引云小心威胁上了身 五个易忽视的云计算风险
关于安全问题接二连三的报告成为了减缓云部署速度的最大障碍。随着企业从物理环境转向虚拟化和基于云的环境,安全威胁也就发生了变化,而这一点常常被人们忽视,即便是云倡导者也不例外。
病毒、恶意软件和网络钓鱼仍然值得关注,但是类似于虚拟机发起的攻击、多租户风险和管理程序缺陷将会是现在的安全管理员们所面临的主要挑战。下面列出五个容易被忽视但是可能危及你的云计算的威胁。
1. DIY安全
通过遮遮掩掩而实现太平的日子已经过去了。在过去,如果你是一个匿名的中小型企业,你所担心的威胁也同样是典型的消费者所面临的威胁:病毒、网络钓鱼或者尼日利亚419诈骗等等。黑客们没有足够的能力渗透到你的网络中去,所以你不用担心类似于DDoS攻击——这些是只有服务器供应商才会遇到的问题。还记得一个老纽约画的漫画:“在互联网的世界里,没有人知道你是谁,哪怕你是条狗。”而在云中,没有会知道你是一家中小型企业。
“只是作一个小型网站不能再给予你任何保护,”IBM安全服务副总裁Marisa S. Viveros说。“威胁可能来自四面八方。在美国并不意味着你只会受到美国本土的威胁,任何人都有可能从任何地方对你进行攻击,比如中国、俄罗斯、索马里。”
从某种程度上来说,这只是某段时间的情况,但是当有针对性的攻击扩展到了全球范围,如果你与一个高知名度的企业共享同一个基础架构,你可能会不幸的成为攻击者们的登陆场,他们会利用你来袭击你边上阔绰的邻居。
换言之,下一次中国或者和罗斯黑客攻击一家主要的云供应商的时候,你很有可能会受到间接的损失。这一切都表明,DIY安全对此已经不再有效。另外,让一个超额工作的IT负责人来协调你的安全问题也会是一个可怕的想法。
随着越来越多的企业转向基于云的基础架构,只有拥有雄厚资金的大型企业才能够自己处理安全问题。任何其他人都必须开始开始思考安全作服务,这才可能是最终有效的出路。
2.私有云并非私有
具备高度安全警惕的企业在云中也会感觉不适,其中一个原因就是私有云的采用。对于部署私有云的企业来说,想要做到面面俱到似乎不太容易。他们在云中获得了成本和效率的回报,同时也避免了可能察觉到的公共云项目所所带来的风险。
不过,很多私有云并非都是称得上真正的私有。“许多‘私有’云基础架构事实上是由第三方进行托管的,所以这些架构是开放的,内部人员可以利用这一点从供应商那儿进行访问,所以缺乏安全和风险的透明度,”数据保护商CREDANT Technologies的产品市场负责人Geoff Webb这样评论道。
你所看到的关于云安全问题的处理方式通常仍旧很过时。在最近召开的RSA大会上,无数人告诉我云安全的关键在于从细节上明确涵盖安全问题的具体的SLA(服务等级协议)。如果坚持划定的责任并且供应商也对此负责,那么你就可以安心地继续了。
这的确有些道理,但是与其相信供应商会遵循SLA,不如相信你自己。你——做为一个非服务供应商——在敏感IP被窃取或者用户资料发生泄露的时候,面对董事会或者客户指责的将会是你自己。
一个服务供应商所都兜售的安全标准可能对安全问题并不能做到百分之百的小心。毕竟,这是高科技,而安全问题总是出现在事后。
3.私有和混合云中的多租户风险
在构建私有云或者混合云的时候,许多企业都会碰壁。最简单的东西已经被虚拟化,比如测试开发和文件打印。
“许多企业已经拥有30%的虚拟化架构。他们希望这个数字能够达到60%或者70%,但是比较容易的事情都已经做完了。他们正试图接触关键性的工作负载,但是这个时候安全问题总会成为严重的障碍,”HyTrust的虚拟化和云安全负责人Eric Chiu说。
多租户并非严格意义上公共云问题。不同的企业拥有不同的安全实践,但是却可能在私有云和混合云中占用同一个基础架构。
“在面临系统风险的时候,一家拥有良好安全实践的企业可能会被一家安全实践较差的姊妹公司所拖累。类似的事情真的很难衡量和解释,尤其是在大型跨国企业中,事情更是如此,”Webb说。
另一个问题是应用层。在设计不当的私有云中,非关键任务应用程序通常与关键任务应用程序共享相同的资源。“大多数企业如何将它们分开呢?”Chiu问道。
“他们气隙它,所以,对于大多数虚拟化和私有云环境而言最大的威胁就是配置错误,”他说。“80%的停机都是由不恰当的行政更变所造成的。”
4.糟糕的安全管理程序和过度紧张的IPS(入侵防御系统)
每一项新技术都会带来新的漏洞,用来弥补这些云或者虚拟化漏洞的是管理程序。
“许多人对于确保虚拟化架构的安全这一点置之不理。管理程序本质上其实是一个网络。你在这些机器上面运行整个网络,而大多数人却对于其中的流量类型一无所知,”Anthony说。
缓冲区溢出攻击成为应付管理程序最好的办法,管理程序总是突然出现在各种设备中,人们有时候甚至认为不曾拥有过他们,比如Xbox 360等等。
企业们总认为他们能够驾驭自己云内部的信息流量,但是他们可能是在自欺欺人,特别是如果他们依赖于传统的安全工具。众所周知,他们需要一个IPS解决方案来保护自己的云部署,但是他们却对实际问题的严重程度毫不知情。
此外,很多这样的应用程序在默认的情况下都拥有数据包检测设置。换句话说,如果设备正忙于处理视频流量,大部分数据流量都能够安全地通过,只有很少一部分会被检测成为威胁。
IPS通常只会发出低层次的警报或者日志记录,但是要不是发现了问题,又有多少IT企业有时间来查看这些记录呢?在虚拟化云环境下,企业们需要一个拥有不同保护措施的阵列,而他们对这一点往往后知后觉,所以总是进行传统的内部设置。或者他们意识到了这一点,但是却因为预算和时间的限制而选择对它无视。
在RSA会议上,我与IBM的安全管理人员进行了交谈。他们向我推荐了一系列安全解决方案,这些方案能够更好地保护你的云环境,其中包括拥有20GBps容量的IPS解决方案、DLP和应用程序安全等。从这些建议里,我们不难总结出这样的结论,安全问题正成为大多企业靠自己的力量无法逾越的障碍(参见第一条)。
5.来自内部的威胁
来自内部的威胁是否让你彻夜难眠?不幸的是,虚拟化和云助涨了内部威胁的气焰——至少眼下如此。
“现在,拥有托管数据和系统访问权限的管理员的数量要比原来少了很多,因为云系统是由一个专门的云架构管理团队进行管理的。这就可能让敏感数据对一些个人开放,而他们之前可能并没有这样的访问权限,于是,来自内部的风险也就大大提高了,”Webb说。如此看来,相比在物理环境下,在虚拟化环境中窃取关键数据资源也就变得更简单了。
“当银行出台了限制政策,人们总是会担心有些人闯入了物理数据中心然后劫走了一箱磁盘,然后堂而皇之地走出来,”Chiu说。这种担心会刺激对于静态数据更为频繁地加密。
当数据加密仍然是一种监督手法的时候,又如何在虚拟环境中窃取相同的资料呢?
“如果你拥有管理凭据,你选择自己想要的虚拟机,右键点击并且复制它,”Chiu说。要想发现某个人捧着一箱磁盘走出办公大楼并不困难。所以一台USB驱动的虚拟机不见得会让你惹出麻烦。