2014年中國云計算產業繼續保持2013年的發展態勢，并逐漸與游戲、移動互聯網、大數據等產業相結合產生放大效應。凡事皆有利弊，隨著規模擴大 及目標價值增長，許多黑客開始關注這一新興領域的“潛在價值”。不知不覺中，暗流涌動，“安全之戰”響徹“云”霄。下面分別從IaaS、PaaS、SaaS三種服務模式談一談云計算領域的攻防趨勢。

IaaS層面

我們可以看到IssS層面主要有三種攻擊方式。

分布式拒絕服務攻擊(DDoS)。迄今為止DDoS攻擊仍然是最有效的攻擊手段，且隨著DDoS技術進步，這種攻擊成本越來越低，并且在將來很長一段 時間內仍然無法根治。這種攻擊隱蔽且非常有效，UCloud在今年5月就遭受到63G的大流量攻擊。這對IaaS廠商來說是致命的，長時間的業務中斷，任 何客戶都承受不起。利用NTP的反射型DDoS可以說是DDoS中的核武器、殺手锏，可將攻擊流量放大至200倍，如四兩撥千斤般，幾乎可以打癱任何廠商 的帶寬出口，國外CDN廠商CloudFlare今年年初就遭受到400G的反射型流量攻擊。

Web攻擊。為了提升交互體驗，云服務商都會提供一個Web方式的管理控制臺，若控制臺自身存在漏洞，一定會造成危害。這種漏洞主要來自兩方面。一方 面是程序代碼對輸入信息校驗不完整或程序邏輯有誤造成的漏洞。例如，某云計算巨頭廠商基于開源軟件ElasticSearch開發的搜索工具存在遠程執行 的漏洞，可以執行任意命令和寫文件操作。另一方面是部署或使用第三方工具不當造成的漏洞。例如，某云服務商使用OpenSSL不當造成用戶信息泄露，進而 使黑客能夠以該用戶身份登錄并獲取服務器敏感信息。

虛擬機資源濫用。當前云計算業務正處于發展期，一些傳統用戶還處于是否向云計算遷移的糾結中。因此，很多云廠商提供了免費的虛擬機試用服務，黑客正利 用了這一機會并結合其他手段，如批量注冊免費郵箱等，來大量申請免費云計算資源構筑強大的云攻擊環境，并且形成一種商業服務AaaS(Attacks- as-a-Service)，任何人只要購買該服務即可對任意目標發動DDoS攻擊。

PaaS層面

底層IaaS遇到的問題在PaaS層面依然存在。由于PaaS平臺可以托管應用并在其平臺上完成開發工作，如果權限管理不正確的話會導致用戶的App 被篡改乃至被惡意刪除。今年5月，新浪SAE就被發現存在用戶越權操作、可刪除任意用戶的代碼倉庫的漏洞。另外，PaaS平臺提供的數據庫服務，如果數據 庫配置不當也會產生很多安全隱患，有些數據庫甚至缺少強健的身份認證能力，如Redis。如果PaaS廠商對訪問請求沒有限制的話，黑客可以通過暴力破解 方式獲取數據庫密碼，從而導致數據泄露。

今年6月，國外代碼托管服務商Code Spaces(構筑在亞馬遜AWS EC2下的PaaS平臺)由于被黑客惡意刪除了全部數據導致被迫關閉。從中我們看到由于PaaS平臺是構筑在IaaS基礎之上的，用戶不能觸及真正的物理服務器，所以管理服務器的 操作只能通過IaaS提供的控制面板、管理控制臺等Web界面來完成，一旦口令被破解，真實用戶只能眼睜睜看著黑客操控自己的機器。所以我建議IaaS除 了提供必要的基礎安全措施外，還可以進一步考慮提供一些額外的安全機制，比如多因素身份認證等增值服務，給用戶更多選擇。

SaaS層面

SaaS的業務形態主要是以Web方式進行輸出，所以面臨的主要安全風險都集中在SQL注入、跨站腳本(XSS)、API交互缺乏簽名驗證導致仿冒盜用乃至數據泄露等方面。

迄今為止，凡是已公開運營的云服務，無論規模大小，幾乎無一幸免，都或多或少被曝出現過上述漏洞。

云計算安全防范之我所見

安全防御，是一個系統工程，它不僅僅涉及技術，也包括管理手段。特別是在云計算環境中，商業模式、部署方式以及技術架構都發生了重大變化，導致所面臨 的風險也發生了巨大變化。如果管理手段跟不上，就可能造成重大事故。例如，我們一臺開發使用的測試服務器部署在某個云上，但某天突然無法訪問，管理員登錄 管理控制臺后大吃一驚，服務器居然已經被云服務商銷毀。云服務商回復稱這是他們內部的人為失誤造成的，但由于是物理刪除，所以無法恢復。通過這個事件可以 看到，如果沒有一個完善的管理流程，就算擁有強大的技術也無能為力。因此，清晰地劃分職責與權限至關重要，否則一個點被黑客突破就可能造成權限濫用，進而 給客戶造成巨大的損失。

在技術對抗方面，我們認為：師“云”長技以制“云”。云計算的精髓是提升效率與降低成本，而傳統安全設備卻與此背道而馳，例如：傳統的應用防火墻 (WAF)單臺設備的吞吐量與處理能力有限，給云計算服務造成瓶頸。在技術選型時，用戶應更多考慮那些能與云有機結合的技術產品或方案。

結合云計算業務特點與技術架構，云計算服務商應結合自己的業務特點，重點圍繞以下三大方面進行防御：應用與API安全、數據安全與協作、防火墻(物理 防火墻與虛擬防火墻)。在加固平臺安全機制的同時，也要指導或幫助用戶做好安全服務，如此雙管齊下才能提升安全性。當然，術業有專攻，云計算服務商并不是 安全專家，自身可能也無法應對眾多復雜的安全性問題，在這方面還應加強與專業安全廠商的深度合作。

隨著黑客在云上開辟出第二戰場，“云安全之戰”已無法避免，這也刺激了云安全服務產業的發展，只有越來越多的云安全服務商出現才能促進云安全產業的技術創新與發展，相信這支新軍將成為云安全的主力軍。