云計(jì)算是一種新的計(jì)算方式，它依托于互聯(lián)網(wǎng)，以網(wǎng)絡(luò)技術(shù)、分布式計(jì)算為基礎(chǔ)，實(shí)現(xiàn)按需自服務(wù)、快速彈性構(gòu)建、服務(wù)可測量等特點(diǎn)的新一代計(jì)算方式。然而，任何以互聯(lián)網(wǎng)為基礎(chǔ)的應(yīng)用都存在著一定危險(xiǎn)性，云計(jì)算也不例外，安全問題從云計(jì)算誕生那天開始就一直受人關(guān)注。當(dāng)所有的計(jì)算行為和數(shù)據(jù)存儲都散布在聚散無形虛無縹緲的云中的時(shí)候，人們將會普遍感到失控的恐慌。

還記得《手機(jī)》這部電影嗎?手機(jī)給生活提供了極大便利，但也給人帶來了無盡煩惱，將人與人之間的距離拉得太近了，毫無隱私可言，讓人都喘不過氣來。云計(jì)算可以說比手機(jī)還甚，云計(jì)算中的數(shù)據(jù)對于數(shù)據(jù)所有者以外的其它云計(jì)算用戶是保密的，但是對于提供云計(jì)算的商業(yè)機(jī)構(gòu)而言確是毫無秘密可言。當(dāng)然，這還不是問題關(guān)鍵，人們收入和資金方面有隱私，但并不妨礙人們樂于將資金放到銀行里管理，最為關(guān)鍵的還是云計(jì)算自身安全技術(shù)的問題。云計(jì)算作為一種新計(jì)算技術(shù)，要面臨更多安全威脅。云安全聯(lián)盟是中立的非盈利世界性行業(yè)組織，致力于國際云計(jì)算安全的全面發(fā)展，也是云計(jì)算安全領(lǐng)域的權(quán)威組織。云安全聯(lián)盟在2016年的報(bào)告中提出十二大云安全威脅，本文依據(jù)此并結(jié)合實(shí)際應(yīng)用，總結(jié)出云計(jì)算的安全威脅“集中營”。

[[202274]]

安全域無邊界

在對外提供云計(jì)算業(yè)務(wù)之前，數(shù)據(jù)中心都是獨(dú)立機(jī)房，由邊界防火墻隔離成內(nèi)外兩塊。防火墻內(nèi)部屬于可信區(qū)域，自己獨(dú)占，外部屬于不可信區(qū)域，所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全，也可以在這道墻之后建立更多防火墻形成縱深防御;在開始提供云計(jì)算業(yè)務(wù)之后，這種簡潔的內(nèi)外隔離安全方案已經(jīng)行不通了，通過購買云服務(wù)器，攻擊者已經(jīng)深入提供商網(wǎng)絡(luò)的腹地，穿越了邊界防火墻。云計(jì)算內(nèi)部的資源不再是由某個用戶獨(dú)享，而是幾萬、幾十萬甚至更多互相不認(rèn)識的用戶共有，當(dāng)然也包含一些惡意用戶，這些用戶可以輕而易舉進(jìn)入云計(jì)算內(nèi)部，竊取私密信息。傳統(tǒng)劃分安全域做隔離已經(jīng)行不通了，哪里有云計(jì)算提供的服務(wù)，哪里就需要安全，安全防護(hù)要貫穿到整個云計(jì)算的所有環(huán)節(jié)，這無疑將提升云計(jì)算安全部署的成本，即便這樣防御效果還不見比以前好。

虛擬化難捕捉

云計(jì)算時(shí)代，一臺服務(wù)器上可以運(yùn)行十臺虛機(jī)，這些虛機(jī)還可能屬于十個不同用戶。攻擊者虛擬機(jī)可直接運(yùn)行在這臺服務(wù)器的內(nèi)存里面，僅僅是使用一個虛擬層隔離，一旦攻擊者掌握了可以穿透虛擬層漏洞，就可以毫不費(fèi)力完成入侵，常見的虛擬化層軟件如XEN、KVM都能找到類似安全漏洞。一般服務(wù)器是一臺標(biāo)準(zhǔn)Linux服務(wù)器，運(yùn)行著標(biāo)準(zhǔn)的Linux操作系統(tǒng)以及各種標(biāo)準(zhǔn)的服務(wù)，被攻擊者攻破的通道很多。為了實(shí)現(xiàn)虛擬機(jī)自動遷移，虛擬化技術(shù)被應(yīng)用于云計(jì)算網(wǎng)絡(luò)中，這種虛擬網(wǎng)絡(luò)是一個大二層架構(gòu)，甚至是跨越機(jī)房、跨越城市的大二層架構(gòu)。在這樣一個超大的二層虛擬網(wǎng)絡(luò)中，ARP欺騙、以太網(wǎng)端口欺騙、ARP風(fēng)暴、NBNS風(fēng)暴等二層內(nèi)部的攻擊問題，危害性都遠(yuǎn)遠(yuǎn)超過了它們在傳統(tǒng)網(wǎng)絡(luò)中的影響。

數(shù)據(jù)泄露量大

在傳統(tǒng)網(wǎng)絡(luò)中也存在數(shù)據(jù)泄露威脅，但在云計(jì)算環(huán)境中數(shù)據(jù)泄露嚴(yán)重性更高。由于云服務(wù)器上保存了大量客戶的隱私數(shù)據(jù)，在多租戶環(huán)境下，一個客戶應(yīng)用存在漏洞可能就會導(dǎo)致其他客戶數(shù)據(jù)的泄露。數(shù)據(jù)泄露不僅導(dǎo)致商業(yè)機(jī)密、知識產(chǎn)權(quán)和個人隱私的泄露，而且對企業(yè)而言可能產(chǎn)生毀滅性打擊。云計(jì)算依托的基礎(chǔ)就是海量數(shù)據(jù)，只有在超大型的數(shù)據(jù)中心才能充分發(fā)揮作用，而海量數(shù)據(jù)若發(fā)生泄露，造成的損失很大，尤其是各種數(shù)據(jù)混雜在一起，做不好數(shù)據(jù)防護(hù)，很容易被人所竊取。惡意黑客會使用病毒、木馬或者直接攻擊方法永久刪除云端數(shù)據(jù)來危害云系統(tǒng)安全。

攻擊頻率急劇增大

正所謂“樹大招風(fēng)”，沒有部署云計(jì)算時(shí)，承載信息服務(wù)的各個數(shù)據(jù)中心散列在各處，即便被攻擊，受影響的面都不會太大?，F(xiàn)在的數(shù)據(jù)中心建設(shè)規(guī)模都很大，因?yàn)橹挥幸?guī)模上去，云計(jì)算的優(yōu)勢才能更加明顯。所以現(xiàn)在擁有數(shù)十萬臺服務(wù)器的數(shù)據(jù)中心屢見不鮮，這就將很多數(shù)據(jù)集中在一起，再交由云計(jì)算處理。擁有海量數(shù)據(jù)的數(shù)據(jù)中心，目標(biāo)太大，很容易成為別人的目標(biāo)。還有云計(jì)算用戶多樣性而且規(guī)模巨大，這樣遭受的攻擊頻率也是急劇增大。以阿里云為例，平均每天遭受數(shù)百起DDoS攻擊，其中50%攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計(jì)算。這種頻度的攻擊，給安全運(yùn)維帶來巨大的挑戰(zhàn)。

除此之外，不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級持續(xù)性威脅、審查不充分、惡意SaaS應(yīng)用、共享技術(shù)問題等等，都是云計(jì)算要面臨的安全威脅。解決好云計(jì)算安全威脅問題，將會為云計(jì)算的發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)，讓更多的人樂于接受云計(jì)算，將自己的信息數(shù)據(jù)安心放到云計(jì)算應(yīng)用中來。在這里將云計(jì)算的安全威脅比作了集中營，就是希望放到集中營中的安全威脅越來越少，最后集中營能夠解散掉，徹底消除各種云計(jì)算安全威脅。云計(jì)算的建設(shè)者已經(jīng)意識到解決安全問題的急迫性，已經(jīng)提出了不少抵御安全威脅的解決方案，這些都有待實(shí)踐來驗(yàn)證。這個過程一定還有很長的路要走，需要依賴技術(shù)、管理和產(chǎn)業(yè)等各行業(yè)的共同努力才能實(shí)現(xiàn)。