在過(guò)去一年中，我們看到索尼以及Epsilon公司遭遇了重大安全泄露事故，但在這些數(shù)據(jù)泄露事故中，云環(huán)境并不是攻擊中的薄弱環(huán)節(jié)。

有些人認(rèn)為Epsilon是電子郵件營(yíng)銷服務(wù)供應(yīng)商（換句話說(shuō)，就是SaaS公司），所以這次泄露事故與云環(huán)境脫不了干系，但這次攻擊中，攻擊者使用的是傳統(tǒng)的釣魚(yú)攻擊來(lái)獲取對(duì)電子郵件服務(wù)器的訪問(wèn)權(quán)限，而不是利用管理程序漏洞。

云供應(yīng)商（例如Drophbox和Google）當(dāng)然存在自己的問(wèn)題，但與云相關(guān)的問(wèn)題主要涉及系統(tǒng)中斷，而不是數(shù)據(jù)泄露。隨著越來(lái)越多的企業(yè)資源轉(zhuǎn)移到云環(huán)境，我們將不可避免地聽(tīng)到更多與云計(jì)算相關(guān)的事故，但我們?nèi)詫⒖吹礁�多針�?duì)企業(yè)內(nèi)部資源的攻擊事故。

這并不意味著投資于云環(huán)境的企業(yè)可以松一口氣，基于云的應(yīng)用程序安全測(cè)試服務(wù)供應(yīng)商Veracode公司研究副總裁Chris Eng表示：“攻擊者目前使用的攻擊方法已經(jīng)很夠用，他們只需要使用相同的SQL注入攻擊就可以成功發(fā)動(dòng)攻擊，而不需要花大量時(shí)間來(lái)開(kāi)發(fā)新的攻擊方法，”

黑客并不是將云視為目標(biāo)

通過(guò)索尼數(shù)據(jù)泄露事故，我們發(fā)現(xiàn)一個(gè)令人不安的趨勢(shì)：攻擊者并不是將云視為目標(biāo)，而是將其作為一種資源。攻擊者使用偷來(lái)的信用卡來(lái)租賃Amazon EC2服務(wù)器，然后對(duì)索尼公司發(fā)動(dòng)攻擊。

“云計(jì)算向合法企業(yè)提供一切服務(wù)，同樣也提供給攻擊者，”安全監(jiān)控公司Vigilant公司高級(jí)情報(bào)專家Scott Roberts表示，“越來(lái)越多的網(wǎng)絡(luò)犯罪分子租用云基礎(chǔ)設(shè)施來(lái)安裝垃圾郵件程序（spambot）或者打造惡意軟件命令以及控制基礎(chǔ)設(shè)施。每個(gè)月只需要花50美元或者60美元，攻擊者就可以利用很好的云資源。” 攻擊者可以將這些廉價(jià)的基礎(chǔ)設(shè)施加入低成本、自動(dòng)化惡意軟件工具包，并可以租借僵尸網(wǎng)絡(luò)來(lái)發(fā)動(dòng)攻擊。

雖然攻擊者目前沒(méi)有專門(mén)針對(duì)云環(huán)境，但大多數(shù)專家認(rèn)為他們很快將開(kāi)始攻擊云環(huán)境，畢竟越來(lái)越多的企業(yè)資源開(kāi)始轉(zhuǎn)移到云環(huán)境。“云環(huán)境本身已經(jīng)是一個(gè)誘人的目標(biāo)，”Eng表示，“在云環(huán)境中，數(shù)據(jù)非常集中，你只要瞄準(zhǔn)一個(gè)供應(yīng)商，就可以攻擊多個(gè)企業(yè)。”

當(dāng)問(wèn)及為什么要搶銀行時(shí)，Willie Sutton表示（雖然后來(lái)他否認(rèn)了這個(gè)說(shuō)法）：“因?yàn)殄X(qián)在那里。”現(xiàn)在，最重要的企業(yè)資產(chǎn)仍然位于企業(yè)防火墻內(nèi)，以后呢？可能會(huì)轉(zhuǎn)移到云環(huán)境中。

為什么云環(huán)境容易受到攻擊

云環(huán)境的優(yōu)勢(shì)在于，主要云供應(yīng)商有責(zé)任保護(hù)他們的環(huán)境，如果Amazon或者谷歌遭遇泄露事故，他們的業(yè)務(wù)將受到嚴(yán)重影響。

主要云供應(yīng)商都清楚這一點(diǎn)，他們都在努力采取措施避免事故的發(fā)生。Amazon網(wǎng)絡(luò)服務(wù)發(fā)言人Rena Lunak表示：“很早以前，網(wǎng)絡(luò)就已經(jīng)不再是物理孤島，企業(yè)逐漸發(fā)現(xiàn)需要連接到其他企業(yè)，然后有了互聯(lián)網(wǎng)，企業(yè)網(wǎng)絡(luò)開(kāi)始與公共基礎(chǔ)設(shè)施相連接。”

為了減輕風(fēng)險(xiǎn)，很多企業(yè)正采取措施來(lái)隔離他們的流量，例如使用多協(xié)議標(biāo)簽交換（MPLS）鏈接和加密。“亞馬遜在云環(huán)境對(duì)網(wǎng)絡(luò)采取了相同的方法：我們保持?jǐn)?shù)據(jù)包級(jí)的網(wǎng)絡(luò)流量隔離，并采用行業(yè)標(biāo)準(zhǔn)的加密，”她表示，“因?yàn)閬嗰R遜的虛擬私有云允許客戶建立自己的IP地址空間，客戶可以使用他們已經(jīng)非常熟悉的工具和軟件基礎(chǔ)設(shè)施來(lái)監(jiān)控和控制他們的云網(wǎng)絡(luò)。”

這些聽(tīng)起來(lái)都很不錯(cuò)，但是一些常見(jiàn)錯(cuò)誤（例如糟糕的身份驗(yàn)證方法或者開(kāi)放管理端口）可能讓供應(yīng)商的安全保護(hù)措施付諸東流。

“遷移到云環(huán)境存在的一個(gè)問(wèn)題是，你需要遠(yuǎn)程管理你的資源，”云安全供應(yīng)商CloudPassage公司首席執(zhí)行官Carson Sweet表示，“很多很多公司沒(méi)有關(guān)閉管理端口，攻擊者就是利用了這一點(diǎn)。”

云環(huán)境如何影響你的內(nèi)部網(wǎng)絡(luò)？

Sweet指出，云環(huán)境中糟糕的安全做法可能會(huì)影響企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。很多擔(dān)心云威脅的企業(yè)根本不會(huì)將企業(yè)最重要的數(shù)據(jù)轉(zhuǎn)移到云環(huán)境中。

在CompTIA調(diào)查的企業(yè)中，有82%的企業(yè)相信云供應(yīng)商能夠提供一個(gè)安全的環(huán)境，58%的企業(yè)不會(huì)將關(guān)鍵企業(yè)財(cái)務(wù)信息轉(zhuǎn)移到云環(huán)境，56%的企業(yè)不會(huì)將信用卡數(shù)據(jù)放入云環(huán)境，將近一半的受訪者拒絕將機(jī)密知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密或者人力資源信息放入云環(huán)境。

這里的邏輯很簡(jiǎn)單：將機(jī)密數(shù)據(jù)放在企業(yè)防火墻后面更加安全。然而，這個(gè)邏輯有一個(gè)致命的缺陷。

Sweet談到曾經(jīng)CloudPassage的一名客戶（不愿意透露姓名）在云環(huán)境中部署了開(kāi)發(fā)服務(wù)器，攻擊者將一個(gè)工具包放到一臺(tái)虛擬服務(wù)器中，當(dāng)開(kāi)發(fā)人員發(fā)現(xiàn)服務(wù)器中丟失了一些東西，于是他們將服務(wù)器帶回企業(yè)環(huán)境來(lái)重新鏡像，不幸的是，攻擊者的攻擊工具包感染了整個(gè)網(wǎng)絡(luò)。Sweet表示：“如果你不注意的話，虛擬機(jī)可能會(huì)成為木馬。”

請(qǐng)確保API密鑰的安全

我最常聽(tīng)到的云安全問(wèn)題是API密鑰的安全。大多數(shù)企業(yè)使用API密鑰來(lái)訪問(wèn)他們的云服務(wù)，這些密鑰非常重要。

“API密鑰是一個(gè)巨大的問(wèn)題，”Sweet表示，“如果我知道你的API密鑰在服務(wù)器的位置，我能夠拿到它們，然后我就可以進(jìn)入你的云環(huán)境。”

API密鑰必須受到保護(hù)，我們經(jīng)常會(huì)看到IT管理員將這些密鑰通過(guò)電子郵件來(lái)發(fā)送給另一名管理員，或者將密鑰存儲(chǔ)在并不難被發(fā)現(xiàn)的配置文件中。

API密鑰必須保存在一個(gè)安全的加密的位置，并且進(jìn)行定期檢查，必須確保只有具有正當(dāng)理由的人才能訪問(wèn)這些密鑰。另外，云經(jīng)紀(jì)人可以幫你保管密鑰，但你必須意識(shí)到你正在將云安全的關(guān)鍵部分外包給第三方。

詢問(wèn)云供應(yīng)商的10個(gè)問(wèn)題

在對(duì)云服務(wù)供應(yīng)商進(jìn)行評(píng)估時(shí)，請(qǐng)一定要問(wèn)以下十個(gè)問(wèn)題：

1. 你是否使用安全開(kāi)發(fā)生命周期來(lái)開(kāi)發(fā)你的服務(wù)？

2. 你能否證明或者提供滲透測(cè)試結(jié)果？

3. 你部署了怎樣的數(shù)據(jù)保護(hù)政策？

4. 你的數(shù)據(jù)隱私政策是什么？

5. 你如何執(zhí)行這些不同的政策？

6. 安全涵蓋在你的SLA中嗎？如果沒(méi)有，為什么？

7. 你如何備份和恢復(fù)數(shù)據(jù)？

8. 你如何加密動(dòng)態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù)？

9. 你如何將我的數(shù)據(jù)與別人的數(shù)據(jù)分開(kāi)？

10. 我對(duì)你的日志信息有怎樣的能見(jiàn)度？