有關(guān)云計(jì)算安全的兩個(gè)大謊言
2011/08/11
HyperStratus咨詢公司首席執(zhí)行官伯納德.戈?duì)柕?Bernard Golden)撰文指出�,一個(gè)接一個(gè)的調(diào)查表明,對(duì)于公有云計(jì)算����,安全是潛在用戶最擔(dān)心的問題����。例如�����,2010年4月的一項(xiàng)調(diào)查指出����,45%的以上的受訪者認(rèn)為云計(jì)算帶來的風(fēng)險(xiǎn)超過了收益。CA和Ponemon Institute進(jìn)行的一項(xiàng)調(diào)查也發(fā)現(xiàn)了用戶有此類擔(dān)心�����。但是,他們還發(fā)現(xiàn)�,盡管用戶存在這種疑問,云應(yīng)用還是在部署著��。類似調(diào)查和結(jié)果的持續(xù)發(fā)布表明人們對(duì)云計(jì)算安全的不信任繼續(xù)存在著�。
不可否認(rèn),大多數(shù)對(duì)云計(jì)算安全的擔(dān)心都與公有云計(jì)算有關(guān)��。全球IT從業(yè)者不斷地對(duì)使用一個(gè)公有云服務(wù)提供商提出同樣的問題���。例如���,戈?duì)柕墙谌チ伺_(tái)灣并且在臺(tái)灣云SIG會(huì)議上發(fā)表了演講。有250人參加了這個(gè)會(huì)議��。正如預(yù)料的那樣��,人們向他提出的第一個(gè)問題是“公有云計(jì)算環(huán)境足夠安全嗎��,我是否應(yīng)該使用私有云以避免安全問題?”所有的人似乎都認(rèn)為公有云服務(wù)提供商是不可信賴的���。
然而��,把云安全的討論歸結(jié)為“公有云不安全���,私有云安全”的公式似乎過于簡(jiǎn)單化。簡(jiǎn)單地說��,這個(gè)觀點(diǎn)存在兩個(gè)大謊言(或者說是兩個(gè)基本的誤會(huì))����。主要原因是這種新的計(jì)算模式迫使安全產(chǎn)品和方法發(fā)生了巨大變化。
第一個(gè)云安全謊言:私有云很安全
第一個(gè)謊言是私有云是安全的�����。這個(gè)結(jié)論的依據(jù)僅僅是私有云的定義:私有云是在企業(yè)自己的數(shù)據(jù)中心邊界范圍內(nèi)部署的�。這個(gè)誤解產(chǎn)生于這樣一個(gè)事實(shí):云計(jì)算包含與傳統(tǒng)的計(jì)算不同的兩個(gè)關(guān)鍵區(qū)別:虛擬化和動(dòng)態(tài)性。
第一個(gè)區(qū)別是����,云計(jì)算的技術(shù)基礎(chǔ)建立在一個(gè)應(yīng)用的管理程序的基礎(chǔ)上。管理程序能夠把計(jì)算(及其相關(guān)的安全威脅)與傳統(tǒng)的安全工具隔離開����,檢查網(wǎng)絡(luò)通訊中不適當(dāng)?shù)幕蛘邜阂獾臄?shù)據(jù)包。由于在同一臺(tái)服務(wù)器中的虛擬機(jī)能夠完全通過管理程序中的通信進(jìn)行溝通,數(shù)據(jù)包能夠從一個(gè)虛擬機(jī)發(fā)送到另一個(gè)虛擬機(jī)��,不必經(jīng)過物理網(wǎng)絡(luò)����。而一般安裝的安全設(shè)備通常會(huì)在物理網(wǎng)絡(luò)檢查通訊流量。
至關(guān)重要的是����,這意味著如果一個(gè)虛擬機(jī)被攻破,它能夠把危險(xiǎn)的通信發(fā)送到另一個(gè)虛擬機(jī)�,傳統(tǒng)的防護(hù)措施甚至都不會(huì)察覺。換句話說�����,一個(gè)不安全的應(yīng)用程序能夠造成對(duì)其他虛擬機(jī)的攻擊����,用戶采用的安全措施對(duì)此卻無能為力。僅僅因?yàn)橐粋(gè)用戶的應(yīng)用程序位于私有云并不能確保這個(gè)應(yīng)用程序不會(huì)出現(xiàn)安全問題�。
當(dāng)然,人們也許會(huì)指出����,這個(gè)問題是與虛擬化一起出現(xiàn)的,沒有涉及到云計(jì)算的任何方面。這個(gè)觀點(diǎn)是正確的�����。云計(jì)算代表了虛擬化與自動(dòng)化的結(jié)合��。它是導(dǎo)致私有云出現(xiàn)另一個(gè)安全缺陷的第二個(gè)因素����。
云計(jì)算應(yīng)用程序得益于自動(dòng)化以實(shí)現(xiàn)靈活性和彈性�����,能夠通過快速遷移虛擬機(jī)和啟動(dòng)額外的虛擬機(jī)來管理不斷變化的流量負(fù)載類型�����,并對(duì)不斷變化的應(yīng)用狀況做出回應(yīng)�����。這意味著新的實(shí)例在幾分鐘之內(nèi)就可以上線��,不需要任何人工干預(yù)��。這也意味著任何必要的軟件安裝或者配置也必須實(shí)現(xiàn)自動(dòng)化。這樣���,當(dāng)新的實(shí)例加入現(xiàn)有的應(yīng)用程序池的時(shí)候���,它能夠立即作為一個(gè)資源被其他應(yīng)用使用。
同樣����,它還意味著任何必須的安全軟件必須自動(dòng)化地進(jìn)行安裝和配置,不能有人工干預(yù)���。遺憾的是�,目前許多機(jī)構(gòu)還必須依靠安全人員或者系統(tǒng)管理員人工安裝和配置必要的安全組件��,而且這通常是作為這臺(tái)機(jī)器的其它軟件組件安裝和配置完畢之后的第二個(gè)步驟�。
換句話說,許多機(jī)構(gòu)在安全措施實(shí)踐與云要求的現(xiàn)實(shí)方面是不匹配的���,F(xiàn)在可以認(rèn)為私有云本身是安全的這個(gè)觀點(diǎn)是不正確的�。在用戶的安全和基礎(chǔ)設(shè)施實(shí)踐與自動(dòng)化的實(shí)例一致之前��,肯定會(huì)產(chǎn)生安全漏洞��。
而且,使它們一致是非常重要的�����。否則�,可能出現(xiàn)這種情況:用戶的應(yīng)用程序自動(dòng)化超過了安全實(shí)踐的應(yīng)對(duì)能力。這不是一個(gè)好現(xiàn)象���。毫無疑問,人們不想面對(duì)為什么好像安全的私有云最終還是有安全漏洞���,因?yàn)樵朴?jì)算的自動(dòng)化特征還沒有擴(kuò)展到軟件基礎(chǔ)設(shè)施的所有方面�����。
因此���,關(guān)于云計(jì)算的第一個(gè)大謊言的結(jié)果是:私有云本身就是不安全的。
第二個(gè)云安全謊言:公有云很不安全
關(guān)于云計(jì)算安全的第二個(gè)謊言是對(duì)公有云安全的假設(shè)��,特別是錯(cuò)誤的認(rèn)為公有云計(jì)算的安全完全取決于云服務(wù)提供商�,F(xiàn)實(shí)是,服務(wù)提供商領(lǐng)域的安全是提供商與用戶共同承擔(dān)的責(zé)任�。服務(wù)提供商負(fù)責(zé)基礎(chǔ)設(shè)施的安全以及應(yīng)用程序與托管環(huán)境之間接口的安全;用戶負(fù)責(zé)接入環(huán)境接口的安全��,更重要的是負(fù)責(zé)應(yīng)用程序本身的內(nèi)部安全���。
沒有正確地配置應(yīng)用程序,如環(huán)境安全接口����,或者沒有采取適當(dāng)?shù)膽?yīng)用程序級(jí)安全預(yù)防措施,會(huì)使用戶產(chǎn)生一些問題���。任何提供商也許都不會(huì)對(duì)這種來自用戶應(yīng)用程序內(nèi)部的安全問題承擔(dān)責(zé)任��。
讓筆者提供一個(gè)例子��。與我們合作的一家公司把自己核心的應(yīng)用程序放在亞馬遜的Web服務(wù)中���。遺憾的是這家公司既沒有針對(duì)亞馬遜Web服務(wù)安全機(jī)制可能存在的漏洞部署安全措施,也沒有針對(duì)應(yīng)用程序設(shè)計(jì)的問題采取安全防御措施��。
實(shí)際上��,亞馬遜提供了一個(gè)虛擬機(jī)級(jí)別的防火墻(稱作安全組)��。人們配置這個(gè)防火墻以允許數(shù)據(jù)包訪問具體的端口���。與安全組有關(guān)的最佳做法是對(duì)它們進(jìn)行分區(qū)����,這樣,就會(huì)為每一個(gè)虛擬機(jī)提供非常精細(xì)的訪問端口�。這將保證只有適用于那種機(jī)器類型的通信流量才能夠訪問一個(gè)實(shí)例。例如���,一臺(tái)Web服務(wù)器虛擬機(jī)經(jīng)過配置允許端口80上的通信訪問這個(gè)實(shí)例���,同時(shí),數(shù)據(jù)庫(kù)虛擬機(jī)經(jīng)過配置允許端口80上的通信訪問這個(gè)實(shí)例��。這就阻止了來自外部的利用web通信對(duì)包含重要應(yīng)用程序數(shù)據(jù)的數(shù)據(jù)庫(kù)實(shí)例的攻擊����。
要建立一個(gè)安全的應(yīng)用程序�����,人們必須正確地使用安全組���。但下述這個(gè)用戶沒有這樣做����。它對(duì)于訪問所有實(shí)例的通信都使用一個(gè)安全組。這意味著訪問任何實(shí)例的任何類型的通信都可以訪問每一種類型的實(shí)例�����。這顯然是沒有正確使用亞馬遜Web服務(wù)安全機(jī)制的一個(gè)例子�����。
關(guān)于用戶的應(yīng)用程序本身�����,它也采用了很糟糕的安全措施����。它沒有在不同類型的機(jī)器之中對(duì)應(yīng)用程序代碼進(jìn)行分區(qū),而是把所有的應(yīng)用程序代碼都裝載到同一個(gè)實(shí)例中��。這個(gè)實(shí)例可以接收來自其企業(yè)網(wǎng)站的通信流量�,以及包含專有算法的代碼。
這種情況的關(guān)鍵事實(shí)是:如果這個(gè)用戶以為所有的安全責(zé)任都由云服務(wù)提供商來承擔(dān)(在這個(gè)案例中是亞馬遜Web服務(wù))��,這將是一個(gè)嚴(yán)重的疏忽����,因?yàn)橛脩舯旧頉]有采取重要的步驟來解決安全問題���,而這個(gè)安全問題是任何一個(gè)云服務(wù)提供商都不會(huì)承擔(dān)相關(guān)責(zé)任的。這就是共同承擔(dān)責(zé)任的意義——雙方必須建立自己控制的安全范疇��。如果沒有這樣做��,就意味著應(yīng)用程序是不安全的���。即使云服務(wù)提供商在自己控制的范圍內(nèi)所做的一切都是正確而且完善的����,若是這個(gè)應(yīng)用程序的所有者沒有正確地履行自己的責(zé)任���,這個(gè)應(yīng)用程序也將會(huì)變得不安全。
戈?duì)柕欠Q����,我曾經(jīng)見過許多安全人員討論有關(guān)公有云服務(wù)提供商的問題。他們拒絕承擔(dān)自己的公司在公有云環(huán)境中應(yīng)該承擔(dān)的責(zé)任��,堅(jiān)持把每一個(gè)安全問題轉(zhuǎn)向?qū)υ品⻊?wù)提供商的擔(dān)心����。
坦率地說���,這使我感到他們的想法很輕率。因?yàn)檫@暗示著他們拒絕認(rèn)真地做一些必要的工作以便創(chuàng)建一個(gè)基于公有云服務(wù)提供商的盡可能安全的應(yīng)用程序���。這個(gè)態(tài)度顯示����,好像所有的安全責(zé)任都在云服務(wù)提供商身上��,再進(jìn)一步發(fā)展就是認(rèn)為他的公司與在公有云服務(wù)提供商環(huán)境中運(yùn)行的應(yīng)用程序的任何安全事故都無關(guān)�。因此,以下這種論點(diǎn)并不讓人感到意外:有關(guān)人士堅(jiān)決支持私有云�,聲稱私有云與公有云相比有優(yōu)越的安全性。
現(xiàn)實(shí)情況是��,用戶正在越來越多地在公有云服務(wù)提供商環(huán)境中部署應(yīng)用程序�。安全組織保證自己采取一切可能的步驟盡可能安全地執(zhí)行應(yīng)用程序是非常重要的。這意味著用戶本身也需要在這方面采取些相關(guān)的措施���。
因此�,安全是云計(jì)算的第三條軌道。安全一直被說成是私有云固有的好處和公有云計(jì)算的基本缺陷�。實(shí)際上,事實(shí)比這些情況暗示的還要模糊不清�。斷言公有云環(huán)境有安全缺陷,不認(rèn)真考慮如何緩解這些不安全因素��,是不很負(fù)責(zé)任的說法����。
一個(gè)管理不善和配置糟糕的私有云應(yīng)用程序是同樣會(huì)非常容易受到攻擊。而一個(gè)管理妥當(dāng)?shù)暮团渲煤细竦墓苍茟?yīng)用程序卻能夠達(dá)到很好的安全性�。把這種情況描繪成非黑即白地簡(jiǎn)單化,會(huì)危害云環(huán)境的正常發(fā)展��。
在如何選擇兩種不同的云環(huán)境時(shí)�,更有建設(shè)性的做法是詢問必須采取什么行動(dòng)才能實(shí)現(xiàn)在時(shí)間、預(yù)算和容許風(fēng)險(xiǎn)的條件下盡可能保證應(yīng)用程序安全的目標(biāo)�������?紤]到一個(gè)具體的環(huán)境和應(yīng)用��,安全從來不是一個(gè)或黑或白的簡(jiǎn)單問題��,而是如何盡可能地將兩種云計(jì)算類型所面臨的安全灰色地帶如何照亮的問題��。如果沒有意識(shí)到上述觀點(diǎn)��,對(duì)于如何保證一個(gè)企業(yè)的基礎(chǔ)設(shè)施建設(shè)盡可能提高效率和節(jié)約成本來說沒有一點(diǎn)好處�����。
編看編想:云計(jì)算火熱中的冷靜
自云計(jì)算的概念提出以來�,有關(guān)云計(jì)算的安全問題一直是被關(guān)注的重點(diǎn)。雖然說最近兩年云計(jì)算的產(chǎn)品不斷充斥著整個(gè)市場(chǎng)��,但是用戶也不應(yīng)該被包裹著云計(jì)算外衣的形形色色的產(chǎn)品沖昏了頭��。這些產(chǎn)品是真的實(shí)現(xiàn)了云計(jì)算嗎?其實(shí)���,在記者看來��,云計(jì)算還沒有像表面上顯示的已經(jīng)成熟到了產(chǎn)品化的程度��。它的安全問題一直還未完美解決�����。
就像上述那篇文章寫的那樣�,無論是公有云和私有云,自動(dòng)化是其最先要實(shí)現(xiàn)的目標(biāo)之一���。而現(xiàn)實(shí)情況卻是�,安全設(shè)備的安裝還得依靠人工的干預(yù)��。另外����,虛擬化帶來的安全問題也只是才剛剛起步,至少目前來看���,虛擬環(huán)境中的安全與傳統(tǒng)物理環(huán)境中的安全措施相比��,還有很大一截需要追趕��。所以��,想要遷移至云計(jì)算環(huán)境中的用戶�,請(qǐng)擦亮自己的眼睛��,詳細(xì)了解用戶與云計(jì)算供應(yīng)商所要承擔(dān)的安全責(zé)任��,因?yàn)榘踩脑朴?jì)算環(huán)境是需要用戶與供應(yīng)商共同來維護(hù)的�����。
網(wǎng)界網(wǎng)
相關(guān)閱讀: