企業(yè)應(yīng)用云計算的場景越來越多，投資也越來越大。目前唯一能造成大型企業(yè)高層們在取舍云計算時猶豫的原因就是云計算的安全問題。然而，如何對即將或者正在使用的云計算進行安全評估乃至加固，大多數(shù)企業(yè)并沒有概念，因此也很難在使用云計算獲得效率和便利以及安全兩個方面達成一致和共識。

基于此，本文針對云計算的風險類型采用經(jīng)典的“CIA三性”，即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)來進行界定，并針對性地提出相關(guān)的防御、檢測、阻止措施，然后給出通過這些措施后仍然存在的剩余風險，以給企業(yè)的高層們提供云計算實踐中的有益參考。

“C”：機密性(Confidentiality)風險

這些風險與隱私和信息控制相關(guān)的缺陷、威脅有關(guān)，假定你想以一種受控制的方式，使信息只對那些需要它的實體可用，而不暴露給未經(jīng)授權(quán)的第三方。

1)數(shù)據(jù)泄漏、盜竊、曝光、轉(zhuǎn)發(fā)

用戶數(shù)據(jù)和其他類型的知識產(chǎn)權(quán)通過有意無意的方式造成的信息丟失。數(shù)據(jù)泄漏有四個主要的威脅中介：外界盜竊，內(nèi)部蓄意破壞(包括未經(jīng)授權(quán)的數(shù)據(jù)打印，復(fù)制或轉(zhuǎn)發(fā))，授權(quán)用戶無意濫用，還有不明確政策造成的錯誤。

防御：軟件控制通過數(shù)據(jù)丟失防控(DLP)方案來防止不恰當?shù)臄?shù)據(jù)訪問。避免將敏感、機密或個人識別(PII)的信息放在云中。

檢測：使用水標記和帶有監(jiān)控軟件的數(shù)據(jù)分類標簽來追蹤數(shù)據(jù)流。

阻止：在與那些指定了強制執(zhí)行和保護數(shù)據(jù)隱私的服務(wù)提供商的合同協(xié)議中，使用清晰而有力的語言。

剩余風險：在云供應(yīng)商的環(huán)境中，涉及到多個不可追蹤的邏輯磁盤存儲位置，以及將私有數(shù)據(jù)暴露給管理員的供應(yīng)商管理訪問問題相關(guān)的數(shù)據(jù)持久性問題。

2)探測、數(shù)據(jù)包檢測、數(shù)據(jù)包重新發(fā)送

有意通過未經(jīng)授權(quán)的網(wǎng)絡(luò)截取來捕獲信息，使用工具來截獲網(wǎng)絡(luò)包，或者重現(xiàn)網(wǎng)絡(luò)交易和重發(fā)已傳送的數(shù)據(jù)。

防御：通過使用加密文件的強大的加密技術(shù)(如PGP)，以及在網(wǎng)絡(luò)上的服務(wù)器之間進行的網(wǎng)絡(luò)加密技術(shù)(如TLS,SSL,SFTP)，來加密靜態(tài)數(shù)據(jù)和傳輸?shù)臄?shù)據(jù)。對于提供鏈路層數(shù)據(jù)加密是云提供商進行優(yōu)先考慮。

檢測：目前，我們還不能很好地發(fā)現(xiàn)何時有人截獲了你的數(shù)據(jù);然而，IDS功能可以幫助識別那些可能指示未授權(quán)范圍意圖的網(wǎng)絡(luò)上的異常行為。

阻止：將未授權(quán)訪問的風險轉(zhuǎn)移到使用特定合同的語言的服務(wù)供應(yīng)商。

剩余風險：利用網(wǎng)絡(luò)拓撲結(jié)構(gòu)，網(wǎng)絡(luò)缺陷，入侵服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及直接訪問網(wǎng)絡(luò)設(shè)備的方式，來從網(wǎng)絡(luò)中盜取數(shù)據(jù)。

3)不恰當?shù)墓芾韱T訪問權(quán)限

使用特權(quán)訪問權(quán)限等級的工作，通常保留給系統(tǒng)管理員，這些管理員對系統(tǒng)和系統(tǒng)可以訪問的所有數(shù)據(jù)提供訪問，以便在不需通過系統(tǒng)認證過程的情況下，來瀏覽數(shù)據(jù)和做出調(diào)整。管理員有繞過所有安全控制的權(quán)利，這可以用來故意或錯誤地損害私人數(shù)據(jù)。

防御：最小化每一個提供云服務(wù)功能的管理員的數(shù)量——服務(wù)器，網(wǎng)絡(luò)和存儲(最好是少于十個而多于五個管理員)。此外，還有確保執(zhí)行一個徹底的背景審查來篩選服務(wù)提供商的全體人員。在雇傭一個云提供商或與之簽署協(xié)議時，需要進行供應(yīng)商的安全檢查來確保他們的做法有效。

檢測：按月或按季檢查云提供商對他們內(nèi)部基礎(chǔ)設(shè)施的管理訪問日志。

阻止：只選擇那些可以證明是強健的系統(tǒng)，并且擁有希望認同客戶條件的網(wǎng)絡(luò)管理方法的云提供商。

剩余風險：由于管理員擁有全部的控制權(quán)限，他們肯能會有意或無意地濫用其訪問權(quán)限，從而導致個人信息或服務(wù)可用性二者的折衷。

4)持久性存儲

在一個數(shù)據(jù)不再被需要，或者已經(jīng)被刪除之后，數(shù)據(jù)可能仍然保留在磁盤上。數(shù)據(jù)可能被刪除但一定不可能被覆蓋，所以未授權(quán)的個人進行之后的數(shù)據(jù)恢復(fù)的風險性就提高了。

防御：當磁盤被更換或者重新分配時，堅持要求供應(yīng)商持有抵御磁盤擦除管理的方案。無效磁盤應(yīng)消磁或銷毀，以防止數(shù)據(jù)泄露。

檢測：你不能發(fā)現(xiàn)何時你的數(shù)據(jù)存儲在一個已經(jīng)脫機的磁盤上。

阻止：在選擇供應(yīng)商之前應(yīng)建立磁盤擦除的方案，確保合同語言明確規(guī)定了這些要求。

剩余風險：數(shù)據(jù)在被刪除很久之后，仍保留在物理介質(zhì)上。

5)存儲平臺攻擊

直接攻擊SAN或存儲基礎(chǔ)設(shè)施，包括使用一個存儲系統(tǒng)的管理控制，可以提供對私有數(shù)據(jù)的訪問，并且是繞過建立在操作系統(tǒng)內(nèi)部的控制設(shè)置，因為操作系統(tǒng)在回路的外面。

防御：確保提供商在他們的存儲系統(tǒng)上，已經(jīng)實現(xiàn)了強健的分區(qū)和基于角色的訪問控制，并確保對供應(yīng)商存儲系統(tǒng)管理接口的訪問不能通過用戶網(wǎng)絡(luò)來進行。

檢測：為存儲網(wǎng)絡(luò)實現(xiàn)IDS，且按季檢查存儲系統(tǒng)訪問控制日志。

阻止：確保云服務(wù)供應(yīng)商具有強健的法律代理功能，并能夠承諾查明和起訴攻擊者。

剩余風險：數(shù)據(jù)可直接從SAN被盜，之后你也許能發(fā)現(xiàn)，也許一點兒也不會意識到。

6)數(shù)據(jù)誤用

有權(quán)訪問數(shù)據(jù)的人也有可能對這些數(shù)據(jù)做其它操作，包括不被允許執(zhí)行的操作。比如，泄漏信息給競爭對手的員工，測試生產(chǎn)數(shù)據(jù)的開發(fā)者，以及從組織者私有網(wǎng)絡(luò)的受控環(huán)境中取出數(shù)據(jù)，放入無保護的主環(huán)境的人。

防御：對員工而言，使用類似于私有數(shù)據(jù)網(wǎng)絡(luò)的安全控制，如DLP，基于角色的訪問控制，和干擾測試和開發(fā)數(shù)據(jù)。破壞發(fā)送電子郵件附件到外部地址的能力。

檢測：使用水標記和帶有監(jiān)控軟件的數(shù)據(jù)分類標簽來追蹤數(shù)據(jù)流。

阻止：使用為阻止人們從受控環(huán)境中傳輸數(shù)據(jù)到一個不受控環(huán)境的行為進行處罰和制裁的安全意識方案。

剩余風險：人們可以找到一些控制策略來把數(shù)據(jù)放到可能被盜竊或誤用的未受控環(huán)境中。

7)騙局

非法(或欺騙性)獲得未經(jīng)授權(quán)訪問的信息。欺詐行為可以是外人犯下的，但通常是由受信任的雇員犯下。

防御：采用審查和為減少對單一個體的依賴而進行充分分離的平衡。確保業(yè)務(wù)流程包括了審查管理和批準。

檢測：對計算機系統(tǒng)訪問和數(shù)據(jù)使用執(zhí)行定期審計，特別要注意未經(jīng)授權(quán)的訪問。

阻止：確保對員工有一個合適的懲罰程序。對于服務(wù)提供商而言，通過合同的書面語言來轉(zhuǎn)移風險。

剩余風險：欺詐行為可能導致重大的聲譽和經(jīng)濟損失。

8)劫持

一個有效的計算機會話，有時也稱為會話密鑰——以獲取對一個計算機系統(tǒng)上信息和服務(wù)的未授權(quán)訪問的開發(fā)，尤其是對遠程服務(wù)器訪問進行用戶驗證的神奇的cookie的盜用。例如，用來維持許多網(wǎng)站上會話的HTTP Cookie可以通過使用中間計算機或訪問受害者的計算機上保存的Cookie來盜取。如果攻擊者能夠竊取這個cookie ，攻擊者可以像真正的用戶一樣對數(shù)據(jù)操作進行請求，獲得對特權(quán)信息的訪問或更改數(shù)據(jù)。如果這個cookie是一個永久性的Cookie，那么這種假冒行為可以持續(xù)相當長的一段時間。在這種情況下，通過雙方傳遞密鑰來維持的協(xié)議是脆弱的，尤其是當它沒有被加密時。這同樣適用于云環(huán)境的管理憑據(jù)，如果整個云環(huán)境是通過會話密鑰來管理的，那么整個的環(huán)境可以被有效利用會話劫持攻擊所占據(jù)。

防御：從那些采用強健的已被加密的準確會話密鑰，來著重強調(diào)這種風險的服務(wù)提供商中查找堅實的身份管理的實現(xiàn)。作為客戶，應(yīng)使用良好的密鑰管理流程和方案，密鑰托管和密鑰恢復(fù)方案，這樣員工的離職并不會導致服務(wù)的不可管理。

檢測：定期檢查云資源的訪問日志和它們的管理接口，以鑒定異常情況。

阻止：對阻止劫持者在積極的法律響應(yīng)之外進行會話劫持，我們還不能采用有效措施來應(yīng)對。

剩余風險：攻擊者可能冒充的云服務(wù)的有效用戶甚至可以使用管理憑據(jù)來鎖定，并損壞企業(yè)整個的基礎(chǔ)設(shè)施。