企業(yè)應(yīng)用云計(jì)算的場(chǎng)景越來(lái)越多，投資也越來(lái)越大。目前唯一能造成大型企業(yè)高層們?cè)谌∩嵩朴?jì)算時(shí)猶豫的原因就是云計(jì)算的安全問(wèn)題。然而，如何對(duì)即將或者正在使用的云計(jì)算進(jìn)行安全評(píng)估乃至加固，大多數(shù)企業(yè)并沒(méi)有概念，因此也很難在使用云計(jì)算獲得效率和便利以及安全兩個(gè)方面達(dá)成一致和共識(shí)。

基于此，本文針對(duì)云計(jì)算的風(fēng)險(xiǎn)類型采用經(jīng)典的“CIA三性”，即機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)來(lái)進(jìn)行界定，并針對(duì)性地提出相關(guān)的防御、檢測(cè)、阻止措施，然后給出通過(guò)這些措施后仍然存在的剩余風(fēng)險(xiǎn)，以給企業(yè)的高層們提供云計(jì)算實(shí)踐中的有益參考。

“C”：機(jī)密性(Confidentiality)風(fēng)險(xiǎn)

這些風(fēng)險(xiǎn)與隱私和信息控制相關(guān)的缺陷、威脅有關(guān)，假定你想以一種受控制的方式，使信息只對(duì)那些需要它的實(shí)體可用，而不暴露給未經(jīng)授權(quán)的第三方。

1)數(shù)據(jù)泄漏、盜竊、曝光、轉(zhuǎn)發(fā)

用戶數(shù)據(jù)和其他類型的知識(shí)產(chǎn)權(quán)通過(guò)有意無(wú)意的方式造成的信息丟失。數(shù)據(jù)泄漏有四個(gè)主要的威脅中介：外界盜竊，內(nèi)部蓄意破壞(包括未經(jīng)授權(quán)的數(shù)據(jù)打印，復(fù)制或轉(zhuǎn)發(fā))，授權(quán)用戶無(wú)意濫用，還有不明確政策造成的錯(cuò)誤。

防御：軟件控制通過(guò)數(shù)據(jù)丟失防控(DLP)方案來(lái)防止不恰當(dāng)?shù)臄?shù)據(jù)訪問(wèn)。避免將敏感、機(jī)密或個(gè)人識(shí)別(PII)的信息放在云中。

檢測(cè)：使用水標(biāo)記和帶有監(jiān)控軟件的數(shù)據(jù)分類標(biāo)簽來(lái)追蹤數(shù)據(jù)流。

阻止：在與那些指定了強(qiáng)制執(zhí)行和保護(hù)數(shù)據(jù)隱私的服務(wù)提供商的合同協(xié)議中，使用清晰而有力的語(yǔ)言。

剩余風(fēng)險(xiǎn)：在云供應(yīng)商的環(huán)境中，涉及到多個(gè)不可追蹤的邏輯磁盤存儲(chǔ)位置，以及將私有數(shù)據(jù)暴露給管理員的供應(yīng)商管理訪問(wèn)問(wèn)題相關(guān)的數(shù)據(jù)持久性問(wèn)題。

2)探測(cè)、數(shù)據(jù)包檢測(cè)、數(shù)據(jù)包重新發(fā)送

有意通過(guò)未經(jīng)授權(quán)的網(wǎng)絡(luò)截取來(lái)捕獲信息，使用工具來(lái)截獲網(wǎng)絡(luò)包，或者重現(xiàn)網(wǎng)絡(luò)交易和重發(fā)已傳送的數(shù)據(jù)。

防御：通過(guò)使用加密文件的強(qiáng)大的加密技術(shù)(如PGP)，以及在網(wǎng)絡(luò)上的服務(wù)器之間進(jìn)行的網(wǎng)絡(luò)加密技術(shù)(如TLS,SSL,SFTP)，來(lái)加密靜態(tài)數(shù)據(jù)和傳輸?shù)臄?shù)據(jù)。對(duì)于提供鏈路層數(shù)據(jù)加密是云提供商進(jìn)行優(yōu)先考慮。

檢測(cè)：目前，我們還不能很好地發(fā)現(xiàn)何時(shí)有人截獲了你的數(shù)據(jù);然而，IDS功能可以幫助識(shí)別那些可能指示未授權(quán)范圍意圖的網(wǎng)絡(luò)上的異常行為。

阻止：將未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)轉(zhuǎn)移到使用特定合同的語(yǔ)言的服務(wù)供應(yīng)商。

剩余風(fēng)險(xiǎn)：利用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)缺陷，入侵服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及直接訪問(wèn)網(wǎng)絡(luò)設(shè)備的方式，來(lái)從網(wǎng)絡(luò)中盜取數(shù)據(jù)。

3)不恰當(dāng)?shù)墓芾韱T訪問(wèn)權(quán)限

使用特權(quán)訪問(wèn)權(quán)限等級(jí)的工作，通常保留給系統(tǒng)管理員，這些管理員對(duì)系統(tǒng)和系統(tǒng)可以訪問(wèn)的所有數(shù)據(jù)提供訪問(wèn)，以便在不需通過(guò)系統(tǒng)認(rèn)證過(guò)程的情況下，來(lái)瀏覽數(shù)據(jù)和做出調(diào)整。管理員有繞過(guò)所有安全控制的權(quán)利，這可以用來(lái)故意或錯(cuò)誤地?fù)p害私人數(shù)據(jù)。

防御：最小化每一個(gè)提供云服務(wù)功能的管理員的數(shù)量——服務(wù)器，網(wǎng)絡(luò)和存儲(chǔ)(最好是少于十個(gè)而多于五個(gè)管理員)。此外，還有確保執(zhí)行一個(gè)徹底的背景審查來(lái)篩選服務(wù)提供商的全體人員。在雇傭一個(gè)云提供商或與之簽署協(xié)議時(shí)，需要進(jìn)行供應(yīng)商的安全檢查來(lái)確保他們的做法有效。

檢測(cè)：按月或按季檢查云提供商對(duì)他們內(nèi)部基礎(chǔ)設(shè)施的管理訪問(wèn)日志。

阻止：只選擇那些可以證明是強(qiáng)健的系統(tǒng)，并且擁有希望認(rèn)同客戶條件的網(wǎng)絡(luò)管理方法的云提供商。

剩余風(fēng)險(xiǎn)：由于管理員擁有全部的控制權(quán)限，他們肯能會(huì)有意或無(wú)意地濫用其訪問(wèn)權(quán)限，從而導(dǎo)致個(gè)人信息或服務(wù)可用性二者的折衷。

4)持久性存儲(chǔ)

在一個(gè)數(shù)據(jù)不再被需要，或者已經(jīng)被刪除之后，數(shù)據(jù)可能仍然保留在磁盤上。數(shù)據(jù)可能被刪除但一定不可能被覆蓋，所以未授權(quán)的個(gè)人進(jìn)行之后的數(shù)據(jù)恢復(fù)的風(fēng)險(xiǎn)性就提高了。

防御：當(dāng)磁盤被更換或者重新分配時(shí)，堅(jiān)持要求供應(yīng)商持有抵御磁盤擦除管理的方案。無(wú)效磁盤應(yīng)消磁或銷毀，以防止數(shù)據(jù)泄露。

檢測(cè)：你不能發(fā)現(xiàn)何時(shí)你的數(shù)據(jù)存儲(chǔ)在一個(gè)已經(jīng)脫機(jī)的磁盤上。

阻止：在選擇供應(yīng)商之前應(yīng)建立磁盤擦除的方案，確保合同語(yǔ)言明確規(guī)定了這些要求。

剩余風(fēng)險(xiǎn)：數(shù)據(jù)在被刪除很久之后，仍保留在物理介質(zhì)上。

5)存儲(chǔ)平臺(tái)攻擊

直接攻擊SAN或存儲(chǔ)基礎(chǔ)設(shè)施，包括使用一個(gè)存儲(chǔ)系統(tǒng)的管理控制，可以提供對(duì)私有數(shù)據(jù)的訪問(wèn)，并且是繞過(guò)建立在操作系統(tǒng)內(nèi)部的控制設(shè)置，因?yàn)椴僮飨到y(tǒng)在回路的外面。

防御：確保提供商在他們的存儲(chǔ)系統(tǒng)上，已經(jīng)實(shí)現(xiàn)了強(qiáng)健的分區(qū)和基于角色的訪問(wèn)控制，并確保對(duì)供應(yīng)商存儲(chǔ)系統(tǒng)管理接口的訪問(wèn)不能通過(guò)用戶網(wǎng)絡(luò)來(lái)進(jìn)行。

檢測(cè)：為存儲(chǔ)網(wǎng)絡(luò)實(shí)現(xiàn)IDS，且按季檢查存儲(chǔ)系統(tǒng)訪問(wèn)控制日志。

阻止：確保云服務(wù)供應(yīng)商具有強(qiáng)健的法律代理功能，并能夠承諾查明和起訴攻擊者。

剩余風(fēng)險(xiǎn)：數(shù)據(jù)可直接從SAN被盜，之后你也許能發(fā)現(xiàn)，也許一點(diǎn)兒也不會(huì)意識(shí)到。

6)數(shù)據(jù)誤用

有權(quán)訪問(wèn)數(shù)據(jù)的人也有可能對(duì)這些數(shù)據(jù)做其它操作，包括不被允許執(zhí)行的操作。比如，泄漏信息給競(jìng)爭(zhēng)對(duì)手的員工，測(cè)試生產(chǎn)數(shù)據(jù)的開(kāi)發(fā)者，以及從組織者私有網(wǎng)絡(luò)的受控環(huán)境中取出數(shù)據(jù)，放入無(wú)保護(hù)的主環(huán)境的人。

防御：對(duì)員工而言，使用類似于私有數(shù)據(jù)網(wǎng)絡(luò)的安全控制，如DLP，基于角色的訪問(wèn)控制，和干擾測(cè)試和開(kāi)發(fā)數(shù)據(jù)。破壞發(fā)送電子郵件附件到外部地址的能力。

檢測(cè)：使用水標(biāo)記和帶有監(jiān)控軟件的數(shù)據(jù)分類標(biāo)簽來(lái)追蹤數(shù)據(jù)流。

阻止：使用為阻止人們從受控環(huán)境中傳輸數(shù)據(jù)到一個(gè)不受控環(huán)境的行為進(jìn)行處罰和制裁的安全意識(shí)方案。

剩余風(fēng)險(xiǎn)：人們可以找到一些控制策略來(lái)把數(shù)據(jù)放到可能被盜竊或誤用的未受控環(huán)境中。

7)騙局

非法(或欺騙性)獲得未經(jīng)授權(quán)訪問(wèn)的信息。欺詐行為可以是外人犯下的，但通常是由受信任的雇員犯下。

防御：采用審查和為減少對(duì)單一個(gè)體的依賴而進(jìn)行充分分離的平衡。確保業(yè)務(wù)流程包括了審查管理和批準(zhǔn)。

檢測(cè)：對(duì)計(jì)算機(jī)系統(tǒng)訪問(wèn)和數(shù)據(jù)使用執(zhí)行定期審計(jì)，特別要注意未經(jīng)授權(quán)的訪問(wèn)。

阻止：確保對(duì)員工有一個(gè)合適的懲罰程序。對(duì)于服務(wù)提供商而言，通過(guò)合同的書面語(yǔ)言來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)。

剩余風(fēng)險(xiǎn)：欺詐行為可能導(dǎo)致重大的聲譽(yù)和經(jīng)濟(jì)損失。

8)劫持

一個(gè)有效的計(jì)算機(jī)會(huì)話，有時(shí)也稱為會(huì)話密鑰——以獲取對(duì)一個(gè)計(jì)算機(jī)系統(tǒng)上信息和服務(wù)的未授權(quán)訪問(wèn)的開(kāi)發(fā)，尤其是對(duì)遠(yuǎn)程服務(wù)器訪問(wèn)進(jìn)行用戶驗(yàn)證的神奇的cookie的盜用。例如，用來(lái)維持許多網(wǎng)站上會(huì)話的HTTP Cookie可以通過(guò)使用中間計(jì)算機(jī)或訪問(wèn)受害者的計(jì)算機(jī)上保存的Cookie來(lái)盜取。如果攻擊者能夠竊取這個(gè)cookie ，攻擊者可以像真正的用戶一樣對(duì)數(shù)據(jù)操作進(jìn)行請(qǐng)求，獲得對(duì)特權(quán)信息的訪問(wèn)或更改數(shù)據(jù)。如果這個(gè)cookie是一個(gè)永久性的Cookie，那么這種假冒行為可以持續(xù)相當(dāng)長(zhǎng)的一段時(shí)間。在這種情況下，通過(guò)雙方傳遞密鑰來(lái)維持的協(xié)議是脆弱的，尤其是當(dāng)它沒(méi)有被加密時(shí)。這同樣適用于云環(huán)境的管理憑據(jù)，如果整個(gè)云環(huán)境是通過(guò)會(huì)話密鑰來(lái)管理的，那么整個(gè)的環(huán)境可以被有效利用會(huì)話劫持攻擊所占據(jù)。

防御：從那些采用強(qiáng)健的已被加密的準(zhǔn)確會(huì)話密鑰，來(lái)著重強(qiáng)調(diào)這種風(fēng)險(xiǎn)的服務(wù)提供商中查找堅(jiān)實(shí)的身份管理的實(shí)現(xiàn)。作為客戶，應(yīng)使用良好的密鑰管理流程和方案，密鑰托管和密鑰恢復(fù)方案，這樣員工的離職并不會(huì)導(dǎo)致服務(wù)的不可管理。

檢測(cè)：定期檢查云資源的訪問(wèn)日志和它們的管理接口，以鑒定異常情況。

阻止：對(duì)阻止劫持者在積極的法律響應(yīng)之外進(jìn)行會(huì)話劫持，我們還不能采用有效措施來(lái)應(yīng)對(duì)。

剩余風(fēng)險(xiǎn)：攻擊者可能冒充的云服務(wù)的有效用戶甚至可以使用管理憑據(jù)來(lái)鎖定，并損壞企業(yè)整個(gè)的基礎(chǔ)設(shè)施。