在云计算方面,客户和供应商之间的期望有很多的不同,很多时候不清楚到底谁该为云计算的安全性负责,或者不知道该如何为云计算的失败负责。
分析师表示,对于大多数公司来说,虚拟化和云计算并没有削弱在线的安全性。但是他们可能会促成这种情况的发生,即:在IT服务中让自己处于容易攻击的地位,这是因为这些客户认为云供应商会考虑自己提供的云服务的安全性问题。
报道安全问题的Ezra Gottheil表示,安全性和云托管是两个不同的事情,但是所有的费用都很低,而且很简单,客户应该弄清楚到底谁该为安全性负责。
弄清楚云计算的安全性问题并不是一个容易的事情,以至于Gartner公司认为有必要列出信息表明云服务是如何工作的,以及服务水平协议以列出客户的期望和要求。
今年3月,云安全联盟的研究列出来客户对安全无知的事例,同时,服务供应商拒绝提供资料来解决这个问题,即使在最大的七项云计算安全风险中也是这样。
451集团分析师Josh Corman表示,云计算业务的性质意味着很多客户或者潜在客户部知道该如何把别人的网站或者其他公司的应用程序应用到其他的硬件。
提供托管和保障客户应用程序云服务供应商FireHost的首席执行官Chris Drake表示,大多数云和站点托管客户认为他们的供应商是有责任对客户的站点安全负责的。
负责托管和保护客户应用安全的云服务商FireHost公司的首席执行官Chris Drake称,即便不是如此,大多数云和网站托管客户也都想当然的认为他们的服务提供商负有保护他们网站安全的责任。
云计算客户是如何受害的?
金融服务公司LawLeaf是FireHost最近才发展的一个客户,该公司主要业务是为那些筹资打官司的人提供贷款。在经历了一场几乎导致公司倒闭的攻击后,LawLeaf最终放弃了他们原先选择的网络托管服务商BlueHost。
LawLeaf公司的总经理Tim Burke表示,他在2007年以很少的资金开始运营这个公司,当时他的主要工作是向非营利公司出售成员管理软件,运营公司只是他的一个副业。他最初选择了BlueHost托管LawLeaf.com,选择BlueHost的原因是该公司的名声和每月6.95美元的服务费用。Burke称,在今年年初LawLeaf.com开始走下坡路之前,他对BlueHost的服务还中相当满意的。
在今年一月份,LawLeaf.com遭到了SQL注入式攻击。攻击导致网站频繁崩溃,更为糟糕的是网站还在没有任何防备的用户电脑中强行安装恶意插件。Burke表示,到了二月份,网站每周都会崩溃两次,而到了三月份,网站的崩溃频率已经到了一天一次的地步。
恶意插件的下载使得LawLeaf受到了来自谷歌的警告。Burke表示,如果LawLeaf不解决这一问题,那么谷歌将禁止他们的网站出现在搜索结果列表中。
由于LawLeaf的大多数业务来自自己的网站,频繁的崩溃导致公司的业务下滑,影响到了公司的信誉。
Burke表示,由于网站问题,我们失去了许多业务,我们每天都会损失数千美元。我最为担心的是向客户推荐我们服务的律师。客户向我们提供了机密文件,律师向客户推荐我们进行融资。如果我们的网站每时每刻都在受到黑客攻击,那么客户根本不会信任我们。
对于LawLeaf来说,幸运的是通过电子邮件发过来的客户文件并没有受到影响。Burke表示,尽管如此,网站的每一次崩溃都对公司的声誉产生了严重的负面影响。
Burke指出,在网站崩溃时,BlueHost会对他进行提醒,并做出一些初步分析以确定问题并不在他们的服务器上。他称,BlueHost从来就没有采取进一步行动以解决这一问题。
Burke表示,他们仅仅是不停的告诉我杀毒或是关闭我们的网页。我按他们的说法尝试了许多次,但是网站还是不断的崩溃。
BlueHost公司的重点是为客户和规模较小的公司提供低廉的托管服务。除了每月收费只有6.95美元的基本服务外,他们并不提供更为高级的服务,也不会对客户多次反应的问题做出回应。
由于LawLeaf.com的问题一直没有解决,Burke将服务商换成为了FireHost。FireHost承诺将阻止今后的攻击或是在出现攻击后进行防范。Burke称,现在他们每月要支付400美元的服务费。在接管了LawLeaf.com后,FireHost就分离了基于PHP的页面,清除了问题代码。
FireHost的首席执行官Drake表示,实际上,LawLeaf在关闭PHP页面方面采取了很好的措施。但是之所以还是不断的出现问题是因为数据库中存在有大量的SQL注入代码。
Burke称为了得到更好的服务,他们曾经向BlueHost公司支付了不少钱。到目前为止,Burke仍然认为BlueHost应当负责网站的安全,有义务解决恶意插件问题。
尽管BlueHost的承诺中正常运行率和可靠性高达99.5%,但是公司并没有对LawLeaf.com的安全问题负起责任。科技商务研究公司分析师Gottheil表示,在这个案例中,我并不能确定这是机制问题。但是由于SQL注入攻击经常会通过他们自己的网页进行攻击,无论客户知道与否,防范这类攻击应当是客户的责任。
LawLeaf和BlueHost的案例向我们展示了为什么云计算客户需要搞清楚谁应当承担安全责任的原因。
在到底谁该为云服务的安全性负责这个问题上,可以说是众说纷纭,所以作为客户,在部署云服务之前,一定要弄清楚到底是客户自己还是供应商应该为云服务的安全性负责。