“云計(jì)算”五個黑暗面

這篇外電盡管說明了一些云計(jì)算可能帶來的安全風(fēng)險(xiǎn)，但并沒有用詳盡的例子來說明危險(xiǎn)存在于何方，對于現(xiàn)在的云計(jì)算供應(yīng)商來說，無論是法律問題還是虛擬機(jī)的安全問題并不是云安全的最大障礙。

正當(dāng)很多公司都考慮將應(yīng)用遷移到“云”中去時，安全專家在上周的BlackHat安全會議上提醒說，云安全的第三方服務(wù)仍然很不理想。

持續(xù)的經(jīng)濟(jì)低迷使得云計(jì)算成為大熱的話題，急于節(jié)省成本的創(chuàng)業(yè)者與中小企業(yè)在互聯(lián)網(wǎng)上使用虛擬機(jī)，而大型企業(yè)將其如客戶關(guān)系管理等工作推給了像salesforce.com這樣的公司。不過專家警告說，公司們需要更加謹(jǐn)慎地考慮將基礎(chǔ)設(shè)施轉(zhuǎn)移到“云”中去的安全隱患。

“很多小的公司使用云來節(jié)省資金，但是那些高端的用戶在使用云計(jì)算時完全不經(jīng)過審計(jì)，”來自安全公司SensePost的總監(jiān)HaroonMeer說道，他曾經(jīng)帶隊(duì)主導(dǎo)了對Amazon的彈性計(jì)算云的研究。

他們的實(shí)驗(yàn)表明，公司經(jīng)常不會去掃描那些從第三方得來的應(yīng)用，這就很容易在公司的內(nèi)部網(wǎng)絡(luò)中創(chuàng)建一個特洛伊木馬。

類似的例子有很多，最終他們在BlackHat大會上介紹了五點(diǎn)有關(guān)云安全的經(jīng)驗(yàn)：

1、云計(jì)算缺少法律保障

企業(yè)需要認(rèn)識到，在云中的數(shù)據(jù)沒有較高的法律標(biāo)準(zhǔn)，政府或者律師側(cè)重于發(fā)現(xiàn)，甚至?xí)�使用沒有查證過的數(shù)據(jù)。

而且，云供應(yīng)商更關(guān)心的是保護(hù)自己，而不是客戶，iSecPartners公司的安全顧問AlexStamos這樣表示，所以不要寄希望于法律方面的服務(wù)會有利于客戶。

“所有的云服務(wù)公司都有非常積極和訓(xùn)練有素的法律部門，”Stamos說道，“當(dāng)您申請?jiān)品��?wù)時同意這些協(xié)議，基本上就意味著您將一無所有。”也就是說，如果有數(shù)據(jù)丟失，供應(yīng)商不會為你做任何事情。

2、不屬于您的硬件

如果企業(yè)想要測試一些東西，他們必須記得，自己不擁有任何硬件。雖然有些服務(wù)協(xié)議(如亞馬遜)可以指定客戶端進(jìn)行測試，但是能否獲得在上面運(yùn)行的軟件供應(yīng)商的許可又是一個關(guān)鍵。

3、強(qiáng)有力的政策和用戶教育

雖然云計(jì)算為企業(yè)提供存取數(shù)據(jù)、節(jié)省人力等好處，但是永遠(yuǎn)在線的服務(wù)器意味著黑客隨時可能都有可能威脅到公司。

4、不要相信虛擬機(jī)

當(dāng)從云供應(yīng)商那使用虛擬機(jī)時，用戶不應(yīng)該相信其上運(yùn)行的操作系統(tǒng)。Meer這樣表示。

SensePost的研究人員發(fā)現(xiàn)，一系列緩存、信用卡數(shù)據(jù)等的密鑰和一些潛在的惡意代碼可能會被隱藏在系統(tǒng)內(nèi)，然而卻沒有人去注意。

他建議企業(yè)建立自己的鏡像供內(nèi)部使用，以保護(hù)自己。

5、重新考慮你的架設(shè)

在任何情況下，企業(yè)的技術(shù)管理人員需要重新考慮他們假設(shè)中的云。

例如，當(dāng)你在數(shù)據(jù)中心的一個虛擬機(jī)上部署應(yīng)用的時候，這些隨機(jī)產(chǎn)生的虛擬機(jī)可能并不會使得你的應(yīng)用生效。問題出在，虛擬機(jī)的安全性與物理服務(wù)器相比差很多。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]