7月3日消息,当前的经济危机使云计算成为一个热门的话题,创业公司和小公司为了节约资金都使用的是互联网上的虚拟机,大公司一般都会将应用如客户关系管理系统放到如Salesforce.com这样的云服务提供商构建的云中,但专家说,在将基础架构迁移到云中时要小心安全陷阱。
著名安全公司SensePost的技术主管HaroonMeer在黑帽大会上说:“云计算的低端用户虽然可以节约金钱,危险的是高端用户在没有任何审核的情况下使用它”,他说他的团队对Amazon的EC2进行了深入的研究。他们的实验表明很多公司都不会扫描第三方提供的机器,恶意实例可以很容易地创建木马访问公司的内部网络。
记住这些陷阱,下面的5个教训来自黑帽大会上的演示。
1、云计算很少提供法律保护
使用云计算的公司需要认识到云中的数据需要服从法律法规,政府可能在没有出具传票的情况下对数据进行检索和拷贝,iSec首席安全顾问AlexStamos认为云提供商更关心的是如何保护自己而不是客户,因此不要过分将希望寄托在服务协议上写的法律保护条款。
Stamos说:“所有云服务商都有训练有素的法律团队,当你签署了服务协议后,意味着你基本上一无所有,如果因为服务商的失误导致用户不能正常使用,用户不能投诉服务商,如果因为数据中心的失误导致数据丢失,服务商也不承担任何责任”。看上去就是一个不平等条约。但他同时补充道,云服务商发现安全问题一般会即时补上,如果语言沟通没有问题,也能得到一些帮助。
2、硬件不是你的
Stamos警告,如果想对服务商进行审核和进行测试,要记住硬件不属于自己,如果要进行漏洞扫描和渗透测试,需要经过云服务商的明确许可,否则,客户就会被认为是在攻击系统。象亚马逊的服务协议中就明确指出了,客户可以在系统上进行测试,这一点很重要。因为有明确的协议许可使用那些机器进行测试是会受到法律保护的。
3、需要强有力的策略和用户教育
由于云计算为企业带来了巨大的好处,如允许从任何地方访问数据,解决了IT维护人员的一大难题,永远在线服务也意味着更容易遭受钓鱼攻击。因此对最终用户进行风险教育显得格外重要,不仅仅是为了他们自身,更是为了公司的需要。但要教育好那些非技术职员不上当钓鱼攻击的当很困难,在SaaS模式下,钓鱼式攻击不仅仅是个个人问题,还成为企业面对的一个大问题。
4、不要相信虚拟机实例
SensePost的Meer说“在使用服务商提供的虚拟机时,如第三方供应商在亚马逊EC2平台上创建的实例时,公司不应该相信这些系统”。
公司的研究人员扫描了大量的预配置实例,发现认证密钥在缓存中,信用卡数据和恶意代码被隐藏在系统中,但他们发现大部分用户并不关心安全问题。
Meer建议公司应该建立自己的内部认证机制,要从技术上和法律上保护自己。
5、重新考虑你对云计算的假设
在考虑安全时,企业信息管理人员需要重新思考他们之前对云安全的假设。例如,当部署一个应用到虚拟数据中心的计算机实例上时,虚拟系统相比物理系统的平均可用资源要少得多,一般不会如你预期的那样美好,因此可以猜测资源进行随机分配时也是有限度的。