云安全的12個(gè)陰暗面

過(guò)去十年，云計(jì)算和云安全已經(jīng)取得長(zhǎng)足進(jìn)步，越來(lái)越多的企業(yè)對(duì)云安全的認(rèn)知，從最初的顧忌和恐慌，轉(zhuǎn)變?yōu)槊つ康男湃魏鸵蕾?。但是近年?lái)隨著國(guó)內(nèi)外云安全事件的不斷發(fā)作，企業(yè)必須重新審視云安全問(wèn)題，制定不偏不倚的云安全策略。以下，CTOCIO列舉企業(yè)云計(jì)算安全問(wèn)題的12個(gè)陰暗面，以期能夠拋磚引玉，幫助企業(yè)在云時(shí)代樹立正確的安全觀：

同樣的安全漏洞仍然存在

云計(jì)算并非企業(yè)安全的革命，云實(shí)例與我們的臺(tái)式機(jī)或獨(dú)立服務(wù)器其實(shí)運(yùn)行著相同的操作系統(tǒng)。如果Ubuntu 14中有一個(gè)后門，可以讓攻擊者闖入你的服務(wù)器機(jī)房中的機(jī)器，那幾乎可以肯定，同一個(gè)后門也會(huì)讓某人進(jìn)入你的云端的服務(wù)器版本。我們熱愛(ài)的云實(shí)例能夠替換我們的私有硬件，遺憾的是，同樣的漏洞也會(huì)被替換到云端。

云服務(wù)商善意的偷窺

你在云服務(wù)商提供的私家泳池中一絲不掛地裸泳，卻沒(méi)有留意到樹梢里暗藏的監(jiān)控頭正注視著你的一舉一動(dòng)，以便在你你溺水時(shí)第一時(shí)間發(fā)出警報(bào)。云服務(wù)商往往會(huì)在客戶的系統(tǒng)中暗中植入對(duì)客戶不可見的賬戶，以提高客戶服務(wù)和系統(tǒng)調(diào)試的效率，這一切都是為了客戶，但是不可否認(rèn)的是，這種做法也可能會(huì)被用于惡意目的。

客戶對(duì)云計(jì)算服務(wù)商的信任是無(wú)條件的，包括對(duì)其商業(yè)倫理和廉潔的100%授信，然鵝，沒(méi)有企業(yè)能夠確保100%的員工三觀無(wú)暇。

云計(jì)算還有一層你無(wú)法控制

云實(shí)例通常附帶一層額外的軟件，位于操作系統(tǒng)下，完全超出您的控制范圍。你可以獲得對(duì)操作系統(tǒng)的root訪問(wèn)權(quán)限，但你不會(huì)知道下面發(fā)生了什么。這個(gè)大多數(shù)情況下都無(wú)文檔記錄可循的層可對(duì)流經(jīng)的客戶數(shù)據(jù)執(zhí)行任何操作。

工作人員的老板不是你

云提供商鼓吹自己能提供額外的支持和安全團(tuán)隊(duì)，這些團(tuán)隊(duì)有助于云實(shí)例的安全性和穩(wěn)定性。而大多數(shù)公司都沒(méi)有能力自建這樣的團(tuán)隊(duì)，因此云計(jì)算公司很容易解決小公司無(wú)法解決的問(wèn)題。

但有一個(gè)基本事實(shí)需要明確，云安全團(tuán)隊(duì)的老板不是作為用戶的你。他們不會(huì)向你報(bào)告，他們的未來(lái)與你的底線也沒(méi)什么關(guān)系。你可能不會(huì)知道他們的名字，你最終可能會(huì)通過(guò)不露面的故障單與他們溝通 – 如果他們回信的話。也許這就是你所需要的一切，或者，你也可以雙手合十祈禱。

你不知道你的機(jī)器上有誰(shuí)

云的巨大經(jīng)濟(jì)優(yōu)勢(shì)在于您與其他人分?jǐn)傔\(yùn)維和物理成本，作為代價(jià)，你也將失去硬件的完全控制權(quán)。你不知道正在與誰(shuí)共享同一臺(tái)機(jī)器，可能是一些心地善良的教堂修女正在維護(hù)一個(gè)教區(qū)居民的數(shù)據(jù)庫(kù)，也可能是一個(gè)精神病患者。更糟糕的是，它可能是一個(gè)試圖竊取你的秘密或資金的小偷。

規(guī)模經(jīng)濟(jì)是柄雙刃劍

云計(jì)算規(guī)模經(jīng)濟(jì)的好處是能夠降低成本，因?yàn)?a target="_blank">云計(jì)算公司擁有大量的機(jī)架和硬件，但這也會(huì)導(dǎo)致單一化，使攻擊者變得更輕松和高效，在一個(gè)實(shí)例中找到的漏洞可以快速覆蓋所有類似實(shí)例。

云安全會(huì)增加云成本

云計(jì)算公司已經(jīng)陷入了困境。他們可以通過(guò)關(guān)閉分支預(yù)測(cè)來(lái)抵御分支預(yù)測(cè)等攻擊，但這會(huì)導(dǎo)致一切都變慢。結(jié)果，云服務(wù)商不想降低性能，客戶也不想。而且，在云中，較慢的機(jī)器沒(méi)有價(jià)格優(yōu)勢(shì)。

不同的公司有不同的安全需求

你可能會(huì)經(jīng)營(yíng)一項(xiàng)數(shù)十億美元的銀行業(yè)務(wù)，但也有客戶也許只是一個(gè)圖片社交創(chuàng)業(yè)公司。事實(shí)上，市場(chǎng)上并沒(méi)有“萬(wàn)靈藥”類型的安全業(yè)務(wù)，但云計(jì)算公司從事著標(biāo)準(zhǔn)化和產(chǎn)品化的業(yè)務(wù)，他們的安全標(biāo)準(zhǔn)是面向關(guān)鍵業(yè)務(wù)和應(yīng)用的高標(biāo)準(zhǔn)?還是偷工減料為非關(guān)鍵應(yīng)用程序提供低價(jià)套餐?沒(méi)有正確的決定，因?yàn)槊總€(gè)客戶都是不同的，實(shí)際上，客戶也有不同的需求。甚至每個(gè)應(yīng)用程序內(nèi)的每個(gè)微服務(wù)都是不同的。

一切都是不透明的

云本質(zhì)上是一個(gè)黑暗的計(jì)算能力池，這個(gè)不透明往往使我們陷入一種蜜汁自信——如果我們不知道自己的芯片在哪里，攻擊者也不知道。但我們只是祈禱并假設(shè)攻擊者無(wú)法找到共享我們機(jī)器的方法，原因很可笑，因?yàn)槲覀円膊恢涝品?wù)商如何分配機(jī)器。但是，如果有一種模式可以被利用呢?如果有一些秘密漏洞可以用來(lái)大幅改變攻防賠率怎么辦?

惡意訪問(wèn)依然能夠“耗干”你的云資源

云計(jì)算的一個(gè)關(guān)鍵特性是它可以自動(dòng)升級(jí)擴(kuò)容來(lái)匹配需求波動(dòng)。如果訪問(wèn)請(qǐng)求數(shù)量激增(例如惡意訪問(wèn))，云計(jì)算可以啟動(dòng)新的實(shí)例來(lái)保證性能。麻煩的是，創(chuàng)造虛假需求非常容易。攻擊者可以觸發(fā)您的某個(gè)應(yīng)用，通過(guò)數(shù)千次快速訪問(wèn)來(lái)啟動(dòng)新實(shí)例。如果云計(jì)算公司在需求激增時(shí)為新硬件供電，該怎么辦?如果所有新實(shí)例都停留在這個(gè)新啟動(dòng)的硬件上怎么辦?攻擊者可以在觸發(fā)云擴(kuò)展后立即請(qǐng)求新實(shí)例，這樣一來(lái)，每個(gè)人共享相同內(nèi)存空間的可能性要大得多。

太多克隆增加了攻擊面

許多云架構(gòu)師喜歡使用許多小型機(jī)器的模塊，這些機(jī)器可以隨著需求的上升和下降而啟動(dòng)和停止。大量克隆的小機(jī)器同時(shí)也意味著私密數(shù)據(jù)被不斷克隆。如果有一些私鑰用于簽署文檔或登錄數(shù)據(jù)庫(kù)，則所有克隆的實(shí)例都將擁有它。這意味著攻擊者有N個(gè)目標(biāo)而不是一個(gè)，大大增加了攻擊者登陸相同物理硬件的可能性。

云安全的黑暗森林法則

雖然云計(jì)算的攻擊已經(jīng)不是假設(shè)，但并不容易執(zhí)行。云安全的一大優(yōu)勢(shì)在于它是一個(gè)體量龐大的暗黑計(jì)算池。攻擊者很難找到特定的目標(biāo)數(shù)據(jù)?而且他們闖入同一個(gè)內(nèi)存空間的幾率也不高?大多數(shù)客戶相信，在云計(jì)算的暗黑森林中，黑客很難找到我們，因此我們是安全的，是嗎?

網(wǎng)站名稱：云安全的12個(gè)陰暗面
文章地址：http://www.muchs.cn/news36/102436.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、面包屑導(dǎo)航、搜索引擎優(yōu)化、手機(jī)網(wǎng)站建設(shè)、定制開發(fā)、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)