有外電說明了一些云計算可能帶來的安全風險,但并沒有用詳盡的例子來說明危險存在于何方,對于現在的云計算供應商來說,無論是法律問題還是虛擬機的安全問題并不是云安全的最大障礙。
正當很多公司都考慮將應用遷移到"云"中去時,安全專家在上周的BlackHat安全會議上提醒說,云安全的第三方服務仍然很不理想。
持續的經濟低迷使得云計算成為大熱的話題,急于節省成本的創業者與中小企業在互聯網上使用虛擬機,而大型企業將其如客戶關系管理等工作推給了像 salesforce.com這樣的公司。不過專家警告說,公司們需要更加謹慎地考慮將基礎設施轉移到"云"中去的安全隱患。
"很多小的公司使用云來節省資金,但是那些高端的用戶在使用云計算時完全不經過審計,"來自安全公司SensePost的總監 HaroonMeer說道,他曾經帶隊主導了對Amazon的彈性計算云的研究。
他們的實驗表明,公司經常不會去掃描那些從第三方得來的應用,這就很容易在公司的內部網絡中創建一個特洛伊木馬。
類似的例子有很多,最終他們在BlackHat大會上介紹了五點有關云安全的經驗:
1、云計算缺少法律保障
企業需要認識到,在云中的數據沒有較高的法律標準,政府或者律師側重于發現,甚至會使用沒有查證過的數據。
而且,云供應商更關心的是保護自己,而不是客戶,iSecPartners公司的安全顧問AlexStamos這樣表示,所以不要寄希望于法律方面的服務會有利于客戶。
"所有的云服務公司都有非常積極和訓練有素的法律部門,"Stamos說道,"當您申請云服務時同意這些協議,基本上就意味著您將一無所有。"也就是說,如果有數據丟失,供應商不會為你做任何事情。
2、不屬于您的硬件
如果企業想要測試一些東西,他們必須記得,自己不擁有任何硬件。雖然有些服務協議(如亞馬遜)可以指定客戶端進行測試,但是能否獲得在上面運行的軟件供應商的許可又是一個關鍵。
3、強有力的政策和用戶教育
雖然云計算為企業提供存取數據、節省人力等好處,但是永遠在線的服務器意味著黑客隨時可能都有可能威脅到公司。
4、不要相信虛擬機
當從云供應商那使用虛擬機時,用戶不應該相信其上運行的操作系統。Meer這樣表示。
SensePost的研究人員發現,一系列緩存、信用卡數據等的密鑰和一些潛在的惡意代碼可能會被隱藏在系統內,然而卻沒有人去注意。
他建議企業建立自己的鏡像供內部使用,以保護自己。
5、重新考慮你的架設
在任何情況下,企業的技術管理人員需要重新考慮他們假設中的云。例如,當你在數據中心的一個虛擬機上部署應用的時候,這些隨機產生的虛擬機可能并不會使得你的應用生效。問題出在,虛擬機的安全性與物理服務器相比差很多。
京公網安備 11010502049343號