云計(jì)算面臨七大安全威脅
2011/06/20
安全問(wèn)題是擋在云計(jì)算規(guī)模商用道路上的巨大障礙。幫助人們解決對(duì)云計(jì)算安全威脅擔(dān)心的第一步,就是正確地識(shí)別安全威脅����,以下是目前云計(jì)算面臨的七大安全威脅。
威脅一:拒絕服務(wù)攻擊
首先���,云計(jì)算以寬帶網(wǎng)絡(luò)和Web方式提供服務(wù)���,其可用性方面將會(huì)受到挑戰(zhàn),針對(duì)云計(jì)算服務(wù)的拒絕服務(wù)攻擊���,需要云計(jì)算服務(wù)提供商認(rèn)真調(diào)查��、采取相應(yīng)的專(zhuān)門(mén)保護(hù)措�。其次���,云計(jì)算快速?gòu)椥缘奶卣����,要求服?wù)提供商自身必須具備非常強(qiáng)大的網(wǎng)絡(luò)和服務(wù)器資源����,按需服務(wù)的特征,又對(duì)業(yè)務(wù)開(kāi)通和服務(wù)變更等環(huán)節(jié)提出了靈活性的要求���。這兩個(gè)特征結(jié)合在一起�����,使得云計(jì)算服務(wù)很容易成為濫用�、惡意使用服務(wù)的溫床。在2010年Defcon大會(huì)上�,David Bryan公開(kāi)演示了如何在Amazon的云計(jì)算服務(wù)平臺(tái)上以6美元的成本對(duì)目標(biāo)網(wǎng)站發(fā)起致命的拒絕服務(wù)攻擊。利用云計(jì)算服務(wù)來(lái)破解密碼���、搭建僵尸網(wǎng)絡(luò)等惡意使用案例也屢有發(fā)生。
威脅二:不安全的接口和API
“開(kāi)放”是云計(jì)算時(shí)代的一個(gè)重要的業(yè)務(wù)變革方向��。云計(jì)算服務(wù)商需要提供大量的網(wǎng)絡(luò)接口和API(應(yīng)用程序編程接口)來(lái)整合上下游����、尋找業(yè)務(wù)伙伴,甚至直接提供業(yè)務(wù)����。
但是,開(kāi)發(fā)過(guò)程中的安全測(cè)試����、運(yùn)行過(guò)程中的滲透測(cè)試�����,以及測(cè)試工具�、測(cè)試方法等����,在針對(duì)網(wǎng)絡(luò)接口和API上都還不夠成熟,這些通常工作于后臺(tái)相對(duì)安全環(huán)境的功能被開(kāi)放出來(lái)后���,將會(huì)帶來(lái)新的安全威脅�����。
威脅三:惡意的內(nèi)部員工
Verizon Business最新的數(shù)據(jù)泄漏調(diào)查報(bào)告顯示�����,48%的數(shù)據(jù)泄漏是由于惡意的內(nèi)部人士所為��。云計(jì)算服務(wù)作為某種程度上的外包業(yè)務(wù)����,工作上有權(quán)限、有能力接觸并處理用戶(hù)數(shù)據(jù)的范圍進(jìn)一步擴(kuò)大�����,其中包括用戶(hù)自己的內(nèi)部人士�、供應(yīng)商員工、云計(jì)算服務(wù)商的管理維護(hù)人員���、云計(jì)算服務(wù)商的供應(yīng)商員工等�。這種訪問(wèn)范圍的擴(kuò)大�,增加了惡意的“內(nèi)部員工”濫用數(shù)據(jù)和服務(wù)的可能性。
威脅四:共享技術(shù)產(chǎn)生的問(wèn)題
資源的虛擬池化和共享是云計(jì)算的根本�����,但是這種共享并不是沒(méi)有代價(jià)的����,最為典型的代價(jià)就是使得安全性降低�。事實(shí)上,針對(duì)虛擬層的安全研究已經(jīng)被廣為重視����,從2007年開(kāi)始,主流的虛擬層軟件屢有漏洞被發(fā)現(xiàn)�。
威脅五:數(shù)據(jù)泄漏
數(shù)據(jù)泄漏是云計(jì)算�����、尤其是公共“云”最被人們擔(dān)心的問(wèn)題��。企業(yè)或組織的管理層和IT決策者����,需要仔細(xì)評(píng)估云計(jì)算提供商對(duì)數(shù)據(jù)的保護(hù)能力���。很多威脅都可能導(dǎo)致云中的數(shù)據(jù)丟失和泄漏��。云中關(guān)鍵數(shù)據(jù)的高密度聚合����,給潛在的攻擊者帶來(lái)極大的誘惑�。
密鑰的管理也是一個(gè)挑戰(zhàn),密鑰的丟失會(huì)導(dǎo)致數(shù)據(jù)毀壞�,密鑰的國(guó)度分享又會(huì)削弱加密的效果。另外���,由于同宿主機(jī)上其他客戶(hù)的法律取證要求�����,也可能會(huì)導(dǎo)致不必要的數(shù)據(jù)外泄和損失�����。
威脅六:賬號(hào)和服務(wù)劫持
傳統(tǒng)的服務(wù)和會(huì)話劫持已經(jīng)廣為人知�,云計(jì)算給賬號(hào)和服務(wù)“劫持”又增添了不少新的含義。在云環(huán)境中�����,如果攻擊者能夠獲得你的賬號(hào)信息�����,他們就可以竊聽(tīng)你的活動(dòng)和交易���,操縱處理的數(shù)據(jù)�,發(fā)送虛假的信息����,將你的客戶(hù)引到假冒的站點(diǎn)��,并且被“劫持”的服務(wù)和賬號(hào)可能會(huì)被利用,以便發(fā)起新的攻擊�。
威脅七:未知的風(fēng)險(xiǎn)場(chǎng)景
云計(jì)算服務(wù)商和用戶(hù)之間存在很大的信息不對(duì)稱(chēng)性。一方面����,用戶(hù)選擇將自己的IT計(jì)算和服務(wù)外包給云服務(wù)提供商,就是為了解放和優(yōu)化自己的資源���,所以沒(méi)有必要也沒(méi)有足夠的資源去全面洞察“云”中的所有細(xì)節(jié);另一方面����,云服務(wù)提供商出于商業(yè)機(jī)密和安全考慮���,并不情愿分享所有的關(guān)鍵信息(即使是和安全直接相關(guān)的)�。在這種情形下��,云計(jì)算的用戶(hù)必然需要處理大量的未知安全風(fēng)險(xiǎn)���。
實(shí)際上�����,這些未知安全風(fēng)險(xiǎn)��,也就是說(shuō)那些未知漏洞是云中真正的危險(xiǎn)��,而軟件版本��、安全實(shí)踐�����、代碼更新�����、漏洞情況���、入侵企圖�、安全設(shè)計(jì)等�,都是可以幫助評(píng)估自身所面臨的安全風(fēng)險(xiǎn)的重要因素。
中國(guó)信息產(chǎn)業(yè)網(wǎng)-人民郵電報(bào)
相關(guān)閱讀: