人無信不立,云同樣如此。不久之前發生的支付寶故障和攜程官網癱瘓等事件再次將信息安全推至風口浪尖。技術從來都是把雙刃劍,在提高生產力的同時,也使得安全更為脆弱。
這一點在云計算領域表現的尤其明顯。云計算將資源集中在一起,可以想象,一旦發生安全問題,那么所有的服務將不可用。全球首屈一指的云服務提供商亞馬遜,曾經在一年半的時間內發生過5次云服務器宕機的事件,導致許多網站無法正常訪問。
而隨著越來越多的云落地,針對云服務的攻擊越來越多。在國家互聯網應急中心(CNCERT)4月底發布的《2014中國互聯網安全報告》中指出,云服務日益成為網絡攻擊的重點目標。
報告指出,2014年先后發生了多起因電力、機房線路和網絡故障導致的云服務宕機事件,針對云平臺的攻擊事件也逐年增多,僅由CNCERT協助處置的大規模攻擊事件就達十余起,涉及UCloud公司、浙江寧波某IDC機房等國內云平臺。
師夷長技以制夷。國內諸多互聯網廠商提出“云安全”的概念,借云之力保護云服務的安全。他們的計劃是,通過大量客戶端對網絡中軟件行為進行監測,獲取互聯網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。
“將整個互聯網,變成了一個超級大的殺毒軟件,這就是云安全計劃的宏偉目標。”在百度百科中給出了這樣的解釋。
傳統的安全廠商則是通過傳統安全產品虛擬化的方式,為云服務提供商和云用戶提供靈活的、可擴展的安全防護。
“坦白來說,和傳統IDC安全不同,云安全還處于起步階段,市面上沒有十分完善和成熟的解決方案。不過,隨著越來越多廠商加入云安全的生態圈,相信云服務的安全方案也會漸趨成熟。”來自中國聯通云計算公司的一位專家向記者表示。
攻擊升溫
事實上,自云計算誕生以來,云服務的安全問題就伴隨其左右,并成為其走向規模商用的最大掣肘。早在2010年5月,埃森哲與中國電子學會共同發布的一份名為《中國云計算發展的務實之路》的報告指出,“安全問題是全球對云計算最大的質疑。而這種擔憂在中國尤為突出,以至于首席信息官們如履薄冰,特別是面對公有云服務時。”
阿里巴巴集團安全部資深專家魏興國表示,當前云計算面臨著非常惡劣的網絡環境。報告顯示,在國外的主流云服務提供商中,他們的云主機很大比例都是被入侵過的云主機,而且很多用戶對入侵完全不知情。
魏興國說,事實上,阿里云遭遇攻擊的頻率也非常之高。就DDoS攻擊來說,每周就有2000次左右的攻擊,而且每次攻擊流量都很高;密碼破解類的攻擊則每周發生上億次。
就在6月18日,阿里云安全在微博上透露,當天阿里云用戶遭受多次超大流量DDoS攻擊,攻擊峰值接近300Gbps,此次被攻擊的阿里云用戶多屬于電商行業。
盡管通過流量清洗等技術手段成功化解了攻擊,但是可以看到,未來云服務遭受攻擊次數將逐步上升,可能一天之內就會發生多次攻擊。
“針對云服務的攻擊將會越來越多。而且DDoS和APT攻擊將成為主要的攻擊手段。”IDC安全領域分析師王培接受記者采訪時表示。
安全狗給出的分析報告顯示,針對云服務器的攻擊類型主要包括三種。一是針對云服務器上應用系統的攻擊,這類攻擊也是在所有攻擊中占比最高的;二是針對云服務器遠程登錄密碼的暴力破解攻擊;三是針對云服務器的DDoS攻擊。
2014年,全球范圍內的云服務出現了大量的DDOS攻擊事件。12月中旬,某大型互聯網服務商的云平臺上一家知名游戲公司遭受DDoS攻擊,攻擊峰值流量超過450Gbps。
與此同時,《2014中國互聯網安全報告》指出,除了DDoS攻擊之外,釣魚站點逐漸向云平臺遷移。云服務申請和使用方便、成本低廉、安全審核不嚴,且云平臺同時承載多種不同類型的業務,傳統基于IP地址的追蹤處置手段難以適用,日益成為釣魚網站棲息的“溫床”。
《2014中國互聯網安全報告》針對2014年處置的銀行類釣魚網站分析,按所承載的釣魚網站數據排序,排名前十的IP地址有4個屬于云服務提供商。報告認為,云平臺的逐步普及,將加大數據泄露和網絡攻擊風險,防護措施和管理機制有待完善。云計算技術的發展推動數據的集中化,在大數據時代,海量數據既是企業和用戶的核心資產,也成為網絡攻擊瞄準的目標。以竊取數據為主要目的的攻擊事件將越來越多,云平臺自身的網絡安全防護特別是對海量數據安全的防護將面臨挑戰。
值得一提的是,云安全事件頻發和企業云平臺缺乏安全審核和管理機制也有著很大的關系。專家指出,目前大多數云服務商的安全審核機制并不完善,用戶租用后作何用途,云服務商并不清楚知曉,也未作嚴格審核或周期性檢查,因此出現黑客在云平臺部署釣魚網站、傳播惡意代碼或發動攻擊的情況,如不及時加強管理,未來這種現象將繼續增多。
京公網安備 11010502049343號