盤點云計算安全5大缺陷
云計算安全缺陷分析
安全專家表示,企業在將他們的基礎架構遷移到云的過程中必須對安全風險提高警惕。SensePost安全公司的技術總監Haroon Meer在黑帽安全大會上介紹了他們的團隊對亞馬遜在線的彈性計算云的研究成果,他表示"用戶使用云基礎架構的最終目的是為了節約金錢,但是如果沒有采取任何審計措施,他們就會成為安全風險最高的用戶"。
他們的經驗說明企業經常會忽略對來自提供商的第三方計算機實例進行掃描。Meer表示這樣以特洛伊木馬攻擊形式出現的惡意實例就能輕而易舉的入侵公司的內部網絡。
對于云計算安全缺陷的參考經驗
1.企業必須意識到云經常缺乏合法的保護,那些云上的數據在搜索和捕捉方面遵循的合法標準級別還比較低,政府或者立法者無需搜查證就可以檢索數據。云提供商更加關心的是保護自己而不是用戶,因此不要奢望那些服務協議中的法律術語會對你的公司有利。
所有這些提供云服務的企業都有非常活躍和經過專業培訓的法律部門。因此當你訂閱這些服務要認可他們制定的協議時,基本上對用戶起不到任何保護作用。
如果因為供應商的錯誤導致數據被入侵,客戶要同意不追索實質責任。如果由于數據中心故障導致數據丟失,提供商也不承擔相關責任,如果協議中說明他們將嘗試為你提供幫助,那已經算不錯了。
如果協議中說明出現安全缺口他們將嘗試為你提供幫助,那是件好事,看起來在冰冷無情的法律條文和公司希望達到的安全道德規范之間還存在著差異。
2.沒有哪家硬件廠商希望對他們的提供商進行審計,他們也不想對公司以外的硬件進行測試。進行風險掃描或者滲透測試需要得到云服務提供商的許可,否則客戶就是在入侵提供商的系統。
盡管某些服務協議,比如說亞馬遜的服務協議詳細標明客戶可以對提供商系統上運行的軟件進行測試,得到許可是很重要的。
3.云計算為企業帶來巨大的效益的同時還需要強大的協議和用戶培訓的保障,比如說允許企業用戶隨時隨地訪問數據,從IT員工處獲取幫助來解決維護問題,始終如一的服務意味著對家庭辦公的員工造成傷害的釣魚攻擊也會對公司造成威脅。
因此培訓用戶提高風險意識,不僅是針對他們自己還有他們的公司,這一點是很關鍵的。讓企業內部所有的非技術人員都了解如何防范釣魚風險是非常困難的,但是事實上對于軟件即服務來說,釣魚攻擊正在逐漸為個人所熟知,并且開始成為企業內部都了解的安全問題
4.當使用來自提供商的虛擬機時不要信賴計算機實例,比如說亞馬遜在線的彈性計算云基礎架構上建立的第三方實例等,企業用戶不應該信賴任何系統。
公司的研究專家對大量事先設置的實例進行了掃描,結果發現高速緩存和信用卡數據中的驗證鑰潛伏著隱藏在系統內部的惡意代碼。他們發現大部分用戶在使用第三方研發人員創建的計算機映像時都沒有考慮到安全因素。一些用戶還在這些預先設置的映像上建立了完整的驗證服務器。
企業用戶必須根據內部用途創建他們自己的映像,或者運用技術和法律手段對他們進行保護,使他們免受惡意的第三方研發人員的傷害。
5.在考慮安全性時必須重新考慮所有的假設,企業信息技術管理者必須對云上的配置重新考量。
舉例來說,當配置一款在虛擬數據中心的計算實例中運行的應用軟件時,那些依靠隨機數發生的特性未必會按照期望來運行。問題是虛擬系統比起物理系統的信息量要少,因此隨機數是可以推測出來的。
云計算的缺陷是事實存在的,云計算雖然給我們的生活帶來很多方便,但是認識云計算的缺點更有利于我們更深刻的認識它。
【編輯推薦】
