本文讲的是云计算安全风险理性看待,【IT168 资讯】在云计算成为人们热议的技术趋势的同时,其更多的安全黑洞也逐渐被曝光,于是人们对该技术的安全性充满了焦虑和不安,但是实际上任何技术都不可能是无懈可击的,理性的看待它的优势和不足,才是真正发挥该技术的强大之处。
五年之内成为黑客攻击重点
美国检察长办公室在加州圣何塞的计算机黑客与知识产权部门负责人Matthew Parrella在一次安全会议上说,随着越来越多的软件包、客户和企业把数据迁移到云计算中,云计算将出现越来越多的网络攻击和诈骗活动。
Parrella认为,包括盗版CD和远程国外站点在内的软件盗版模式很快将成为过去的事情,就像破解基于地面的网络已经成为过去一样。许多企业正在推动当前的云计算趋势快速发展,在网络上发布自己的软件和存储数据。网络犯罪分子也在跟随着这个趋势。
Parrella说,进口软件模式已经过时了,因为我们将看到许多用户够能够在云计算中做这个事情,用户能够用自己的PC访问Google Docs或者Salesforce.com等软件服务。在五年之内,网络攻击将会以云计算为中心。
虽然Parrella的大部分都在处理起诉与计算机软件和数据盗版有关的案子以及盗窃知识产权的案子,但是,他说,他还一直跟踪发展到10万台计算机以上的僵尸网络。他承认说,我们不知道僵尸网络做什么。我们起诉这类软件是因为这种恶意软件能够导致拒绝服务攻击。
安全专家认为,随着更多的系统在云计算中运行,这可能会显着提高利用这些系统中的安全漏洞的价值。因此,在你进入云计算之前,一定要保证锁好所有的门窗,并且已经打开了你购买的最好的安全系统。
行动比一味的恐慌强
现在应该是我们接纳云计算应用到商业领域的时候。
在此情况下,我们急需讨论的并且马上需要着手解决的问题是,如何让云计算运行更加稳定可靠;云存储中的数据更为安全;云计算运营商的服务更加具备专业水准。这些需求无疑让我们更加关注云计算在安全方面如何进一步完善,而不是一味地制造对云计算技术的恐怖气氛。有一点已经让我们看得十分清楚——以安全为由在云计算方面制造恐慌,无论这一行为是有意为之还是无疑为之,都毫无意义。
可是有一个问题值得我们关注:无论是企业还是个人在享受云计算服务带来的便利时,提供云计算服务的组织应该对这些企业或者是个人给予更多的安全支持与指导。然而就目前状况看,我们不得不承认这样一个事实——云计算领域缺乏具有丰富经验的信息安全专家。现在多数网络安全工程技术人员仅是初步了解云计算,既没有认识到云计算所具备的好处跟对云计算存在的风险一无所知,就如同虚拟化刚刚实施的时候一样。
毋庸讳言,对于信息安全专业人士而言,加倍努力提升在云计算安全方面的应对能力要比制造自我恐慌强得多。我想再次强调:现在是时候了!
作为信息安全领域的专业人士,我们应该克服困难行动起来。这里所谓的“困难”只不过是云计算实施后在使用习惯上以及某些IT技术方面产生的变革,需要我们学习和适应而已;而所谓的“行动”则是需要我们针对自身的实际情况制定云计算实施后在安全方面的一系列应对措施,以此从容应对云计算所带来的挑战。
在安全上,未雨绸缪永远比救火队来得重要。这不禁让我想起了曾经看到过的一篇博客:博客的作者亲历了一次实验——在两个楼宇之间利用法拉第笼测试无线设备安全性,这个实验仅仅进行了15分钟就结束了。测试结果让众人失望,因为被测试的无线安全方案造价为6百万美元,这个安全方案却只坚持了15分钟就被攻破。更发人深省的是安全解决方案在设计上比较完善并没有出现什么纰漏,是无线设备点到点传输底层协议上出问题。究其原因,原来这个协议在安全方面在研发之初就在安全性方面没有做太多的考虑。
由此可见,再好的安全方案若技术底层有漏洞也只能是一种徒劳的补充,其效果如何恐怕谁都说不清楚。同样在云计算方面,我们现在需要的是在其底层基础之上就开始构建起牢固的安全防御体系。这些工作无疑需要各个相关领域的工程技术人员的共同努力。
专家谈云计算安全对策
一、关注打开的东西
云计算服务提供商Salesforce在其信任站点上警告不要打开可疑的电子邮件。这一个道理似乎很浅显,但还是有许多人没有遵照这个建议。还要关注可疑链接。
Balding建议,应当向提供商询问事件响应机制。他表示,万一有人企图入侵,提供商应当能够给予帮助。你还要问一下提供商会不会为你的机器制作镜像,还是这项工作必须由你自己来完成。
Craig Balding是一家《财富》500强公司的技术安全负责人,开设了介绍云计算安全的博客。他建议,如果你打开文件,就要确保网络访问已经过加密。他特别指出,亚马逊并不针对其Web服务业务提供数据加密服务。Salesforce.com在其信任站点上建议采用像RSA令牌或智能卡这些双因子验证技术。
二、保护云API密钥
Balding提醒,你需要确保自己的云API(应用编程接口)密钥安全。他说:“要是有人弄到了你的访问密钥,就能访问你的一切数据。要求提供商为你提供多把密钥,用于保护不同风险类别的各组数据。”
他还建议,应当把生产数据放在一个帐户中、把开发数据放在另一个帐户中。他表示,这样就可以减小有人闯入不太安全的开发机器所带来的风险。
三、使用多少付多少
Balding建议,为了避免竞争对手积欠账款,需要多少云服务、就付多少费用。他说:“如果使用量急剧增加,设定阈值就很有必要。”
四、复制数据
谷歌公司的Feigenbaum强调了跨多个数据中心进行数据复制的重要性。比方说,万一东北部出现了灾难,仍可以从其他地区访问数据。Feigenbaum说:“要是东北部发生了灾难,比如说暴风雪,从而导致停电,仍可以从另一个数据中心访问你的数据,没有人知道这幕后的一切。”
原文发布时间为:2009-07-22
本文作者:IT168云计算频道
本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT168。
原文标题:云计算安全风险理性看待
