云本质上是一个算力暗池,它的神秘往往让我们对它掉以轻心,忽略它鲜为人知的阴暗面。云计算的发展前景不可阻挡。作为一种通过互联网云服务平台按需提供计算能力、数据库存储、应用程序等IT资源的服务模式,无论你是在运行一个拥有数百万移动用户的照片分享应用,还是想为关键操作提供支持,云服务平台让您快速接入灵活、低成本的IT资源。使用云计算,您无需预先大量投资硬件并花费大量时间对其进行维护和管理。相反,您可以精确配置帮助运行IT部门所需的正确类型和大小的计算资源。您可以根据需要访问任意数量的资源,基本上是实时访问,而且您只需为使用的资源付费。然而,技术的发展往往伴随着双面效应。随着云计算的日益普及,恶意分子也盯上了这块“大蛋糕”,试图利用云计算漏洞进行攻击。最初,出于根本原因,包括对安全和隐私的担忧,企业对将数据和工作负载迁移到云端持谨慎和怀疑态度。虽然目前这种早期的顾忌和恐慌已经转变为信任和依赖,但随着企业对云服务的依赖度越来越高,以及近年来国内外云安全事件的频发,企业开始重新审视云安全问题。以下是企业在云端开展业务的12个阴暗面,希望能帮助企业树立正确的安全理念,最大限度地发挥云计算的效益。1.同样的安全漏洞依然存在。云实例实际上运行与我们的桌面或独立服务器相同的操作系统。如果Ubuntu14中有一个后门可以让攻击者侵入你加固的服务器机房中的一台机器,那么几乎可以肯定的是,同一个后门会让攻击者侵入你在云中运行的服务器版本。我们心爱的云实例旨在与我们的私有硬件互换,遗憾的是,同样的错误也被替换在云中。2.您可能不确定在启动云设备时得到了什么,您单击了Ubuntu18.04按钮或FreeBSD按钮。但是你确定你运行的是标准发行版吗?一位在共享硬件托管中心工作的朋友声称他的公司将秘密帐户插入他的发行版,然后干预ps和top的标准UNIX例程以确保其活动不可见。他表示,带后门的版本是为客户打造的,一切都是为了提高客服和系统调试的效率。但是,不可否认,这种做法也可以用于恶意目的。客户对云计算服务商的信任是无条件的,我们要坚信他们的诚信和公平。然而,很难相信它的所有员工都没有偏见。3.存在您无法控制的额外Stratus实例。通常,额外的软件层随操作系统一起提供,完全不受您的控制。您可能拥有操作系统的根访问权限,但不知道底层发生了什么。这个大部分未记录的层可用于对客户数据流执行任何操作。4.员工不为你工作云服务提供商喜欢吹嘘他们有能力提供额外的支持和安全团队来确保他们云实例的安全性和稳定性。而大多数公司的规模都不足以支持这样的团队,因此云计算公司可以轻松解决小公司无法解决的问题。但有一个问题,团队不适合你。他们不会向您报告安全问题,他们的职业前景与您的业务发展计划关系不大。你可能不知道他们的名字,如果他们回信,唯一的沟通方式就是通过匿名票。也许这就是你所需要的,或者,你可以双手合十祈祷。5.你不知道谁在你的服务器上云计算的巨大经济优势在于你可以与他人分担运营和物理维护的成本。但代价是,您也失去了对硬件的完全控制。您不知道与谁共享同一台机器-可能是一些维护教区居民数据库的善良的教堂修女,也可能是精神病患者。更糟糕的是,他可能是试图窃取您的秘密或资金的小偷。6.规模经济是一把双刃剑。云计算的绝对优势在于规模经济意味着成本低,因为云计算公司拥有大量的机架和硬件。这有助于降低成本,但也会导致简化,使攻击更容易。在一个实例中发现的一个漏洞足以快速覆盖数千个类似实例。7.安全权衡推高成本云计算公司已经陷入困境。他们可以通过关闭分支预测来抵御分支预测之类的攻击,但这会使一切变得更慢。那么,他们愿意为了降低性能而妥协吗?客户愿意接受这样的服务吗?我认为结果是否定的。在云中,较慢的机器没有价格优势。8.不同的公司有不同的安全需求你可能从事着数十亿美元的银行业务。但并非每个客户都需要在云中或以相同的规模开展相同的业务。事实上,一种规模并不适合所有安全企业,但云计算公司是商品企业。他们是否志存高远并致力于支持关键应用程序?还是他们偷工减料并为非关键应用程序提供低价套餐?这个问题没有正确答案,因为每个客户都是不同的,而实际上,客户的需求是不同的。甚至每个应用程序中的每个微服务都是不同的。9.一切都是不透明的云本质上是一个计算能力的暗池,这种神秘感常常使我们陷入一种神秘的自信之中。如果我们不知道我们的筹码在哪里,攻击者也不知道。然而,我们只是祈祷并假设攻击者无法找到共享我们机器的方法,因为我们自己不知道机器是如何分布的。但是,如果存在可以被利用的模式呢?如果存在可被利用来大幅改变赔率的秘密漏洞怎么办?10.攻击者有能力控制我们的资源云计算的一个关键特性是它可以自动升级扩展以满足需求。如果访问请求激增,云计算可以启动新的实例来保证性能。问题是,很容易制造虚假需求。攻击者可能会触发您的某个应用程序启动具有数千次快速访问的新实例。如果云计算公司在需求激增时推出新硬件怎么办?如果所有新实例都卡在这个新启动的硬件上怎么办?一旦触发云扩展,攻击者就可以请求新实例,因此每个人共享相同内存空间的可能性要大得多。11.太多克隆导致攻击面扩大许多云架构师喜欢使用许多小机器的模块,这些小机器可以随着需求的上升和下降而启动和停止。大量被克隆的小机器也意味着私有数据不断被克隆。如果有用于签署文档或登录数据库的私钥,那么所有克隆实例都将拥有该信息。这也意味着攻击者有N个目标,而不是只有一个,大大增加了攻击者针对同一物理硬件的可能性。12、我们获胜的机会可能没有想象的那么大。对云计算的攻击不再只是假设的事情,但在实践中可能并不那么容易。云安全最大的优势在于它是一个巨大的算力暗池。攻击者如何突破障碍并击中目标?他们闯入同一个内存空间的可能性有多大?攻击者能找到我们吗?云计算带来的神秘感逐渐膨胀了我们错误的安全感。事情真的有我们想象的那么美好吗?未必如此!
