引云小心威脅上了身 五個易忽視的云計算風險
原創【2011年3月2日51CTO外電頭條】缺乏對于安全風險的了解是阻礙云計算最重要的因素之一。
關于安全問題接二連三的報告成為了減緩云部署速度的最大障礙。隨著企業從物理環境轉向虛擬化和基于云的環境,安全威脅也就發生了變化,而這一點常常被人們忽視,即便是云倡導者也不例外。
病毒、惡意軟件和網絡釣魚仍然值得關注,但是類似于虛擬機發起的攻擊、多租戶風險和管理程序缺陷將會是現在的安全管理員們所面臨的主要挑戰。下面列出五個容易被忽視但是可能危及你的云計算的威脅。
1. DIY安全
通過遮遮掩掩而實現太平的日子已經過去了。在過去,如果你是一個匿名的中小型企業,你所擔心的威脅也同樣是典型的消費者所面臨的威脅:病毒、網絡釣魚或者尼日利亞419詐騙等等。黑客們沒有足夠的能力滲透到你的網絡中去,所以你不用擔心類似于DDoS攻擊——這些是只有服務器供應商才會遇到的問題。還記得一個老紐約畫的漫畫:“在互聯網的世界里,沒有人知道你是誰,哪怕你是條狗。”而在云中,沒有會知道你是一家中小型企業。
“只是作一個小型網站不能再給予你任何保護,”IBM安全服務副總裁Marisa S. Viveros說。“威脅可能來自四面八方。在美國并不意味著你只會受到美國本土的威脅,任何人都有可能從任何地方對你進行攻擊,比如中國、俄羅斯、索馬里。”
從某種程度上來說,這只是某段時間的情況,但是當有針對性的攻擊擴展到了全球范圍,如果你與一個高知名度的企業共享同一個基礎架構,你可能會不幸的成為攻擊者們的登陸場,他們會利用你來襲擊你邊上闊綽的鄰居。
換言之,下一次中國或者和羅斯黑客攻擊一家主要的云供應商的時候,你很有可能會受到間接的損失。這一切都表明,DIY安全對此已經不再有效。另外,讓一個超額工作的IT負責人來協調你的安全問題也會是一個可怕的想法。
隨著越來越多的企業轉向基于云的基礎架構,只有擁有雄厚資金的大型企業才能夠自己處理安全問題。任何其他人都必須開始開始思考安全作服務,這才可能是最終有效的出路。
#p#
2.私有云并非私有
具備高度安全警惕的企業在云中也會感覺不適,其中一個原因就是私有云的采用。對于部署私有云的企業來說,想要做到面面俱到似乎不太容易。他們在云中獲得了成本和效率的回報,同時也避免了可能察覺到的公共云項目所所帶來的風險。
不過,很多私有云并非都是稱得上真正的私有。“許多‘私有’云基礎架構事實上是由第三方進行托管的,所以這些架構是開放的,內部人員可以利用這一點從供應商那兒進行訪問,所以缺乏安全和風險的透明度,”數據保護商CREDANT Technologies的產品市場負責人Geoff Webb這樣評論道。
你所看到的關于云安全問題的處理方式通常仍舊很過時。在最近召開的RSA大會上,無數人告訴我云安全的關鍵在于從細節上明確涵蓋安全問題的具體的SLA(服務等級協議)。如果堅持劃定的責任并且供應商也對此負責,那么你就可以安心地繼續了。
這的確有些道理,但是與其相信供應商會遵循SLA,不如相信你自己。你——做為一個非服務供應商——在敏感IP被竊取或者用戶資料發生泄露的時候,面對董事會或者客戶指責的將會是你自己。
一個服務供應商所都兜售的安全標準可能對安全問題并不能做到百分之百的小心。畢竟,這是高科技,而安全問題總是出現在事后。
#p#
3.私有和混合云中的多租戶風險
在構建私有云或者混合云的時候,許多企業都會碰壁。最簡單的東西已經被虛擬化,比如測試開發和文件打印。
“許多企業已經擁有30%的虛擬化架構。他們希望這個數字能夠達到60%或者70%,但是比較容易的事情都已經做完了。他們正試圖接觸關鍵性的工作負載,但是這個時候安全問題總會成為嚴重的障礙,”HyTrust的虛擬化和云安全負責人Eric Chiu說。
多租戶并非嚴格意義上公共云問題。不同的企業擁有不同的安全實踐,但是卻可能在私有云和混合云中占用同一個基礎架構。
“在面臨系統風險的時候,一家擁有良好安全實踐的企業可能會被一家安全實踐較差的姊妹公司所拖累。類似的事情真的很難衡量和解釋,尤其是在大型跨國企業中,事情更是如此,”Webb說。
另一個問題是應用層。在設計不當的私有云中,非關鍵任務應用程序通常與關鍵任務應用程序共享相同的資源。“大多數企業如何將它們分開呢?”Chiu問道。
“他們氣隙它,所以,對于大多數虛擬化和私有云環境而言最大的威脅就是配置錯誤,”他說。“80%的停機都是由不恰當的行政更變所造成的。”
#p#
4.糟糕的安全管理程序和過度緊張的IPS(入侵防御系統)
每一項新技術都會帶來新的漏洞,用來彌補這些云或者虛擬化漏洞的是管理程序。
“許多人對于確保虛擬化架構的安全這一點置之不理。管理程序本質上其實是一個網絡。你在這些機器上面運行整個網絡,而大多數人卻對于其中的流量類型一無所知,”Anthony說。
緩沖區溢出攻擊成為應付管理程序最好的辦法,管理程序總是突然出現在各種設備中,人們有時候甚至認為不曾擁有過他們,比如Xbox 360等等。
企業們總認為他們能夠駕馭自己云內部的信息流量,但是他們可能是在自欺欺人,特別是如果他們依賴于傳統的安全工具。眾所周知,他們需要一個IPS解決方案來保護自己的云部署,但是他們卻對實際問題的嚴重程度毫不知情。
此外,很多這樣的應用程序在默認的情況下都擁有數據包檢測設置。換句話說,如果設備正忙于處理視頻流量,大部分數據流量都能夠安全地通過,只有很少一部分會被檢測成為威脅。
IPS通常只會發出低層次的警報或者日志記錄,但是要不是發現了問題,又有多少IT企業有時間來查看這些記錄呢?在虛擬化云環境下,企業們需要一個擁有不同保護措施的陣列,而他們對這一點往往后知后覺,所以總是進行傳統的內部設置。或者他們意識到了這一點,但是卻因為預算和時間的限制而選擇對它無視。
在RSA會議上,我與IBM的安全管理人員進行了交談。他們向我推薦了一系列安全解決方案,這些方案能夠更好地保護你的云環境,其中包括擁有20GBps容量的IPS解決方案、DLP和應用程序安全等。從這些建議里,我們不難總結出這樣的結論,安全問題正成為大多企業靠自己的力量無法逾越的障礙(參見第一條)。
#p#
5.來自內部的威脅
來自內部的威脅是否讓你徹夜難眠?不幸的是,虛擬化和云助漲了內部威脅的氣焰——至少眼下如此。
“現在,擁有托管數據和系統訪問權限的管理員的數量要比原來少了很多,因為云系統是由一個專門的云架構管理團隊進行管理的。這就可能讓敏感數據對一些個人開放,而他們之前可能并沒有這樣的訪問權限,于是,來自內部的風險也就大大提高了,”Webb說。如此看來,相比在物理環境下,在虛擬化環境中竊取關鍵數據資源也就變得更簡單了。
“當銀行出臺了限制政策,人們總是會擔心有些人闖入了物理數據中心然后劫走了一箱磁盤,然后堂而皇之地走出來,”Chiu說。這種擔心會刺激對于靜態數據更為頻繁地加密。
當數據加密仍然是一種監督手法的時候,又如何在虛擬環境中竊取相同的資料呢?
“如果你擁有管理憑據,你選擇自己想要的虛擬機,右鍵點擊并且復制它,”Chiu說。要想發現某個人捧著一箱磁盤走出辦公大樓并不困難。所以一臺USB驅動的虛擬機不見得會讓你惹出麻煩。
原文名: 5 Overlooked Threats to Cloud Computing 作者:Jeff Vance
【本文乃51CTO精選譯文,轉載請標明出處!】
【編輯推薦】
