當前的經濟危機使云計算成為一個熱門的話題,創業公司和小公司為了節約資金都使用的是互聯網上的虛擬機,大公司一般都會將應用如客戶關系管理系統云服務提供商構建的云中,但專家說,在將基礎架構遷移到云中時要小心安全陷阱。
著名安全公司SensePost的技術主管Haroon Meer在黑帽大會上說:“云計算的低端用戶雖然可以節約金錢,危險的是高端用戶在沒有任何審核的情況下使用它”,他說他的團隊對Amazon的EC2進行了深入的研究。他們的實驗表明很多公司都不會掃描第三方提供的機器,惡意實例可以很容易地創建木馬訪問公司的內部網絡。
記住這些陷阱,下面的5個教訓來自黑帽大會上的演示。
1、云計算很少提供法律保護
使用云計算的公司需要認識到云中的數據需要服從法律法規,政府可能在沒有出具傳票的情況下對數據進行檢索和拷貝,iSec首席安全顧問Alex Stamos認為云提供商更關心的是如何保護自己而不是客戶,因此不要過分將希望寄托在服務協議上寫的法律保護條款。
Stamos說:“所有云服務商都有訓練有素的法律團隊,當你簽署了服務協議后,意味著你基本上一無所有,如果因為服務商的失誤導致用戶不能正常使用,用戶不能投訴服務商,如果因為數據中心的失誤導致數據丟失,服務商也不承擔任何責任”。看上去就是一個不平等條約。但他同時補充道,云服務商發現安全問題一般會即時補上,如果語言溝通沒有問題,也能得到一些幫助。
2、硬件不是你的
Stamos警告,如果想對服務商進行審核和進行測試,要記住硬件不屬于自己,如果要進行漏洞掃描和滲透測試,需要經過云服務商的明確許可,否則,客戶就會被認為是在攻擊系統。象亞馬遜的服務協議中就明確指出了,客戶可以在系統上進行測試,這一點很重要。因為有明確的協議許可使用那些機器進行測試是會受到法律保護的。
3、需要強有力的策略和用戶教育
由于云計算為企業帶來了巨大的好處,如允許從任何地方訪問數據,解決了IT維護人員的一大難題,永遠在線服務也意味著更容易遭受釣魚攻擊。因此對最終用戶進行風險教育顯得格外重要,不僅僅是為了他們自身,更是為了公司的需要。但要教育好那些非技術職員不上當釣魚攻擊的當很困難,在SaaS模式下,釣魚式攻擊不僅僅是個個人問題,還成為企業面對的一個大問題。
4、不要相信虛擬機實例
SensePost的Meer說“在使用服務商提供的虛擬機時,如第三方供應商在亞馬遜EC2平臺上創建的實例時,公司不應該相信這些系統”。
公司的研究人員掃描了大量的預配置實例,發現認證密鑰在緩存中,信用卡數據和惡意代碼被隱藏在系統中,但他們發現大部分用戶并不關心安全問題。
Meer建議公司應該建立自己的內部認證機制,要從技術上和法律上保護自己。
5、重新考慮你對云計算的假設
在考慮安全時,企業信息管理人員需要重新思考他們之前對云安全的假設。例如,當部署一個應用到虛擬數據中心的計算機實例上時,虛擬系統相比物理系統的平均可用資源要少得多,一般不會如你預期的那樣美好,因此可以猜測資源進行隨機分配時也是有限度的。
進入論壇>>
(責任編輯:杜麗)聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640. 如果你對網站有好的建議請點擊網站建議發表你的建議。
推薦閱讀
索菲安在接受采訪時表示:“我并不是說,每次點擊谷歌搜索結果鏈接你都有可能泄露個人身份。我所說的是,谷歌很肯定的聲稱,他們能夠保護用戶數據,但實際上他們無法做到這一點。” 精彩推薦 北京時間10月8日早間消息>>>詳細閱讀
本文標題:云計算安全隱患詳細分析 法律保護難以提供
地址:http://www.sdlzkt.com/a/01/20111231/233795.html
網友點評
精彩導讀
科技快報
品牌展示