【2011年3月2日51CTO外電頭條】缺乏對于安全風(fēng)險(xiǎn)的了解是阻礙云計(jì)算最重要的因素之一。

關(guān)于安全問題接二連三的報(bào)告成為了減緩云部署速度的最大障礙。隨著企業(yè)從物理環(huán)境轉(zhuǎn)向虛擬化和基于云的環(huán)境，安全威脅也就發(fā)生了變化，而這一點(diǎn)常常被人們忽視，即便是云倡導(dǎo)者也不例外。

病毒、惡意軟件和網(wǎng)絡(luò)釣魚仍然值得關(guān)注，但是類似于虛擬機(jī)發(fā)起的攻擊、多租戶風(fēng)險(xiǎn)和管理程序缺陷將會(huì)是現(xiàn)在的安全管理員們所面臨的主要挑戰(zhàn)。下面列出五個(gè)容易被忽視但是可能危及你的云計(jì)算的威脅。

1. DIY安全

通過遮遮掩掩而實(shí)現(xiàn)太平的日子已經(jīng)過去了。在過去，如果你是一個(gè)匿名的中小型企業(yè)，你所擔(dān)心的威脅也同樣是典型的消費(fèi)者所面臨的威脅：病毒、網(wǎng)絡(luò)釣魚或者尼日利亞419詐騙等等。黑客們沒有足夠的能力滲透到你的網(wǎng)絡(luò)中去，所以你不用擔(dān)心類似于DDoS攻擊——這些是只有服務(wù)器供應(yīng)商才會(huì)遇到的問題。還記得一個(gè)老紐約畫的漫畫：“在互聯(lián)網(wǎng)的世界里，沒有人知道你是誰，哪怕你是條狗。”而在云中，沒有會(huì)知道你是一家中小型企業(yè)。

“只是作一個(gè)小型網(wǎng)站不能再給予你任何保護(hù)，”IBM安全服務(wù)副總裁Marisa S. Viveros說。“威脅可能來自四面八方。在美國并不意味著你只會(huì)受到美國本土的威脅，任何人都有可能從任何地方對你進(jìn)行攻擊，比如中國、俄羅斯、索馬里。”

從某種程度上來說，這只是某段時(shí)間的情況，但是當(dāng)有針對性的攻擊擴(kuò)展到了全球范圍，如果你與一個(gè)高知名度的企業(yè)共享同一個(gè)基礎(chǔ)架構(gòu)，你可能會(huì)不幸的成為攻擊者們的登陸場，他們會(huì)利用你來襲擊你邊上闊綽的鄰居。

換言之，下一次中國或者和羅斯黑客攻擊一家主要的云供應(yīng)商的時(shí)候，你很有可能會(huì)受到間接的損失。這一切都表明，DIY安全對此已經(jīng)不再有效。另外，讓一個(gè)超額工作的IT負(fù)責(zé)人來協(xié)調(diào)你的安全問題也會(huì)是一個(gè)可怕的想法。

隨著越來越多的企業(yè)轉(zhuǎn)向基于云的基礎(chǔ)架構(gòu)，只有擁有雄厚資金的大型企業(yè)才能夠自己處理安全問題。任何其他人都必須開始開始思考安全作服務(wù)，這才可能是最終有效的出路。

#p#

2.私有云并非私有

具備高度安全警惕的企業(yè)在云中也會(huì)感覺不適，其中一個(gè)原因就是私有云的采用。對于部署私有云的企業(yè)來說，想要做到面面俱到似乎不太容易。他們在云中獲得了成本和效率的回報(bào)，同時(shí)也避免了可能察覺到的公共云項(xiàng)目所所帶來的風(fēng)險(xiǎn)。

不過，很多私有云并非都是稱得上真正的私有。“許多‘私有’云基礎(chǔ)架構(gòu)事實(shí)上是由第三方進(jìn)行托管的，所以這些架構(gòu)是開放的，內(nèi)部人員可以利用這一點(diǎn)從供應(yīng)商那兒進(jìn)行訪問，所以缺乏安全和風(fēng)險(xiǎn)的透明度，”數(shù)據(jù)保護(hù)商CREDANT Technologies的產(chǎn)品市場負(fù)責(zé)人Geoff Webb這樣評(píng)論道。

你所看到的關(guān)于云安全問題的處理方式通常仍舊很過時(shí)。在最近召開的RSA大會(huì)上，無數(shù)人告訴我云安全的關(guān)鍵在于從細(xì)節(jié)上明確涵蓋安全問題的具體的SLA（服務(wù)等級(jí)協(xié)議）。如果堅(jiān)持劃定的責(zé)任并且供應(yīng)商也對此負(fù)責(zé)，那么你就可以安心地繼續(xù)了。

這的確有些道理，但是與其相信供應(yīng)商會(huì)遵循SLA，不如相信你自己。你——做為一個(gè)非服務(wù)供應(yīng)商——在敏感IP被竊取或者用戶資料發(fā)生泄露的時(shí)候，面對董事會(huì)或者客戶指責(zé)的將會(huì)是你自己。

一個(gè)服務(wù)供應(yīng)商所都兜售的安全標(biāo)準(zhǔn)可能對安全問題并不能做到百分之百的小心。畢竟，這是高科技，而安全問題總是出現(xiàn)在事后。

#p#

3.私有和混合云中的多租戶風(fēng)險(xiǎn)

在構(gòu)建私有云或者混合云的時(shí)候，許多企業(yè)都會(huì)碰壁。最簡單的東西已經(jīng)被虛擬化，比如測試開發(fā)和文件打印。

“許多企業(yè)已經(jīng)擁有30%的虛擬化架構(gòu)。他們希望這個(gè)數(shù)字能夠達(dá)到60%或者70%，但是比較容易的事情都已經(jīng)做完了。他們正試圖接觸關(guān)鍵性的工作負(fù)載，但是這個(gè)時(shí)候安全問題總會(huì)成為嚴(yán)重的障礙，”HyTrust的虛擬化和云安全負(fù)責(zé)人Eric Chiu說。

多租戶并非嚴(yán)格意義上公共云問題。不同的企業(yè)擁有不同的安全實(shí)踐，但是卻可能在私有云和混合云中占用同一個(gè)基礎(chǔ)架構(gòu)。

“在面臨系統(tǒng)風(fēng)險(xiǎn)的時(shí)候，一家擁有良好安全實(shí)踐的企業(yè)可能會(huì)被一家安全實(shí)踐較差的姊妹公司所拖累。類似的事情真的很難衡量和解釋，尤其是在大型跨國企業(yè)中，事情更是如此，”Webb說。

另一個(gè)問題是應(yīng)用層。在設(shè)計(jì)不當(dāng)?shù)乃接性浦?，非關(guān)鍵任務(wù)應(yīng)用程序通常與關(guān)鍵任務(wù)應(yīng)用程序共享相同的資源。“大多數(shù)企業(yè)如何將它們分開呢？”Chiu問道。

“他們氣隙它，所以，對于大多數(shù)虛擬化和私有云環(huán)境而言最大的威脅就是配置錯(cuò)誤，”他說。“80%的停機(jī)都是由不恰當(dāng)?shù)男姓兯斐傻摹?rdquo;

#p#

4.糟糕的安全管理程序和過度緊張的IPS（入侵防御系統(tǒng)）

每一項(xiàng)新技術(shù)都會(huì)帶來新的漏洞，用來彌補(bǔ)這些云或者虛擬化漏洞的是管理程序。

“許多人對于確保虛擬化架構(gòu)的安全這一點(diǎn)置之不理。管理程序本質(zhì)上其實(shí)是一個(gè)網(wǎng)絡(luò)。你在這些機(jī)器上面運(yùn)行整個(gè)網(wǎng)絡(luò)，而大多數(shù)人卻對于其中的流量類型一無所知，”Anthony說。

緩沖區(qū)溢出攻擊成為應(yīng)付管理程序最好的辦法，管理程序總是突然出現(xiàn)在各種設(shè)備中，人們有時(shí)候甚至認(rèn)為不曾擁有過他們，比如Xbox 360等等。

企業(yè)們總認(rèn)為他們能夠駕馭自己云內(nèi)部的信息流量，但是他們可能是在自欺欺人，特別是如果他們依賴于傳統(tǒng)的安全工具。眾所周知，他們需要一個(gè)IPS解決方案來保護(hù)自己的云部署，但是他們卻對實(shí)際問題的嚴(yán)重程度毫不知情。

此外，很多這樣的應(yīng)用程序在默認(rèn)的情況下都擁有數(shù)據(jù)包檢測設(shè)置。換句話說，如果設(shè)備正忙于處理視頻流量，大部分?jǐn)?shù)據(jù)流量都能夠安全地通過，只有很少一部分會(huì)被檢測成為威脅。

IPS通常只會(huì)發(fā)出低層次的警報(bào)或者日志記錄，但是要不是發(fā)現(xiàn)了問題，又有多少IT企業(yè)有時(shí)間來查看這些記錄呢？在虛擬化云環(huán)境下，企業(yè)們需要一個(gè)擁有不同保護(hù)措施的陣列，而他們對這一點(diǎn)往往后知后覺，所以總是進(jìn)行傳統(tǒng)的內(nèi)部設(shè)置?；蛘咚麄円庾R(shí)到了這一點(diǎn)，但是卻因?yàn)轭A(yù)算和時(shí)間的限制而選擇對它無視。

在RSA會(huì)議上，我與IBM的安全管理人員進(jìn)行了交談。他們向我推薦了一系列安全解決方案，這些方案能夠更好地保護(hù)你的云環(huán)境，其中包括擁有20GBps容量的IPS解決方案、DLP和應(yīng)用程序安全等。從這些建議里，我們不難總結(jié)出這樣的結(jié)論，安全問題正成為大多企業(yè)靠自己的力量無法逾越的障礙（參見第一條）。

#p#

5.來自內(nèi)部的威脅

來自內(nèi)部的威脅是否讓你徹夜難眠？不幸的是，虛擬化和云助漲了內(nèi)部威脅的氣焰——至少眼下如此。

“現(xiàn)在，擁有托管數(shù)據(jù)和系統(tǒng)訪問權(quán)限的管理員的數(shù)量要比原來少了很多，因?yàn)樵葡到y(tǒng)是由一個(gè)專門的云架構(gòu)管理團(tuán)隊(duì)進(jìn)行管理的。這就可能讓敏感數(shù)據(jù)對一些個(gè)人開放，而他們之前可能并沒有這樣的訪問權(quán)限，于是，來自內(nèi)部的風(fēng)險(xiǎn)也就大大提高了，”Webb說。如此看來，相比在物理環(huán)境下，在虛擬化環(huán)境中竊取關(guān)鍵數(shù)據(jù)資源也就變得更簡單了。

“當(dāng)銀行出臺(tái)了限制政策，人們總是會(huì)擔(dān)心有些人闖入了物理數(shù)據(jù)中心然后劫走了一箱磁盤，然后堂而皇之地走出來，”Chiu說。這種擔(dān)心會(huì)刺激對于靜態(tài)數(shù)據(jù)更為頻繁地加密。

當(dāng)數(shù)據(jù)加密仍然是一種監(jiān)督手法的時(shí)候，又如何在虛擬環(huán)境中竊取相同的資料呢？

“如果你擁有管理憑據(jù)，你選擇自己想要的虛擬機(jī)，右鍵點(diǎn)擊并且復(fù)制它，”Chiu說。要想發(fā)現(xiàn)某個(gè)人捧著一箱磁盤走出辦公大樓并不困難。所以一臺(tái)USB驅(qū)動(dòng)的虛擬機(jī)不見得會(huì)讓你惹出麻煩。

原文名： 5 Overlooked Threats to Cloud Computing  作者：Jeff Vance

【本文乃51CTO精選譯文，轉(zhuǎn)載請標(biāo)明出處！】

【編輯推薦】

1. 亡羊補(bǔ)牢行不通 基礎(chǔ)設(shè)施安全要與私有云建設(shè)動(dòng)態(tài)適應(yīng)
2. 云中數(shù)據(jù)備份方案的關(guān)鍵：安全和性能
3. 云計(jì)算和智能手機(jī)成2011年安全最大威脅 
4. 一位IaaS提供商自述：我怎樣保障你在云中數(shù)據(jù)的安全
5. 專家解讀：小規(guī)模云的四大安全選擇標(biāo)準(zhǔn)
6. 重發(fā)展不注安全 將成云計(jì)算未來發(fā)展最大阻礙