沈建苗

目前的經濟衰退使云計算成了一個熱門話題，新興公司和小企業(yè)正競相使用互聯網上的虛擬機來節(jié)省資金，而大企業(yè)則試圖把客戶關系管理等應用程序放到Salesforce.com之類的平臺上。不過，專家們則提示，許多公司把自己的基礎架構轉移到云中時要更留意安全陷阱。

安全公司SensePost的技術主管Haroon Meet說：“低端用戶希望利用云基礎架構來節(jié)省資金，但是危險在于．高端用戶也正在未經任何審計的情況下開始使用云基礎架構。”他在黑帽安全大會上討論了他所領導的小組對亞馬遜彈性計算云(EC2)進行的研究。

他們的實驗表明，許多公司經常不會看一眼從一些提供商處獲得的第三方機器實例。Meer表示，惡意實例很容易被設計成特洛伊木馬，從而闖入公司的內部網絡。

這里我們找來了黑帽安全大會報告上汲取的五個教訓，希望對各位云計算的熱衷者一些警示：

云計算提供的法律保護仍不充足

公司需要認識到：云中的數據在搜查和沒收方面受制于比較低的法律標準。政府部門或負責發(fā)現數據的律師沒有搜查令就可以命令服務商交出數據。iSec Partners公司的首席安全顧問Alex Stamos表示，云服務提供商比較關心的是保護自己，而不是保護客戶，所以別指望服務協議的法律條款會有利于貴公司。

Stamos說：“所有這些云服務公司都有非常活躍、訓練有素的法律部門。因而，你在購買這些服務后簽訂的協議基本上保證你絕對占不到任何便宜。”他表示，如果有人因提供商的過失而非法闖入，客戶同意提供商不用負責。如果數據因數據中心故障而出現丟失，提供商也沒有義務為你采取任何補救措施。

要是有條款表明對方會盡力幫助你，就算很不錯了。

Stamos說：“如果他們在合同中注明條款表明要是出現安全泄密事件，他們會盡力幫助你，這就已經很不錯了。提供商出于職業(yè)道德有一副古道熱腸，但它們的律師卻冷酷無情?！?/p>

硬件不歸你所有

如果企業(yè)想要審計提供商、自己進行一番測試，就要記?。河布嶋H不歸企業(yè)自己所有。Stamos提醒．進行漏洞掃描或滲透測試需要得到云服務提供商的明確許可。不然，就相當于客戶在非法闖入提供商的系統。他表示，盡管有些服務協議(比如亞馬遜的協議)明確規(guī)定：客戶可以測試在提供商系統上運行的自有軟件，但關鍵是要得到明確許可。

他說：“如果你需要對云中的應用程序進行滲透測試，他們(法律專家)建議，你應當得到對方公司某個人的許可。因為按照法律的字面意思，這些機器在法律上歸誰所有非常重要?！?/p>

需要強有力的政策和用戶教育

盡管云計算為企業(yè)帶來了巨大的好處，比如允許從任何地方訪問數據、為IT人員消除了頭痛的維護問題，但隨時可用的服務也意味著，那些原本只會對在家辦公的員工產生威脅的網絡釣魚攻擊，現在也可能危及到公司。iSEC的Starnos表示，關鍵是讓用戶知道，不但自己面臨那些危險，自己所在的公司也將因自己的行為而面臨同樣的風險。

他說：“讓貴公司的所有非技術用戶懂得如何避免成為網絡釣魚的目標非常難，但事實是，就軟件即服務(SaaS)而言，網絡釣魚攻擊不會僅僅是個人問題，而是正逐漸成為殃及整個企業(yè)的安全問題?！?/p>

不要相信機器實例

Meer表示，使用提供商提供的虛擬機時，比如在亞馬遜EC2基礎架構上創(chuàng)建的第三方實例，公司千萬不要完全相信這種系統。SensePost公司的研究人員粗粗瀏覽了許多預配置的實例后，發(fā)現了緩存中的驗證密鑰、信用卡數據，也證實惡意軟件有可能隱藏在系統里面。更讓人擔心的是，大多數客戶尚沒有意識到使用第三方開發(fā)人員開發(fā)的機器映像會帶來什么安全隱患。

Meet說：“有些客戶把整臺驗證服務器都建立在云計算服務商的預置映像上，這或許比忘記修改銀行帳號默認密碼還危險?！?/p>

他表示，公司應當建立自己的映像供內部使用，或者借助技術和法律手段保護自己，遠離可能不懷好意的第三方開發(fā)人員。

重新考慮假定的想法

在任何情況下，企業(yè)的信息技術管理人員在考慮安全時，都要重新考慮在云方面的假定想法。

比方說，在你部署一款應用程序以便在虛擬化數據中心的計算實例上運行時，本想依靠隨機數生成功能來產生一些差異的特性代碼，從而避免非授權者以系統默認方式輕易入侵。但有時，這一手段未必會按預期的那樣正常工作。iSEC的Starnos表示，問題在于，虛擬系統的隨機性要比物理系統弱得多，所以隨機數可能會被猜中。他說：“你必須考慮更多細節(jié)方面的問題，以完善云中的虛擬應用防護體系?！?/p>