云计算必须汲取的五个教训

沈建苗

目前的经济衰退使云计算成了一个热门话题，新兴公司和小企业正竞相使用互联网上的虚拟机来节省资金，而大企业则试图把客户关系管理等应用程序放到Salesforce.com之类的平台上。不过，专家们则提示，许多公司把自己的基础架构转移到云中时要更留意安全陷阱。

安全公司SensePost的技术主管Haroon Meet说：“低端用户希望利用云基础架构来节省资金，但是危险在于．高端用户也正在未经任何审计的情况下开始使用云基础架构。”他在黑帽安全大会上讨论了他所领导的小组对亚马逊弹性计算云(EC2)进行的研究。

他们的实验表明，许多公司经常不会看一眼从一些提供商处获得的第三方机器实例。Meer表示，恶意实例很容易被设计成特洛伊木马，从而闯入公司的内部网络。

这里我们找来了黑帽安全大会报告上汲取的五个教训，希望对各位云计算的热衷者一些警示：

云计算提供的法律保护仍不充足

公司需要认识到：云中的数据在搜查和没收方面受制于比较低的法律标准。政府部门或负责发现数据的律师没有搜查令就可以命令服务商交出数据。iSec Partners公司的首席安全顾问Alex Stamos表示，云服务提供商比较关心的是保护自己，而不是保护客户，所以别指望服务协议的法律条款会有利于贵公司。

Stamos说：“所有这些云服务公司都有非常活跃、训练有素的法律部门。因而，你在购买这些服务后签订的协议基本上保证你绝对占不到任何便宜。”他表示，如果有人因提供商的过失而非法闯入，客户同意提供商不用负责。如果数据因数据中心故障而出现丢失，提供商也没有义务为你采取任何补救措施。

要是有条款表明对方会尽力帮助你，就算很不错了。

Stamos说：“如果他们在合同中注明条款表明要是出现安全泄密事件，他们会尽力帮助你，这就已经很不错了。提供商出于职业道德有一副古道热肠，但它们的律师却冷酷无情。”

硬件不归你所有

如果企业想要审计提供商、自己进行一番测试，就要记住：硬件实际不归企业自己所有。Stamos提醒．进行漏洞扫描或渗透测试需要得到云服务提供商的明确许可。不然，就相当于客户在非法闯入提供商的系统。他表示，尽管有些服务协议(比如亚马逊的协议)明确规定：客户可以测试在提供商系统上运行的自有软件，但关键是要得到明确许可。

他说：“如果你需要对云中的应用程序进行渗透测试，他们(法律专家)建议，你应当得到对方公司某个人的许可。因为按照法律的字面意思，这些机器在法律上归谁所有非常重要。”

需要强有力的政策和用户教育

尽管云计算为企业带来了巨大的好处，比如允许从任何地方访问数据、为IT人员消除了头痛的维护问题，但随时可用的服务也意味着，那些原本只会对在家办公的员工产生威胁的网络钓鱼攻击，现在也可能危及到公司。iSEC的Starnos表示，关键是让用户知道，不但自己面临那些危险，自己所在的公司也将因自己的行为而面临同样的风险。

他说：“让贵公司的所有非技术用户懂得如何避免成为网络钓鱼的目标非常难，但事实是，就软件即服务(SaaS)而言，网络钓鱼攻击不会仅仅是个人问题，而是正逐渐成为殃及整个企业的安全问题。”

不要相信机器实例

Meer表示，使用提供商提供的虚拟机时，比如在亚马逊EC2基础架构上创建的第三方实例，公司千万不要完全相信这种系统。SensePost公司的研究人员粗粗浏览了许多预配置的实例后，发现了缓存中的验证密钥、信用卡数据，也证实恶意软件有可能隐藏在系统里面。更让人担心的是，大多数客户尚没有意识到使用第三方开发人员开发的机器映像会带来什么安全隐患。

Meet说：“有些客户把整台验证服务器都建立在云计算服务商的预置映像上，这或许比忘记修改银行帐号默认密码还危险。”

他表示，公司应当建立自己的映像供内部使用，或者借助技术和法律手段保护自己，远离可能不怀好意的第三方开发人员。

重新考虑假定的想法

在任何情况下，企业的信息技术管理人员在考虑安全时，都要重新考虑在云方面的假定想法。

比方说，在你部署一款应用程序以便在虚拟化数据中心的计算实例上运行时，本想依靠随机数生成功能来产生一些差异的特性代码，从而避免非授权者以系统默认方式轻易入侵。但有时，这一手段未必会按预期的那样正常工作。iSEC的Starnos表示，问题在于，虚拟系统的随机性要比物理系统弱得多，所以随机数可能会被猜中。他说：“你必须考虑更多细节方面的问题，以完善云中的虚拟应用防护体系。”