式，攻擊者可以識別出這個目標(biāo)VM的各種信息，包括隔離使用的加密秘鑰以及其他的加密功能。雖然這種類型的攻擊可能難以在云端實(shí)現(xiàn)，但是演示顯示了企業(yè)云計(jì)算多租戶環(huán)境多么容易受到攻擊。

平臺即服務(wù)(PaaS)環(huán)境能夠一起運(yùn)行所有的VM，但是客戶對于其配置也缺失了控制;導(dǎo)致他們沒有能力創(chuàng)建單獨(dú)的VM，攻擊者可能不能在IaaS環(huán)境中創(chuàng)建惡意VM。這并意味著PaaS模型沒有云堆棧漏洞，因?yàn)槠渌墓蚕斫M件會招致風(fēng)險(xiǎn)，比如存儲和API。在API的情況中，數(shù)據(jù)可以以非加密的形式轉(zhuǎn)換，或者在有缺陷的授權(quán)中實(shí)施。

至于存儲(有些可以影響所有的云模型)，關(guān)鍵的風(fēng)險(xiǎn)在于缺少客戶數(shù)據(jù)之間的隔離。2012年四月， Context信息安全的研究員表示他們能夠從數(shù)個云提供商處下載自己的VM磁盤文件，在進(jìn)行刑偵分析后，斷定其他客戶的數(shù)據(jù)也呈現(xiàn)在其中。原因何在?因?yàn)樘峁┥虥]能在多租戶環(huán)境中隔離和清潔存儲空間。

如何管理云堆棧風(fēng)險(xiǎn)

那么企業(yè)如何能夠?qū)构蚕砑夹g(shù)帶來的威脅呢?首先，必須理解有多少種實(shí)際的風(fēng)險(xiǎn)，包括上面提到的這些以及其他的風(fēng)險(xiǎn)。比如，“VM逃脫”和hypervisor妥協(xié)場景類似于經(jīng)常探討的Blue Pill，但是實(shí)際生活中這些威脅的發(fā)生概率比較低。同樣的，實(shí)施邊信道攻擊的協(xié)調(diào)、環(huán)境知識以及所需技能極為超凡，目的就是為了獲取共享存儲緩存的加密密鑰，因此這樣的威脅在大多數(shù)云環(huán)境中可能不會發(fā)生。

話雖如此，但是企業(yè)還是必須有合適的預(yù)防措施，確保云堆棧的安全。加密敏感數(shù)據(jù)和VM組件是很多這種威脅的有利威懾。從內(nèi)在來看，虛擬化平臺支持內(nèi)置分段和隔離，很多更是芯片級的。此外，網(wǎng)絡(luò)和托管的訪問控制可以在物理和虛擬網(wǎng)絡(luò)層實(shí)施，在VM本身中也可以。 Hypervisor的訪問控制也必須考慮在內(nèi)，攻擊者獲取了hypervisor的控制或者其管理平臺的控制也是毀滅性的。

大多數(shù)企業(yè)的關(guān)鍵在于直接詢問云提供商關(guān)于其安全實(shí)踐的問題，尤其是如何鎖定hypervisor或者堆棧中的其他層。此外，找出最適合的訪問控制，阻止惡意訪問，從而管理和編制應(yīng)用。比如，應(yīng)該包括用戶賬戶和群組管理、密碼和多因子認(rèn)證策略和時間，以及更加健壯的身份識別管理工具和流程。