安全域無邊界
在對外提供云計算業務之前,數據中心都是獨立機房,由邊界防火墻隔離成內外兩塊。防火墻內部屬于可信區域,自己獨占,外部屬于不可信區域,所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全,也可以在這道墻之后建立更多防火墻形成縱深防御;在開始提供云計算業務之后,這種簡潔的內外隔離安全方案已經行不通了,通過購買云服務器,攻擊者已經深入提供商網絡的腹地,穿越了邊界防火墻。云計算內部的資源不再是由某個用戶獨享,而是幾萬、幾十萬甚至更多互相不認識的用戶共有,當然也包含一些惡意用戶,這些用戶可以輕而易舉進入云計算內部,竊取私密信息。傳統劃分安全域做隔離已經行不通了,哪里有云計算提供的服務,哪里就需要安全,安全防護要貫穿到整個云計算的所有環節,這無疑將提升云計算安全部署的成本,即便這樣防御效果還不見比以前好。
虛擬化難捕捉
云計算時代,一臺服務器上可以運行十臺虛機,這些虛機還可能屬于十個不同用戶。攻擊者虛擬機可直接運行在這臺服務器的內存里面,僅僅是使用一個虛擬層隔離,一旦攻擊者掌握了可以穿透虛擬層漏洞,就可以毫不費力完成入侵,常見的虛擬化層軟件如XEN、KVM都能找到類似安全漏洞。一般服務器是一臺標準Linux服務器,運行著標準的Linux操作系統以及各種標準的服務,被攻擊者攻破的通道很多。為了實現虛擬機自動遷移,虛擬化技術被應用于云計算網絡中,這種虛擬網絡是一個大二層架構,甚至是跨越機房、跨越城市的大二層架構。在這樣一個超大的二層虛擬網絡中,ARP欺騙、以太網端口欺騙、ARP風暴、NBNS風暴等二層內部的攻擊問題,危害性都遠遠超過了它們在傳統網絡中的影響。
數據泄露量大
在傳統網絡中也存在數據泄露威脅,但在云計算環境中數據泄露嚴重性更高。由于云服務器上保存了大量客戶的隱私數據,在多租戶環境下,一個客戶應用存在漏洞可能就會導致其他客戶數據的泄露。數據泄露不僅導致商業機密、知識產權和個人隱私的泄露,而且對企業而言可能產生毀滅性打擊。云計算依托的基礎就是海量數據,只有在超大型的數據中心才能充分發揮作用,而海量數據若發生泄露,造成的損失很大,尤其是各種數據混雜在一起,做不好數據防護,很容易被人所竊取。惡意黑客會使用病毒、木馬或者直接攻擊方法永久刪除云端數據來危害云系統安全。
攻擊頻率急劇增大
正所謂“樹大招風”,沒有部署云計算時,承載信息服務的各個數據中心散列在各處,即便被攻擊,受影響的面都不會太大。現在的數據中心建設規模都很大,因為只有規模上去,云計算的優勢才能更加明顯。所以現在擁有數十萬臺服務器的數據中心屢見不鮮,這就將很多數據集中在一起,再交由云計算處理。擁有海量數據的數據中心,目標太大,很容易成為別人的目標。還有云計算用戶多樣性而且規模巨大,這樣遭受的攻擊頻率也是急劇增大。以阿里云為例,平均每天遭受數百起DDoS攻擊,其中50%攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計算。這種頻度的攻擊,給安全運維帶來巨大的挑戰。
除此之外,不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級持續性威脅、審查不充分、惡意SaaS應用、共享技術問題等等,都是云計算要面臨的安全威脅。解決好云計算安全威脅問題,將會為云計算的發展打下堅實的基礎,讓更多的人樂于接受云計算,將自己的信息數據安心放到云計算應用中來。在這里將云計算的安全威脅比作了集中營,就是希望放到集中營中的安全威脅越來越少,最后集中營能夠解散掉,徹底消除各種云計算安全威脅。云計算的建設者已經意識到解決安全問題的急迫性,已經提出了不少抵御安全威脅的解決方案,這些都有待實踐來驗證。這個過程一定還有很長的路要走,需要依賴技術、管理和產業等各行業的共同努力才能實現。
京公網安備 11010502049343號