云計算面臨七大安全威脅
2011/06/20
安全問題是擋在云計算規(guī)模商用道路上的巨大障礙�。幫助人們解決對云計算安全威脅擔心的第一步��,就是正確地識別安全威脅�����,以下是目前云計算面臨的七大安全威脅����。
威脅一:拒絕服務攻擊
首先,云計算以寬帶網(wǎng)絡和Web方式提供服務���,其可用性方面將會受到挑戰(zhàn)�����,針對云計算服務的拒絕服務攻擊��,需要云計算服務提供商認真調(diào)查����、采取相應的專門保護措����。其次,云計算快速彈性的特征��,要求服務提供商自身必須具備非常強大的網(wǎng)絡和服務器資源�,按需服務的特征,又對業(yè)務開通和服務變更等環(huán)節(jié)提出了靈活性的要求��。這兩個特征結(jié)合在一起���,使得云計算服務很容易成為濫用�、惡意使用服務的溫床。在2010年Defcon大會上���,David Bryan公開演示了如何在Amazon的云計算服務平臺上以6美元的成本對目標網(wǎng)站發(fā)起致命的拒絕服務攻擊���。利用云計算服務來破解密碼、搭建僵尸網(wǎng)絡等惡意使用案例也屢有發(fā)生����。
威脅二:不安全的接口和API
“開放”是云計算時代的一個重要的業(yè)務變革方向。云計算服務商需要提供大量的網(wǎng)絡接口和API(應用程序編程接口)來整合上下游���、尋找業(yè)務伙伴���,甚至直接提供業(yè)務。
但是�,開發(fā)過程中的安全測試、運行過程中的滲透測試����,以及測試工具、測試方法等����,在針對網(wǎng)絡接口和API上都還不夠成熟���,這些通常工作于后臺相對安全環(huán)境的功能被開放出來后�,將會帶來新的安全威脅。
威脅三:惡意的內(nèi)部員工
Verizon Business最新的數(shù)據(jù)泄漏調(diào)查報告顯示����,48%的數(shù)據(jù)泄漏是由于惡意的內(nèi)部人士所為。云計算服務作為某種程度上的外包業(yè)務�����,工作上有權(quán)限�����、有能力接觸并處理用戶數(shù)據(jù)的范圍進一步擴大����,其中包括用戶自己的內(nèi)部人士、供應商員工����、云計算服務商的管理維護人員���、云計算服務商的供應商員工等。這種訪問范圍的擴大�,增加了惡意的“內(nèi)部員工”濫用數(shù)據(jù)和服務的可能性。
威脅四:共享技術(shù)產(chǎn)生的問題
資源的虛擬池化和共享是云計算的根本���,但是這種共享并不是沒有代價的����,最為典型的代價就是使得安全性降低�����。事實上�,針對虛擬層的安全研究已經(jīng)被廣為重視,從2007年開始�����,主流的虛擬層軟件屢有漏洞被發(fā)現(xiàn)��。
威脅五:數(shù)據(jù)泄漏
數(shù)據(jù)泄漏是云計算����、尤其是公共“云”最被人們擔心的問題���。企業(yè)或組織的管理層和IT決策者,需要仔細評估云計算提供商對數(shù)據(jù)的保護能力��。很多威脅都可能導致云中的數(shù)據(jù)丟失和泄漏����。云中關(guān)鍵數(shù)據(jù)的高密度聚合��,給潛在的攻擊者帶來極大的誘惑��。
密鑰的管理也是一個挑戰(zhàn)��,密鑰的丟失會導致數(shù)據(jù)毀壞����,密鑰的國度分享又會削弱加密的效果。另外��,由于同宿主機上其他客戶的法律取證要求�,也可能會導致不必要的數(shù)據(jù)外泄和損失。
威脅六:賬號和服務劫持
傳統(tǒng)的服務和會話劫持已經(jīng)廣為人知��,云計算給賬號和服務“劫持”又增添了不少新的含義��。在云環(huán)境中,如果攻擊者能夠獲得你的賬號信息�,他們就可以竊聽你的活動和交易,操縱處理的數(shù)據(jù)��,發(fā)送虛假的信息��,將你的客戶引到假冒的站點����,并且被“劫持”的服務和賬號可能會被利用,以便發(fā)起新的攻擊�����。
威脅七:未知的風險場景
云計算服務商和用戶之間存在很大的信息不對稱性����。一方面,用戶選擇將自己的IT計算和服務外包給云服務提供商���,就是為了解放和優(yōu)化自己的資源�����,所以沒有必要也沒有足夠的資源去全面洞察“云”中的所有細節(jié);另一方面��,云服務提供商出于商業(yè)機密和安全考慮�����,并不情愿分享所有的關(guān)鍵信息(即使是和安全直接相關(guān)的)����。在這種情形下,云計算的用戶必然需要處理大量的未知安全風險��。
實際上���,這些未知安全風險,也就是說那些未知漏洞是云中真正的危險�����,而軟件版本����、安全實踐、代碼更新��、漏洞情況���、入侵企圖����、安全設(shè)計等,都是可以幫助評估自身所面臨的安全風險的重要因素���。
中國信息產(chǎn)業(yè)網(wǎng)-人民郵電報
相關(guān)閱讀: