减小字体
增大字体
作者:佚名 来源:本站整理 发布时间:2009/8/20 18:08:22
据最近参加黑帽安全会议的专家称,在许多企业正在考虑把应用程序转移到云计算中的同时,人们认为这种第三方服务的安全仍有许多需要改善的地方。
当前的经济衰退已经使云计算成为一个热门的话题。新兴企业和小企业争先恐后地要通过使用互联网上的虚拟机节省开支。大型企业把CRM等应用程序交给Salesforce等知名的云计算提供商。因此,安全专家称,在把自己的基础设施转移到云计算的过程中,企业需要更谨慎地对待安全问题。
安全公司SensePost的技术经理Haroon Meer说,低端的企业正在使用云计算节省开支。但是,高端的企业没有进行任何审计就开始使用云计算是危险的。
Meer在黑帽安全会议上讨论了他的团队研究亚马逊EC2(弹性计算云)的情况。他说,他们的实验表明企业不经常对一些提供商提供的第三方机器实例进行扫描。当一个木马程序进入一个企业内部网络的时候,创建一个恶意的实例是很容易的。考虑到这些安全缺陷,黑帽会议提出了下列五个应该吸取的教训:
1. 云计算未提供充分的法律保护
企业需要认识到,云计算中的数据在搜查与扣押方面适用于较低的法律标准。政府或者以证据为重点的检察官能够在没有搜查证的情况下发出提供数据的传票。
iSec Partners公司主要安全顾问Alex Stamos说,云计算提供商更关心的是保护自己,而不是保护客户。因此,不要指望服务协议中的法律条款有利于你的公司。
所有的云计算服务公司都有受过良好培训的法律部门。因此,你与这些服务公司签署协议的时候,这些公司绝对不会向你承诺任何事情。
如果因为服务提供商的失误导致黑客入侵,客户同意不承担任何责任。如果由于数据中心故障导致数据丢失,提供商也没有义务为你做任何事情。
Stamos补充说,如果协议中说明他们将帮助你,那是很好的事情。
2. 你没有硬件的所有权
Stamos警告说,那些要对自己的提供商进行审计并且自己进行测试的企业需要记住,你们没有硬件的所有权。进行安全漏洞扫描或者入侵测试需要云计算提供商的明确批准。否则,这个客户就是在攻击这个提供商的系统。
虽然一些服务协议(如亚马逊的服务协议)具体说明用户可以测试在提供商的系统上运行的自己的软件,但是,获得明确的批准是关键。
Stamos说,这个建议是,如果要求你在这个云计算中进行入侵测试,法律专家建议你得到那个公司的某些人的批准。因为根据法律条款,这些机器的合法拥有者是非常重要的。
3.需要强大的政策和用户教育
虽然云计算为企业提供了巨大的好处,例如,允许在任何地方访问数据和解除了IT人员进行维护的负担,但是,这种一直在线的服务还意味着攻击在家工作的员工的钓鱼攻击会给企业带来危险。
因此,教育用户了解这些风险是关键的,不仅要了解对自己的风险,也要了解对企业的风险。
教育你的企业中所有非技术用户如何避免遭到钓鱼攻击是很困难的。但是,事实是采用软件服务,钓鱼攻击不再仅仅是个人的问题,而是已经开始成为一个整个企业范围的安全问题。
4.不要信任虚拟机实例
SensePost公司的Meer说,当使用提供商的一个虚拟机的时候(如在亚马逊的ECS基础设施上创建的第三方实例),企业永远不要信任这个系统。
这家安全公司的研究人员扫描了许多预先配置的实例,发现了在缓存中的身份识别密钥、信用卡数据和隐藏在系统中的潜在的恶意代码。因此他们发现他们的客户都没有考虑使用第三方开发人员创建的虚拟机实例的安全问题。一些用户把预先配置的镜像作为整个身份识别服务器的基础。
企业应该创建自己内部使用的镜像,或者在技术和法律方面保护自己防止受到恶意的第三方开发人员的损害。
5.重新考虑你的口令设置
当考虑安全问题的时候,企业信息技术经理需要重新考虑他们对云计算的口令设置。
iSEC公司的Stamos举例说,当部署一个在虚拟化环境中的计算实例上运行的应用程序的时候,随机数字生成的口令将不会那样好用。这个问题是,虚拟系统的平均信息量远远低于物理服务器的平均信息量。因此,随机的数字可能是容易猜出来的。用户需要考虑使用不容易猜到的东西。
来源:IT专家网