云計算是一種新的計算方式,它依托于互聯(lián)網(wǎng),以網(wǎng)絡技術、分布式計算為基礎,實現(xiàn)按需自服務、快速彈性構建、服務可測量等特點的新一代計算方式。然而,任何以互聯(lián)網(wǎng)為基礎的應用都存在著一定危險性,云計算也不例外,安全問題從云計算誕生那天開始就一直受人關注。當所有的計算行為和數(shù)據(jù)存儲都散布在聚散無形虛無縹緲的云中的時候,人們將會普遍感到失控的恐慌。還記得《手機》這部電影嗎?手機給生活提供了極大便利,但也給人帶來了無盡煩惱,將人與人之間的距離拉得太近了,毫無隱私可言,讓人都喘不過氣來。云計算可以說比手機還甚,云計算中的數(shù)據(jù)對于數(shù)據(jù)所有者以外的其它云計算用戶是保密的,但是對于提供云計算的商業(yè)機構而言確是毫無秘密可言。當然,這還不是問題關鍵,人們收入和資金方面有隱私,但并不妨礙人們樂于將資金放到銀行里管理,最為關鍵的還是云計算自身安全技術的問題。云計算作為一種新計算技術,要面臨更多安全威脅。云安全聯(lián)盟是中立的非盈利世界性行業(yè)組織,致力于國際云計算安全的全面發(fā)展,也是云計算安全領域的權威組織。云安全聯(lián)盟在2016年的報告中提出十二大云安全威脅,本文依據(jù)此并結合實際應用,總結出云計算的安全威脅“集中營”。
安全域無邊界
在對外提供云計算業(yè)務之前,數(shù)據(jù)中心都是獨立機房,由邊界防火墻隔離成內(nèi)外兩塊。防火墻內(nèi)部屬于可信區(qū)域,自己獨占,外部屬于不可信區(qū)域,所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全,也可以在這道墻之后建立更多防火墻形成縱深防御;在開始提供云計算業(yè)務之后,這種簡潔的內(nèi)外隔離安全方案已經(jīng)行不通了,通過購買云服務器,攻擊者已經(jīng)深入提供商網(wǎng)絡的腹地,穿越了邊界防火墻。云計算內(nèi)部的資源不再是由某個用戶獨享,而是幾萬、幾十萬甚至更多互相不認識的用戶共有,當然也包含一些惡意用戶,這些用戶可以輕而易舉進入云計算內(nèi)部,竊取私密信息。傳統(tǒng)劃分安全域做隔離已經(jīng)行不通了,哪里有云計算提供的服務,哪里就需要安全,安全防護要貫穿到整個云計算的所有環(huán)節(jié),這無疑將提升云計算安全部署的成本,即便這樣防御效果還不見比以前好。
虛擬化難捕捉
云計算時代,一臺服務器上可以運行十臺虛機,這些虛機還可能屬于十個不同用戶。攻擊者虛擬機可直接運行在這臺服務器的內(nèi)存里面,僅僅是使用一個虛擬層隔離,一旦攻擊者掌握了可以穿透虛擬層漏洞,就可以毫不費力完成入侵,常見的虛擬化層軟件如XEN、KVM都能找到類似安全漏洞。一般服務器是一臺標準Linux服務器,運行著標準的Linux操作系統(tǒng)以及各種標準的服務,被攻擊者攻破的通道很多。為了實現(xiàn)虛擬機自動遷移,虛擬化技術被應用于云計算網(wǎng)絡中,這種虛擬網(wǎng)絡是一個大二層架構,甚至是跨越機房、跨越城市的大二層架構。在這樣一個超大的二層虛擬網(wǎng)絡中,ARP欺騙、以太網(wǎng)端口欺騙、ARP風暴、NBNS風暴等二層內(nèi)部的攻擊問題,危害性都遠遠超過了它們在傳統(tǒng)網(wǎng)絡中的影響。
數(shù)據(jù)泄露量大
在傳統(tǒng)網(wǎng)絡中也存在數(shù)據(jù)泄露威脅,但在云計算環(huán)境中數(shù)據(jù)泄露嚴重性更高。由于云服務器上保存了大量客戶的隱私數(shù)據(jù),在多租戶環(huán)境下,一個客戶應用存在漏洞可能就會導致其他客戶數(shù)據(jù)的泄露。數(shù)據(jù)泄露不僅導致商業(yè)機密、知識產(chǎn)權和個人隱私的泄露,而且對企業(yè)而言可能產(chǎn)生毀滅性打擊。云計算依托的基礎就是海量數(shù)據(jù),只有在超大型的數(shù)據(jù)中心才能充分發(fā)揮作用,而海量數(shù)據(jù)若發(fā)生泄露,造成的損失很大,尤其是各種數(shù)據(jù)混雜在一起,做不好數(shù)據(jù)防護,很容易被人所竊取。惡意黑客會使用病毒、木馬或者直接攻擊方法永久刪除云端數(shù)據(jù)來危害云系統(tǒng)安全。
攻擊頻率急劇增大
正所謂“樹大招風”,沒有部署云計算時,承載信息服務的各個數(shù)據(jù)中心散列在各處,即便被攻擊,受影響的面都不會太大。現(xiàn)在的數(shù)據(jù)中心建設規(guī)模都很大,因為只有規(guī)模上去,云計算的優(yōu)勢才能更加明顯。所以現(xiàn)在擁有數(shù)十萬臺服務器的數(shù)據(jù)中心屢見不鮮,這就將很多數(shù)據(jù)集中在一起,再交由云計算處理。擁有海量數(shù)據(jù)的數(shù)據(jù)中心,目標太大,很容易成為別人的目標。還有云計算用戶多樣性而且規(guī)模巨大,這樣遭受的攻擊頻率也是急劇增大。以阿里云為例,平均每天遭受數(shù)百起DDoS攻擊,其中50%攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計算。這種頻度的攻擊,給安全運維帶來巨大的挑戰(zhàn)。
除此之外,不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級持續(xù)性威脅、審查不充分、惡意SaaS應用、共享技術問題等等,都是云計算要面臨的安全威脅。解決好云計算安全威脅問題,將會為云計算的發(fā)展打下堅實的基礎,讓更多的人樂于接受云計算,將自己的信息數(shù)據(jù)安心放到云計算應用中來。在這里將云計算的安全威脅比作了集中營,就是希望放到集中營中的安全威脅越來越少,最后集中營能夠解散掉,徹底消除各種云計算安全威脅。云計算的建設者已經(jīng)意識到解決安全問題的急迫性,已經(jīng)提出了不少抵御安全威脅的解決方案,這些都有待實踐來驗證。這個過程一定還有很長的路要走,需要依賴技術、管理和產(chǎn)業(yè)等各行業(yè)的共同努力才能實現(xiàn)。
