云計算是一種新的計算方式,它依托于互聯網,以網絡技術、分布式計算為基礎,實現按需自服務、快速彈性構建、服務可測量等特點的新一代計算方式。然而,任何以互聯網為基礎的應用都存在著一定危險性,云計算也不例外,安全問題從云計算誕生那天開始就一直受人關注。當所有的計算行為和數據存儲都散布在聚散無形虛無縹緲的云中的時候,人們將會普遍感到失控的恐慌。還記得《手機》這部電影嗎?手機給生活提供了極大便利,但也給人帶來了無盡煩惱,將人與人之間的距離拉得太近了,毫無隱私可言,讓人都喘不過氣來。云計算可以說比手機還甚,云計算中的數據對于數據所有者以外的其它云計算用戶是保密的,但是對于提供云計算的商業機構而言確是毫無秘密可言。當然,這還不是問題關鍵,人們收入和資金方面有隱私,但并不妨礙人們樂于將資金放到銀行里管理,最為關鍵的還是云計算自身安全技術的問題。云計算作為一種新計算技術,要面臨更多安全威脅。云安全聯盟是中立的非盈利世界性行業組織,致力于國際云計算安全的全面發展,也是云計算安全領域的權威組織。云安全聯盟在2016年的報告中提出十二大云安全威脅,本文依據此并結合實際應用,總結出云計算的安全威脅“集中營”。
安全域無邊界
在對外提供云計算業務之前,數據中心都是獨立機房,由邊界防火墻隔離成內外兩塊。防火墻內部屬于可信區域,自己獨占,外部屬于不可信區域,所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全,也可以在這道墻之后建立更多防火墻形成縱深防御;在開始提供云計算業務之后,這種簡潔的內外隔離安全方案已經行不通了,通過購買云服務器,攻擊者已經深入提供商網絡的腹地,穿越了邊界防火墻。云計算內部的資源不再是由某個用戶獨享,而是幾萬、幾十萬甚至更多互相不認識的用戶共有,當然也包含一些惡意用戶,這些用戶可以輕而易舉進入云計算內部,竊取私密信息。傳統劃分安全域做隔離已經行不通了,哪里有云計算提供的服務,哪里就需要安全,安全防護要貫穿到整個云計算的所有環節,這無疑將提升云計算安全部署的成本,即便這樣防御效果還不見比以前好。
虛擬化難捕捉
云計算時代,一臺服務器上可以運行十臺虛機,這些虛機還可能屬于十個不同用戶。攻擊者虛擬機可直接運行在這臺服務器的內存里面,僅僅是使用一個虛擬層隔離,一旦攻擊者掌握了可以穿透虛擬層漏洞,就可以毫不費力完成入侵,常見的虛擬化層軟件如XEN、KVM都能找到類似安全漏洞。一般服務器是一臺標準Linux服務器,運行著標準的Linux操作系統以及各種標準的服務,被攻擊者攻破的通道很多。為了實現虛擬機自動遷移,虛擬化技術被應用于云計算網絡中,這種虛擬網絡是一個大二層架構,甚至是跨越機房、跨越城市的大二層架構。在這樣一個超大的二層虛擬網絡中,ARP欺騙、以太網端口欺騙、ARP風暴、NBNS風暴等二層內部的攻擊問題,危害性都遠遠超過了它們在傳統網絡中的影響。
數據泄露量大
在傳統網絡中也存在數據泄露威脅,但在云計算環境中數據泄露嚴重性更高。由于云服務器上保存了大量客戶的隱私數據,在多租戶環境下,一個客戶應用存在漏洞可能就會導致其他客戶數據的泄露。數據泄露不僅導致商業機密、知識產權和個人隱私的泄露,而且對企業而言可能產生毀滅性打擊。云計算依托的基礎就是海量數據,只有在超大型的數據中心才能充分發揮作用,而海量數據若發生泄露,造成的損失很大,尤其是各種數據混雜在一起,做不好數據防護,很容易被人所竊取。惡意黑客會使用病毒、木馬或者直接攻擊方法永久刪除云端數據來危害云系統安全。
攻擊頻率急劇增大
正所謂“樹大招風”,沒有部署云計算時,承載信息服務的各個數據中心散列在各處,即便被攻擊,受影響的面都不會太大。現在的數據中心建設規模都很大,因為只有規模上去,云計算的優勢才能更加明顯。所以現在擁有數十萬臺服務器的數據中心屢見不鮮,這就將很多數據集中在一起,再交由云計算處理。擁有海量數據的數據中心,目標太大,很容易成為別人的目標。還有云計算用戶多樣性而且規模巨大,這樣遭受的攻擊頻率也是急劇增大。以阿里云為例,平均每天遭受數百起DDoS攻擊,其中50%攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計算。這種頻度的攻擊,給安全運維帶來巨大的挑戰。
除此之外,不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級持續性威脅、審查不充分、惡意SaaS應用、共享技術問題等等,都是云計算要面臨的安全威脅。解決好云計算安全威脅問題,將會為云計算的發展打下堅實的基礎,讓更多的人樂于接受云計算,將自己的信息數據安心放到云計算應用中來。在這里將云計算的安全威脅比作了集中營,就是希望放到集中營中的安全威脅越來越少,最后集中營能夠解散掉,徹底消除各種云計算安全威脅。云計算的建設者已經意識到解決安全問題的急迫性,已經提出了不少抵御安全威脅的解決方案,這些都有待實踐來驗證。這個過程一定還有很長的路要走,需要依賴技術、管理和產業等各行業的共同努力才能實現。
