五大云計(jì)算漏洞逐個(gè)數(shù)

原創(chuàng) 2009-08-10 09:12:51

云計(jì)算 在上周舉辦的黑帽安全大會(huì)上安全專(zhuān)家警告，雖然許多公司都在考慮將應(yīng)用遷移到云中，但第三方服務(wù)的安全仍有許多需要改善的地方。

創(chuàng)新互聯(lián)公司專(zhuān)注于源匯網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供源匯營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，源匯網(wǎng)站制作、源匯網(wǎng)頁(yè)設(shè)計(jì)、源匯網(wǎng)站官網(wǎng)定制、小程序設(shè)計(jì)服務(wù)，打造源匯網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供源匯網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

當(dāng)前的經(jīng)濟(jì)危機(jī)使云計(jì)算成為一個(gè)熱門(mén)的話(huà)題，創(chuàng)業(yè)公司和小公司為了節(jié)約資金都使用的是互聯(lián)網(wǎng)上的虛擬機(jī)，大公司一般都會(huì)將應(yīng)用如客戶(hù)關(guān)系管理系統(tǒng)放到如Salesforce.com這樣的云服務(wù)提供商構(gòu)建的云中，但專(zhuān)家說(shuō)，在將基礎(chǔ)架構(gòu)遷移到云中時(shí)要小心安全陷阱。

著名安全公司SensePost的技術(shù)主管Haroon Meer在黑帽大會(huì)上說(shuō)：“云計(jì)算的低端用戶(hù)雖然可以節(jié)約金錢(qián)，危險(xiǎn)的是高端用戶(hù)在沒(méi)有任何審核的情況下使用它”，他說(shuō)他的團(tuán)隊(duì)對(duì)Amazon的EC2進(jìn)行了深入的研究。他們的實(shí)驗(yàn)表明很多公司都不會(huì)掃描第三方提供的機(jī)器，惡意實(shí)例可以很容易地創(chuàng)建木馬訪(fǎng)問(wèn)公司的內(nèi)部網(wǎng)絡(luò)。

記住這些陷阱，下面的5個(gè)教訓(xùn)來(lái)自黑帽大會(huì)上的演示。

1、云計(jì)算很少提供法律保護(hù)

使用云計(jì)算的公司需要認(rèn)識(shí)到云中的數(shù)據(jù)需要服從法律法規(guī)，政府可能在沒(méi)有出具傳票的情況下對(duì)數(shù)據(jù)進(jìn)行檢索和拷貝，iSec首席安全顧問(wèn)Alex Stamos認(rèn)為云提供商更關(guān)心的是如何保護(hù)自己而不是客戶(hù)，因此不要過(guò)分將希望寄托在服務(wù)協(xié)議上寫(xiě)的法律保護(hù)條款。

Stamos說(shuō)：“所有云服務(wù)商都有訓(xùn)練有素的法律團(tuán)隊(duì)，當(dāng)你簽署了服務(wù)協(xié)議后，意味著你基本上一無(wú)所有，如果因?yàn)榉?wù)商的失誤導(dǎo)致用戶(hù)不能正常使用，用戶(hù)不能投訴服務(wù)商，如果因?yàn)閿?shù)據(jù)中心的失誤導(dǎo)致數(shù)據(jù)丟失，服務(wù)商也不承擔(dān)任何責(zé)任”。看上去就是一個(gè)不平等條約。但他同時(shí)補(bǔ)充道，云服務(wù)商發(fā)現(xiàn)安全問(wèn)題一般會(huì)即時(shí)補(bǔ)上，如果語(yǔ)言溝通沒(méi)有問(wèn)題，也能得到一些幫助。

2、硬件不是你的

Stamos警告，如果想對(duì)服務(wù)商進(jìn)行審核和進(jìn)行測(cè)試，要記住硬件不屬于自己，如果要進(jìn)行漏洞掃描和滲透測(cè)試，需要經(jīng)過(guò)云服務(wù)商的明確許可，否則，客戶(hù)就會(huì)被認(rèn)為是在攻擊系統(tǒng)。象亞馬遜的服務(wù)協(xié)議中就明確指出了，客戶(hù)可以在系統(tǒng)上進(jìn)行測(cè)試，這一點(diǎn)很重要。因?yàn)橛忻鞔_的協(xié)議許可使用那些機(jī)器進(jìn)行測(cè)試是會(huì)受到法律保護(hù)的。

3、需要強(qiáng)有力的策略和用戶(hù)教育

由于云計(jì)算為企業(yè)帶來(lái)了巨大的好處，如允許從任何地方訪(fǎng)問(wèn)數(shù)據(jù)，解決了IT維護(hù)人員的一大難題，永遠(yuǎn)在線(xiàn)服務(wù)也意味著更容易遭受釣魚(yú)攻擊。因此對(duì)最終用戶(hù)進(jìn)行風(fēng)險(xiǎn)教育顯得格外重要，不僅僅是為了他們自身，更是為了公司的需要。但要教育好那些非技術(shù)職員不上當(dāng)釣魚(yú)攻擊的當(dāng)很困難，在SaaS模式下，釣魚(yú)式攻擊不僅僅是個(gè)個(gè)人問(wèn)題，還成為企業(yè)面對(duì)的一個(gè)大問(wèn)題。

4、不要相信虛擬機(jī)實(shí)例

SensePost的Meer說(shuō)“在使用服務(wù)商提供的虛擬機(jī)時(shí)，如第三方供應(yīng)商在亞馬遜EC2平臺(tái)上創(chuàng)建的實(shí)例時(shí)，公司不應(yīng)該相信這些系統(tǒng)”。

公司的研究人員掃描了大量的預(yù)配置實(shí)例，發(fā)現(xiàn)認(rèn)證密鑰在緩存中，信用卡數(shù)據(jù)和惡意代碼被隱藏在系統(tǒng)中，但他們發(fā)現(xiàn)大部分用戶(hù)并不關(guān)心安全問(wèn)題。

Meer建議公司應(yīng)該建立自己的內(nèi)部認(rèn)證機(jī)制，要從技術(shù)上和法律上保護(hù)自己。

5、重新考慮你對(duì)云計(jì)算的假設(shè)

在考慮安全時(shí)，企業(yè)信息管理人員需要重新思考他們之前對(duì)云安全的假設(shè)。例如，當(dāng)部署一個(gè)應(yīng)用到虛擬數(shù)據(jù)中心的計(jì)算機(jī)實(shí)例上時(shí)，虛擬系統(tǒng)相比物理系統(tǒng)的平均可用資源要少得多，一般不會(huì)如你預(yù)期的那樣美好，因此可以猜測(cè)資源進(jìn)行隨機(jī)分配時(shí)也是有限度的。

原文出處：http://www.infoworld.com/d/cloud-computing/5-lessons-dark-side-cloud-computing-669?source=rss_infoworld_news
原文名：5 lessons from the dark side of cloud computing
作者：Robert Lemos

當(dāng)前題目：五大云計(jì)算漏洞逐個(gè)數(shù)
分享地址：http://www.5511xx.com/article/djeppgs.html