“云計算”五個黑暗面

這篇外電盡管說明了一些云計算可能帶來的安全風險，但并沒有用詳盡的例子來說明危險存在于何方，對于現(xiàn)在的云計算供應(yīng)商來說，無論是法律問題還是虛擬機的安全問題并不是云安全的最大障礙。

正當很多公司都考慮將應(yīng)用遷移到“云”中去時，安全專家在上周的BlackHat安全會議上提醒說，云安全的第三方服務(wù)仍然很不理想。

持續(xù)的經(jīng)濟低迷使得云計算成為大熱的話題，急于節(jié)省成本的創(chuàng)業(yè)者與中小企業(yè)在互聯(lián)網(wǎng)上使用虛擬機，而大型企業(yè)將其如客戶關(guān)系管理等工作推給了像salesforce.com這樣的公司。不過專家警告說，公司們需要更加謹慎地考慮將基礎(chǔ)設(shè)施轉(zhuǎn)移到“云”中去的安全隱患。

“很多小的公司使用云來節(jié)省資金，但是那些高端的用戶在使用云計算時完全不經(jīng)過審計，”來自安全公司SensePost的總監(jiān)HaroonMeer說道，他曾經(jīng)帶隊主導了對Amazon的彈性計算云的研究。

他們的實驗表明，公司經(jīng)常不會去掃描那些從第三方得來的應(yīng)用，這就很容易在公司的內(nèi)部網(wǎng)絡(luò)中創(chuàng)建一個特洛伊木馬。

類似的例子有很多，最終他們在BlackHat大會上介紹了五點有關(guān)云安全的經(jīng)驗：

1、云計算缺少法律保障

企業(yè)需要認識到，在云中的數(shù)據(jù)沒有較高的法律標準，政府或者律師側(cè)重于發(fā)現(xiàn)，甚至會使用沒有查證過的數(shù)據(jù)。

而且，云供應(yīng)商更關(guān)心的是保護自己，而不是客戶，iSecPartners公司的安全顧問AlexStamos這樣表示，所以不要寄希望于法律方面的服務(wù)會有利于客戶。

“所有的云服務(wù)公司都有非常積極和訓練有素的法律部門，”Stamos說道，“當您申請云服務(wù)時同意這些協(xié)議，基本上就意味著您將一無所有。”也就是說，如果有數(shù)據(jù)丟失，供應(yīng)商不會為你做任何事情。

2、不屬于您的硬件

如果企業(yè)想要測試一些東西，他們必須記得，自己不擁有任何硬件。雖然有些服務(wù)協(xié)議(如亞馬遜)可以指定客戶端進行測試，但是能否獲得在上面運行的軟件供應(yīng)商的許可又是一個關(guān)鍵。

3、強有力的政策和用戶教育

雖然云計算為企業(yè)提供存取數(shù)據(jù)、節(jié)省人力等好處，但是永遠在線的服務(wù)器意味著黑客隨時可能都有可能威脅到公司。

4、不要相信虛擬機

當從云供應(yīng)商那使用虛擬機時，用戶不應(yīng)該相信其上運行的操作系統(tǒng)。Meer這樣表示。

SensePost的研究人員發(fā)現(xiàn)，一系列緩存、信用卡數(shù)據(jù)等的密鑰和一些潛在的惡意代碼可能會被隱藏在系統(tǒng)內(nèi)，然而卻沒有人去注意。

他建議企業(yè)建立自己的鏡像供內(nèi)部使用，以保護自己。

5、重新考慮你的架設(shè)

在任何情況下，企業(yè)的技術(shù)管理人員需要重新考慮他們假設(shè)中的云。

例如，當你在數(shù)據(jù)中心的一個虛擬機上部署應(yīng)用的時候，這些隨機產(chǎn)生的虛擬機可能并不會使得你的應(yīng)用生效。問題出在，虛擬機的安全性與物理服務(wù)器相比差很多。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]