云計算的最大安全風險:安全責任不清
分析師表示,虛擬化和云計算不會影響到大多數公司的在線安全。但是由于IT服務客戶想當然的認為他們的云計算提供商應當承擔安全責任,這使得這些客戶變得易于遭受攻擊。與此同時,虛擬化和云計算也在其中起到推波助瀾的作用。
科技商務研究公司負責服務器問題的分析師Ezra Gottheil稱:“安全和云托管是兩個獨立的事物,入門的花費很低,通常也十分簡單。客戶或許不會花很多心思考慮許應當為安全負責。”
在本周公布的報告中,市場研究公司Gartner認為云計算的安全責任并不明確。他們認為有必要獲得云服務是如何工作的信息列表以及明確寫明了客戶的希望與要求的服務級協議。
在今年三月份,云安全聯盟進行的研究列出了云計算存在的七個頂級安全風險,其中有一項就是客戶忽視了安全實踐,而服務提供商拒絕提供信息以解決這一安全風險。據云安全聯盟的研究顯示,云項目和它們面臨的風險可能會受到云部署的事實而變得極為復雜。如今云所展示出來的優勢以及一些團體正積極推動云部署。值得擔憂的是這些團體可能并沒能緊跟上安全形勢的發展。
451集團分析師Josh Corman稱,云計算業務的特性意味著許多客戶或潛在客戶并不清楚當他們將一個網站或是公司的應用放在其他人的硬件上時,他們是如何暴露在風險之中的。
負責托管和保護客戶應用安全的云服務商FireHost公司的首席執行官Chris Drake稱,即便不是如此,大多數云和網站托管客戶也都想當然的認為他們的服務提供商負有保護他們網站安全的責任。
#p#
云計算客戶是如何受害的
金融服務公司LawLeaf是FireHost最近才發展的一個客戶,該公司主要業務是為那些籌資打官司的人提供貸款。在經歷了一場幾乎導致公司倒閉的攻擊后,LawLeaf最終放棄了他們原先選擇的網絡托管服務商BlueHost。
LawLeaf公司的總經理Tim Burke稱他在2007年以很少的資金開始運營這個公司,當時他的主要工作是向非營利公司出售成員管理軟件,運營公司只是他的一個副業。他最初選擇了BlueHost托管LawLeaf.com,選擇BlueHost的原因是該公司的名聲和每月6.95美元的服務費用。Burke稱,在今年年初LawLeaf.com開始走下坡路之前,他對BlueHost的服務還中相當滿意的。
在今年一月份,LawLeaf.com遭到了SQL注入式攻擊。攻擊導致網站頻繁崩潰,更為糟糕的是網站還在沒有任何防備的用戶電腦中強行安裝惡意插件。Burke稱,到了二月份,網站每周都會崩潰兩次,而到了三月份,網站的崩潰頻率已經到了一天一次的地步。
惡意插件的下載使得LawLeaf受到了來自谷歌的警告。Burke稱,如果LawLeaf不解決這一問題,那么谷歌將禁止他們的網站出現在搜索結果列表中。
由于LawLeaf的大多數業務來自自己的網站,頻繁的崩潰導致公司的業務下滑,影響到了公司的信譽。
Burke稱:“由于網站問題,我們失去了許多業務,我們每天都會損失數千美元。我最為擔心的是向客戶推薦我們服務的律師。客戶向我們提供了機密文件,律師向客戶推薦我們進行融資。如果我們的網站每時每刻都在受到黑客攻擊,那么客戶根本不會信任我們。”
對于LawLeaf來說,幸運的是通過電子郵件發過來的客戶文件并沒有受到影響。Burke稱,盡管如此,網站的每一次崩潰都對公司的聲譽產生了嚴重的負面影響。
Burke指出,在網站崩潰時,BlueHost會對他進行提醒,并做出一些初步分析以確定問題并不在他們的服務器上。他稱,BlueHost從來就沒有采取進一步行動以解決這一問題。
Burke稱:"他們僅僅是不停的告訴我殺毒或是關閉我們的網頁。我按他們的說法嘗試了許多次,但是網站還是不斷的崩潰。"
BlueHost公司的重點是為客戶和規模較小的公司提供低廉的托管服務。除了每月收費只有6.95美元的基本服務外,他們并不提供更為高級的服務,也不會對客戶多次反應的問題做出回應。
由于LawLeaf.com的問題一直沒有解決,Burke將服務商換成為了FireHost。FireHost承諾將阻止今后的攻擊或是在出現攻擊后進行防范。Burke稱,現在他們每月要支付400美元的服務費。在接管了LawLeaf.com后,FireHost就分離了基于PHP的頁面,清除了問題代碼。
FireHost的首席執行官Drake稱:"實際上,LawLeaf在關閉PHP頁面方面采取了很好的措施。但是之所以還是不斷的出現問題是因為數據庫中存在有大量的SQL注入代碼。"
Burke稱為了得到更好的服務,他們曾經向BlueHost公司支付了不少錢。到目前為止,Burke仍然認為BlueHost應當負責網站的安全,有義務解決惡意插件問題。
盡管BlueHost的承諾中正常運行率和可靠性高達99.5%,但是公司并沒有對LawLeaf.com的安全問題負起責任。科技商務研究公司分析師Gottheil稱:"在這個案例中,我并不能確定這是機制問題。但是由于SQL注入攻擊經常會通過他們自己的網頁進行攻擊,無論客戶知道與否,防范這類攻擊應當是客戶的責任。"
LawLeaf和BlueHost的案例向我們展示了為什么云計算客戶需要搞清楚誰應當承擔安全責任的原因。
【編輯推薦】
