沈建苗

目前的經(jīng)濟(jì)衰退使云計算成了一個熱門話題，新興公司和小企業(yè)正競相使用互聯(lián)網(wǎng)上的虛擬機(jī)來節(jié)省資金，而大企業(yè)則試圖把客戶關(guān)系管理等應(yīng)用程序放到Salesforce.com之類的平臺上。不過，專家們則提示，許多公司把自己的基礎(chǔ)架構(gòu)轉(zhuǎn)移到云中時要更留意安全陷阱。

安全公司SensePost的技術(shù)主管Haroon Meet說：“低端用戶希望利用云基礎(chǔ)架構(gòu)來節(jié)省資金，但是危險在于．高端用戶也正在未經(jīng)任何審計的情況下開始使用云基礎(chǔ)架構(gòu)。”他在黑帽安全大會上討論了他所領(lǐng)導(dǎo)的小組對亞馬遜彈性計算云(EC2)進(jìn)行的研究。

他們的實驗表明，許多公司經(jīng)常不會看一眼從一些提供商處獲得的第三方機(jī)器實例。Meer表示，惡意實例很容易被設(shè)計成特洛伊木馬，從而闖入公司的內(nèi)部網(wǎng)絡(luò)。

這里我們找來了黑帽安全大會報告上汲取的五個教訓(xùn)，希望對各位云計算的熱衷者一些警示：

云計算提供的法律保護(hù)仍不充足

公司需要認(rèn)識到：云中的數(shù)據(jù)在搜查和沒收方面受制于比較低的法律標(biāo)準(zhǔn)。政府部門或負(fù)責(zé)發(fā)現(xiàn)數(shù)據(jù)的律師沒有搜查令就可以命令服務(wù)商交出數(shù)據(jù)。iSec Partners公司的首席安全顧問Alex Stamos表示，云服務(wù)提供商比較關(guān)心的是保護(hù)自己，而不是保護(hù)客戶，所以別指望服務(wù)協(xié)議的法律條款會有利于貴公司。

Stamos說：“所有這些云服務(wù)公司都有非?；钴S、訓(xùn)練有素的法律部門。因而，你在購買這些服務(wù)后簽訂的協(xié)議基本上保證你絕對占不到任何便宜。”他表示，如果有人因提供商的過失而非法闖入，客戶同意提供商不用負(fù)責(zé)。如果數(shù)據(jù)因數(shù)據(jù)中心故障而出現(xiàn)丟失，提供商也沒有義務(wù)為你采取任何補救措施。

要是有條款表明對方會盡力幫助你，就算很不錯了。

Stamos說：“如果他們在合同中注明條款表明要是出現(xiàn)安全泄密事件，他們會盡力幫助你，這就已經(jīng)很不錯了。提供商出于職業(yè)道德有一副古道熱腸，但它們的律師卻冷酷無情?！?/p>

硬件不歸你所有

如果企業(yè)想要審計提供商、自己進(jìn)行一番測試，就要記住：硬件實際不歸企業(yè)自己所有。Stamos提醒．進(jìn)行漏洞掃描或滲透測試需要得到云服務(wù)提供商的明確許可。不然，就相當(dāng)于客戶在非法闖入提供商的系統(tǒng)。他表示，盡管有些服務(wù)協(xié)議(比如亞馬遜的協(xié)議)明確規(guī)定：客戶可以測試在提供商系統(tǒng)上運行的自有軟件，但關(guān)鍵是要得到明確許可。

他說：“如果你需要對云中的應(yīng)用程序進(jìn)行滲透測試，他們(法律專家)建議，你應(yīng)當(dāng)?shù)玫綄Ψ焦灸硞€人的許可。因為按照法律的字面意思，這些機(jī)器在法律上歸誰所有非常重要?！?/p>

需要強有力的政策和用戶教育

盡管云計算為企業(yè)帶來了巨大的好處，比如允許從任何地方訪問數(shù)據(jù)、為IT人員消除了頭痛的維護(hù)問題，但隨時可用的服務(wù)也意味著，那些原本只會對在家辦公的員工產(chǎn)生威脅的網(wǎng)絡(luò)釣魚攻擊，現(xiàn)在也可能危及到公司。iSEC的Starnos表示，關(guān)鍵是讓用戶知道，不但自己面臨那些危險，自己所在的公司也將因自己的行為而面臨同樣的風(fēng)險。

他說：“讓貴公司的所有非技術(shù)用戶懂得如何避免成為網(wǎng)絡(luò)釣魚的目標(biāo)非常難，但事實是，就軟件即服務(wù)(SaaS)而言，網(wǎng)絡(luò)釣魚攻擊不會僅僅是個人問題，而是正逐漸成為殃及整個企業(yè)的安全問題?！?/p>

不要相信機(jī)器實例

Meer表示，使用提供商提供的虛擬機(jī)時，比如在亞馬遜EC2基礎(chǔ)架構(gòu)上創(chuàng)建的第三方實例，公司千萬不要完全相信這種系統(tǒng)。SensePost公司的研究人員粗粗瀏覽了許多預(yù)配置的實例后，發(fā)現(xiàn)了緩存中的驗證密鑰、信用卡數(shù)據(jù)，也證實惡意軟件有可能隱藏在系統(tǒng)里面。更讓人擔(dān)心的是，大多數(shù)客戶尚沒有意識到使用第三方開發(fā)人員開發(fā)的機(jī)器映像會帶來什么安全隱患。

Meet說：“有些客戶把整臺驗證服務(wù)器都建立在云計算服務(wù)商的預(yù)置映像上，這或許比忘記修改銀行帳號默認(rèn)密碼還危險?！?/p>

他表示，公司應(yīng)當(dāng)建立自己的映像供內(nèi)部使用，或者借助技術(shù)和法律手段保護(hù)自己，遠(yuǎn)離可能不懷好意的第三方開發(fā)人員。

重新考慮假定的想法

在任何情況下，企業(yè)的信息技術(shù)管理人員在考慮安全時，都要重新考慮在云方面的假定想法。

比方說，在你部署一款應(yīng)用程序以便在虛擬化數(shù)據(jù)中心的計算實例上運行時，本想依靠隨機(jī)數(shù)生成功能來產(chǎn)生一些差異的特性代碼，從而避免非授權(quán)者以系統(tǒng)默認(rèn)方式輕易入侵。但有時，這一手段未必會按預(yù)期的那樣正常工作。iSEC的Starnos表示，問題在于，虛擬系統(tǒng)的隨機(jī)性要比物理系統(tǒng)弱得多，所以隨機(jī)數(shù)可能會被猜中。他說：“你必須考慮更多細(xì)節(jié)方面的問題，以完善云中的虛擬應(yīng)用防護(hù)體系?！?/p>