当前的经济危机使云计算成为一个热门的话题,创业公司和小公司为了节约资金都使用的是互联网上的虚拟机,大公司一般都会将应用如客户关系管理系统云服务提供商构建的云中,但专家说,在将基础架构迁移到云中时要小心安全陷阱。
著名安全公司SensePost的技术主管Haroon Meer在黑帽大会上说:“云计算的低端用户虽然可以节约金钱,危险的是高端用户在没有任何审核的情况下使用它”,他说他的团队对Amazon的EC2进行了深入的研究。他们的实验表明很多公司都不会扫描第三方提供的机器,恶意实例可以很容易地创建木马访问公司的内部网络。
记住这些陷阱,下面的5个教训来自黑帽大会上的演示。
1、云计算很少提供法律保护
使用云计算的公司需要认识到云中的数据需要服从法律法规,政府可能在没有出具传票的情况下对数据进行检索和拷贝,iSec首席安全顾问Alex Stamos认为云提供商更关心的是如何保护自己而不是客户,因此不要过分将希望寄托在服务协议上写的法律保护条款。
Stamos说:“所有云服务商都有训练有素的法律团队,当你签署了服务协议后,意味着你基本上一无所有,如果因为服务商的失误导致用户不能正常使用,用户不能投诉服务商,如果因为数据中心的失误导致数据丢失,服务商也不承担任何责任”。看上去就是一个不平等条约。但他同时补充道,云服务商发现安全问题一般会即时补上,如果语言沟通没有问题,也能得到一些帮助。
2、硬件不是你的
Stamos警告,如果想对服务商进行审核和进行测试,要记住硬件不属于自己,如果要进行漏洞扫描和渗透测试,需要经过云服务商的明确许可,否则,客户就会被认为是在攻击系统。象亚马逊的服务协议中就明确指出了,客户可以在系统上进行测试,这一点很重要。因为有明确的协议许可使用那些机器进行测试是会受到法律保护的。
3、需要强有力的策略和用户教育
由于云计算为企业带来了巨大的好处,如允许从任何地方访问数据,解决了IT维护人员的一大难题,永远在线服务也意味着更容易遭受钓鱼攻击。因此对最终用户进行风险教育显得格外重要,不仅仅是为了他们自身,更是为了公司的需要。但要教育好那些非技术职员不上当钓鱼攻击的当很困难,在SaaS模式下,钓鱼式攻击不仅仅是个个人问题,还成为企业面对的一个大问题。
4、不要相信虚拟机实例
SensePost的Meer说“在使用服务商提供的虚拟机时,如第三方供应商在亚马逊EC2平台上创建的实例时,公司不应该相信这些系统”。
公司的研究人员扫描了大量的预配置实例,发现认证密钥在缓存中,信用卡数据和恶意代码被隐藏在系统中,但他们发现大部分用户并不关心安全问题。
Meer建议公司应该建立自己的内部认证机制,要从技术上和法律上保护自己。
5、重新考虑你对云计算的假设
在考虑安全时,企业信息管理人员需要重新思考他们之前对云安全的假设。例如,当部署一个应用到虚拟数据中心的计算机实例上时,虚拟系统相比物理系统的平均可用资源要少得多,一般不会如你预期的那样美好,因此可以猜测资源进行随机分配时也是有限度的。