欢迎阅读安全在线文章《如何确保企业遵守了支付卡行业标准(下)》>>
上周安全专家在黑帽安全大会上向与会者发出警告说,尽管目前有很多公司都在考虑极爱那个应用软件迁移到云上,但是第三方服务的安全性仍然还有许多有待改进之处。
经济萧条的现状使得云计算成为业界的热点话题,新兴企业和小规模公司纷纷通过在互联网上部署虚拟机来节省费用,而大型企业则是将客户关系管理软件等应用程序迁移到Salesforce.com等第三方云提供商处进行托管。对此安全专家表示,企业在将他们的基础架构迁移到云的过程中必须对安全风险提高警惕。
SensePost安全公司的技术总监Haroon Meer在黑帽安全大会上介绍了他们的团队对亚马逊在线的弹性计算云的研究成果,他表示"用户使用云基础架构的最终目的是为了节约金钱,但是如果没有采取任何审计措施,他们就会成为安全风险最高的用户"。
他们的经验说明企业经常会忽略对来自提供商的第三方计算机实例进行扫描。Meer表示这样以特洛伊木马攻击形式出现的恶意实例就能轻而易举的入侵公司的内部网络。
对于这些安全缺陷,黑帽安全大会上介绍了5种供大家参考的经验。
1.企业必须意识到云经常缺乏合法的保护,那些云上的数据在搜索和捕捉方面遵循的合法标准级别还比较低,政府或者立法者无需搜查证就可以检索数据。
iSec Partners的首席安全咨询师Alex Stamos表示,云提供商更加关心的是保护自己而不是用户,因此不要奢望那些服务协议中的法律术语会对你的公司有利。
"所有这些提供云服务的企业都有非常活跃和经过专业培训的法律部门。因此当你订阅这些服务要认可他们制定的协议时,基本上对用户起不到任何保护作用"Stamos表示。
如果因为供应商的错误导致数据被入侵,客户要同意不追索实质责任。如果由于数据中心故障导致数据丢失,提供商也不承担相关责任,Stamos解释说。
Stamos还补充说,如果协议中说明他们将尝试为你提供帮助,那已经算不错了。
"如果协议中说明出现安全缺口他们将尝试为你提供帮助,那是件好事"Stamos表示"看起来在冰冷无情的法律条文和公司希望达到的安全道德规范之间还存在着差异"。
2.Stamos警告说,没有哪家硬件厂商希望对他们的提供商进行审计,他们也不想对公司以外的硬件进行测试。进行风险扫描或者渗透测试需要得到云服务提供商的许可,否则客户就是在入侵提供商的系统。
尽管某些服务协议,比如说亚马逊的服务协议详细标明客户可以对提供商系统上运行的软件进行测试,得到许可是很重要的,Stamos表示。
3.云计算为企业带来巨大的效益的同时还需要强大的协议和用户培训的保障,比如说允许企业用户随时随地访问数据,从IT员工处获取帮助来解决维护问题,始终如一的服务意味着对家庭办公的员工造成伤害的钓鱼攻击也会对公司造成威胁。
因此培训用户提高风险意识,不仅是针对他们自己还有他们的公司,这一点是很关键的,Stamos强调说。
"让企业内部所有的非技术人员都了解如何防范钓鱼风险是非常困难的,但是事实上对于软件即服务来说,钓鱼攻击正在逐渐为个人所熟知,并且开始成为企业内部都了解的安全问题"Stamos称。
4.当使用来自提供商的虚拟机时不要信赖计算机实例,比如说亚马逊在线的弹性计算云基础架构上建立的第三方实例等,企业用户不应该信赖任何系统,Meer强调说。
公司的研究专家对大量事先设置的实例进行了扫描,结果发现高速缓存和信用卡数据中的验证钥潜伏着隐藏在系统内部的恶意代码。他们发现大部分用户在使用第三方研发人员创建的计算机映像时都没有考虑到安全因素。
"一些用户还在这些预先设置的映像上建立了完整的验证服务器"Meer表示。
企业用户必须根据内部用途创建他们自己的映像,或者运用技术和法律手段对他们进行保护,使他们免受恶意的第三方研发人员的伤害。
5.在考虑安全性时必须重新考虑所有的假设,企业信息技术管理者必须对云上的配置重新考量。
举例来说,当配置一款在虚拟数据中心的计算实例中运行的应用软件时,那些依靠随机数发生的特性未必会按照期望来运行。问题是虚拟系统比起物理系统的信息量要少,因此随机数是可以推测出来的。
Meer表示"你必须将这些因素考虑在内"。