[[202670]]

云計(jì)算是一種新的計(jì)算方式，它依托于互聯(lián)網(wǎng)，以網(wǎng)絡(luò)技術(shù)、分布式計(jì)算為基礎(chǔ)，實(shí)現(xiàn)按需自服務(wù)、快速?gòu)椥詷?gòu)建、服務(wù)可測(cè)量等特點(diǎn)的新一代計(jì)算方式。然而，任何以互聯(lián)網(wǎng)為基礎(chǔ)的應(yīng)用都存在著一定危險(xiǎn)性，云計(jì)算也不例外，安全問(wèn)題從云計(jì)算誕生那天開(kāi)始就一直受人關(guān)注。當(dāng)所有的計(jì)算行為和數(shù)據(jù)存儲(chǔ)都散布在聚散無(wú)形虛無(wú)縹緲的云中的時(shí)候，人們將會(huì)普遍感到失控的恐慌。還記得《手機(jī)》這部電影嗎?手機(jī)給生活提供了極大便利，但也給人帶來(lái)了無(wú)盡煩惱，將人與人之間的距離拉得太近了，毫無(wú)隱私可言，讓人都喘不過(guò)氣來(lái)。云計(jì)算可以說(shuō)比手機(jī)還甚，云計(jì)算中的數(shù)據(jù)對(duì)于數(shù)據(jù)所有者以外的其它云計(jì)算用戶(hù)是保密的，但是對(duì)于提供云計(jì)算的商業(yè)機(jī)構(gòu)而言確是毫無(wú)秘密可言。當(dāng)然，這還不是問(wèn)題關(guān)鍵，人們收入和資金方面有隱私，但并不妨礙人們樂(lè)于將資金放到銀行里管理，最為關(guān)鍵的還是云計(jì)算自身安全技術(shù)的問(wèn)題。云計(jì)算作為一種新計(jì)算技術(shù)，要面臨更多安全威脅。云安全聯(lián)盟是中立的非盈利世界性行業(yè)組織，致力于國(guó)際云計(jì)算安全的全面發(fā)展，也是云計(jì)算安全領(lǐng)域的權(quán)威組織。云安全聯(lián)盟在2016年的報(bào)告中提出十二大云安全威脅，本文依據(jù)此并結(jié)合實(shí)際應(yīng)用，總結(jié)出云計(jì)算的安全威脅“集中營(yíng)”。

安全域無(wú)邊界

在對(duì)外提供云計(jì)算業(yè)務(wù)之前，數(shù)據(jù)中心都是獨(dú)立機(jī)房，由邊界防火墻隔離成內(nèi)外兩塊。防火墻內(nèi)部屬于可信區(qū)域，自己獨(dú)占，外部屬于不可信區(qū)域，所有的攻擊者都在這里。安全人員只需要對(duì)這一道隔離墻加高、加厚即可保障安全，也可以在這道墻之后建立更多防火墻形成縱深防御;在開(kāi)始提供云計(jì)算業(yè)務(wù)之后，這種簡(jiǎn)潔的內(nèi)外隔離安全方案已經(jīng)行不通了，通過(guò)購(gòu)買(mǎi)云服務(wù)器，攻擊者已經(jīng)深入提供商網(wǎng)絡(luò)的腹地，穿越了邊界防火墻。云計(jì)算內(nèi)部的資源不再是由某個(gè)用戶(hù)獨(dú)享，而是幾萬(wàn)、幾十萬(wàn)甚至更多互相不認(rèn)識(shí)的用戶(hù)共有，當(dāng)然也包含一些惡意用戶(hù)，這些用戶(hù)可以輕而易舉進(jìn)入云計(jì)算內(nèi)部，竊取私密信息。傳統(tǒng)劃分安全域做隔離已經(jīng)行不通了，哪里有云計(jì)算提供的服務(wù)，哪里就需要安全，安全防護(hù)要貫穿到整個(gè)云計(jì)算的所有環(huán)節(jié)，這無(wú)疑將提升云計(jì)算安全部署的成本，即便這樣防御效果還不見(jiàn)比以前好。

虛擬化難捕捉

云計(jì)算時(shí)代，一臺(tái)服務(wù)器上可以運(yùn)行十臺(tái)虛機(jī)，這些虛機(jī)還可能屬于十個(gè)不同用戶(hù)。攻擊者虛擬機(jī)可直接運(yùn)行在這臺(tái)服務(wù)器的內(nèi)存里面，僅僅是使用一個(gè)虛擬層隔離，一旦攻擊者掌握了可以穿透虛擬層漏洞，就可以毫不費(fèi)力完成入侵，常見(jiàn)的虛擬化層軟件如XEN、KVM都能找到類(lèi)似安全漏洞。一般服務(wù)器是一臺(tái)標(biāo)準(zhǔn)Linux服務(wù)器，運(yùn)行著標(biāo)準(zhǔn)的Linux操作系統(tǒng)以及各種標(biāo)準(zhǔn)的服務(wù)，被攻擊者攻破的通道很多。為了實(shí)現(xiàn)虛擬機(jī)自動(dòng)遷移，虛擬化技術(shù)被應(yīng)用于云計(jì)算網(wǎng)絡(luò)中，這種虛擬網(wǎng)絡(luò)是一個(gè)大二層架構(gòu)，甚至是跨越機(jī)房、跨越城市的大二層架構(gòu)。在這樣一個(gè)超大的二層虛擬網(wǎng)絡(luò)中，ARP欺騙、以太網(wǎng)端口欺騙、ARP風(fēng)暴、NBNS風(fēng)暴等二層內(nèi)部的攻擊問(wèn)題，危害性都遠(yuǎn)遠(yuǎn)超過(guò)了它們?cè)趥鹘y(tǒng)網(wǎng)絡(luò)中的影響。

數(shù)據(jù)泄露量大

在傳統(tǒng)網(wǎng)絡(luò)中也存在數(shù)據(jù)泄露威脅，但在云計(jì)算環(huán)境中數(shù)據(jù)泄露嚴(yán)重性更高。由于云服務(wù)器上保存了大量客戶(hù)的隱私數(shù)據(jù)，在多租戶(hù)環(huán)境下，一個(gè)客戶(hù)應(yīng)用存在漏洞可能就會(huì)導(dǎo)致其他客戶(hù)數(shù)據(jù)的泄露。數(shù)據(jù)泄露不僅導(dǎo)致商業(yè)機(jī)密、知識(shí)產(chǎn)權(quán)和個(gè)人隱私的泄露，而且對(duì)企業(yè)而言可能產(chǎn)生毀滅性打擊。云計(jì)算依托的基礎(chǔ)就是海量數(shù)據(jù)，只有在超大型的數(shù)據(jù)中心才能充分發(fā)揮作用，而海量數(shù)據(jù)若發(fā)生泄露，造成的損失很大，尤其是各種數(shù)據(jù)混雜在一起，做不好數(shù)據(jù)防護(hù)，很容易被人所竊取。惡意黑客會(huì)使用病毒、木馬或者直接攻擊方法永久刪除云端數(shù)據(jù)來(lái)危害云系統(tǒng)安全。

攻擊頻率急劇增大

正所謂“樹(shù)大招風(fēng)”，沒(méi)有部署云計(jì)算時(shí)，承載信息服務(wù)的各個(gè)數(shù)據(jù)中心散列在各處，即便被攻擊，受影響的面都不會(huì)太大。現(xiàn)在的數(shù)據(jù)中心建設(shè)規(guī)模都很大，因?yàn)橹挥幸?guī)模上去，云計(jì)算的優(yōu)勢(shì)才能更加明顯。所以現(xiàn)在擁有數(shù)十萬(wàn)臺(tái)服務(wù)器的數(shù)據(jù)中心屢見(jiàn)不鮮，這就將很多數(shù)據(jù)集中在一起，再交由云計(jì)算處理。擁有海量數(shù)據(jù)的數(shù)據(jù)中心，目標(biāo)太大，很容易成為別人的目標(biāo)。還有云計(jì)算用戶(hù)多樣性而且規(guī)模巨大，這樣遭受的攻擊頻率也是急劇增大。以阿里云為例，平均每天遭受數(shù)百起DDoS攻擊，其中50%攻擊流量超過(guò)5GBit/s。針對(duì)WEB的攻擊以及密碼破解攻擊更是以?xún)|計(jì)算。這種頻度的攻擊，給安全運(yùn)維帶來(lái)巨大的挑戰(zhàn)。

除此之外，不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級(jí)持續(xù)性威脅、審查不充分、惡意SaaS應(yīng)用、共享技術(shù)問(wèn)題等等，都是云計(jì)算要面臨的安全威脅。解決好云計(jì)算安全威脅問(wèn)題，將會(huì)為云計(jì)算的發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)，讓更多的人樂(lè)于接受云計(jì)算，將自己的信息數(shù)據(jù)安心放到云計(jì)算應(yīng)用中來(lái)。在這里將云計(jì)算的安全威脅比作了集中營(yíng)，就是希望放到集中營(yíng)中的安全威脅越來(lái)越少，最后集中營(yíng)能夠解散掉，徹底消除各種云計(jì)算安全威脅。云計(jì)算的建設(shè)者已經(jīng)意識(shí)到解決安全問(wèn)題的急迫性，已經(jīng)提出了不少抵御安全威脅的解決方案，這些都有待實(shí)踐來(lái)驗(yàn)證。這個(gè)過(guò)程一定還有很長(zhǎng)的路要走，需要依賴(lài)技術(shù)、管理和產(chǎn)業(yè)等各行業(yè)的共同努力才能實(shí)現(xiàn)。