云服務(wù)：降低風(fēng)險(xiǎn)，保持可用性

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

根據(jù)交付模型方案（SaaS、PaaS 或 IaaS），云服務(wù)安全策略關(guān)注云安全性的不同方面：

軟件即服務(wù) (SaaS) 策略主要關(guān)注對(duì)出租給消費(fèi)者的應(yīng)用程序的訪問管理，無論消費(fèi)者是個(gè)人、企業(yè)還是政府機(jī)構(gòu)。黑客可能通過分配惡意實(shí)例資源的惡意軟件攻擊 SaaS 應(yīng)用程序，策略應(yīng)該降低這種風(fēng)險(xiǎn)。例如，一個(gè)應(yīng)用程序允許得到授權(quán)的牙醫(yī)助理在指定的辦公時(shí)間段下載牙醫(yī)記錄，黑客可能把這個(gè)時(shí)間段惡意地改為早上很早的時(shí)候以便于攻擊。

平臺(tái)即服務(wù) (PaaS) 策略主要關(guān)注保護(hù)數(shù)據(jù)，以及對(duì)在整個(gè)業(yè)務(wù)生命周期中由獨(dú)立軟件廠商、創(chuàng)業(yè)企業(yè)或大企業(yè)的部門創(chuàng)建和駐留的應(yīng)用程序的訪問管理。策略應(yīng)該降低僵尸網(wǎng)絡(luò)（botnet）使用 PaaS 作為命令和控制中心直接安裝惡意應(yīng)用程序（比如弄亂牙醫(yī)記錄）的風(fēng)險(xiǎn)。

基礎(chǔ)設(shè)施即服務(wù) (IaaS) 策略主要關(guān)注管理虛擬機(jī)，以及保護(hù)數(shù)據(jù)和管理對(duì)云環(huán)境中虛擬機(jī)底層的傳統(tǒng)計(jì)算資源的基礎(chǔ)設(shè)施的訪問。這個(gè)策略應(yīng)該實(shí)現(xiàn)治理框架以降低虛擬機(jī)面對(duì)的風(fēng)險(xiǎn)。僵尸網(wǎng)絡(luò)曾經(jīng)使用 IaaS 作為命令和控制中心直接惡意更新虛擬機(jī)的基礎(chǔ)設(shè)施。

本文簡(jiǎn)要討論云服務(wù)安全問題的重要方面，然后描述風(fēng)險(xiǎn)評(píng)估和降低風(fēng)險(xiǎn)的步驟。

云服務(wù)安全性

云服務(wù)安全性會(huì)受到以下方面的威脅：

有缺陷的虛擬化系統(tǒng)管理程序（hypervisor）、缺少閾值策略、膨脹的負(fù)載均衡、不安全的密碼技術(shù)，我們來詳細(xì)討論每一項(xiàng)。

有缺陷的虛擬化系統(tǒng)管理程序

所有類型的云服務(wù)都在虛擬機(jī)上運(yùn)行，虛擬機(jī)在底層的虛擬化系統(tǒng)管理程序上運(yùn)行，虛擬化系統(tǒng)管理程序允許多個(gè)操作系統(tǒng)共享同一硬件主機(jī)。不同信任級(jí)別的群體訪問這些服務(wù)：用戶、租用者和云管理員。例如，一個(gè)租用者可能簽訂包含 1000 個(gè)用戶許可證的合約以訪問某個(gè) SaaS。

如果虛擬化系統(tǒng)管理程序有缺陷或被攻破了，那么所有實(shí)例資源和數(shù)據(jù)請(qǐng)求隊(duì)列就都暴露了。攻擊者可以惡意地影響閾值策略；閾值策略用于在工作負(fù)載高峰期間監(jiān)視實(shí)例資源的消耗和數(shù)據(jù)請(qǐng)求隊(duì)列 [了解更多信息]。對(duì)虛擬機(jī)之間通信所用的內(nèi)部虛擬網(wǎng)絡(luò)的控制不夠明確，難以實(shí)施安全策略。對(duì)虛擬機(jī)的網(wǎng)絡(luò)和安全控制職責(zé)可能沒有很好地分隔。

黑客可以偽裝成具有管理控制權(quán)的高特權(quán)用戶，控制虛擬機(jī)，然后在虛擬化系統(tǒng)管理程序上執(zhí)行惡意程序。例如，他可以訪問目錄文件以及惡意地為另一個(gè)虛擬機(jī)重新分配實(shí)例資源。他可以破壞在相同虛擬機(jī)上的租用者之間隔離存儲(chǔ)、內(nèi)存和路由的機(jī)制。

黑客可以從虛擬機(jī)中重新分配的實(shí)例資源中獲取還沒有清除的殘留數(shù)據(jù)，從中竊取敏感的信息。黑客可以利用有缺陷的系統(tǒng)管理程序識(shí)別健康的虛擬機(jī)的鄰居并監(jiān)視它們的活動(dòng)。他可以進(jìn)入鄰居的虛擬機(jī)并在 PaaS 應(yīng)用程序中添加惡意代碼。

缺少閾值策略

在使用服務(wù)之前，最終用戶應(yīng)該評(píng)估服務(wù)提供商的安全策略。需要對(duì)比云計(jì)算與內(nèi)部環(huán)境的安全狀況，確保云服務(wù)安全策略包含 實(shí)例資源、用戶和數(shù)據(jù)請(qǐng)求閾值策略。

資源閾值策略用于監(jiān)視在工作負(fù)載高峰期間額外消耗的實(shí)例資源量。用戶閾值策略檢查同時(shí)登錄和退出云服務(wù)的用戶數(shù)量，以及用戶數(shù)量是否正在接近許可證指定的最大用戶數(shù)量。

如果不建立這些策略，會(huì)有以下風(fēng)險(xiǎn)：

如果沒有資源閾值策略，就無法知道實(shí)例資源是否達(dá)到總?cè)萘浚@會(huì)導(dǎo)致云服務(wù)提供商在不發(fā)出警告的情況下關(guān)閉服務(wù)。

如果沒有用戶閾值策略，就無法知道當(dāng)前的用戶數(shù)量是否接近最大數(shù)量，以及有多少用戶在使用完云服務(wù)之后沒有退出。黑客可以識(shí)別這些用戶。

如果沒有數(shù)據(jù)請(qǐng)求閾值策略，就無法知道數(shù)據(jù)請(qǐng)求隊(duì)列的大小。黑客可以用惡意數(shù)據(jù)請(qǐng)求（比如 SQL 注入的請(qǐng)求）淹沒隊(duì)列，造成這些隊(duì)列達(dá)到最大容量。

膨脹的負(fù)載均衡

負(fù)載均衡用于分發(fā)實(shí)例資源和數(shù)據(jù)請(qǐng)求。例如，每個(gè)實(shí)例資源的負(fù)載應(yīng)該不超過容量的 50%，這樣如果一個(gè)實(shí)例出現(xiàn)故障，健康的實(shí)例可以接管失敗的實(shí)例的業(yè)務(wù)事務(wù)。

每個(gè)隊(duì)列的數(shù)據(jù)請(qǐng)求負(fù)載應(yīng)該不超過隊(duì)列容量的 50%，這樣如果一個(gè)隊(duì)列出現(xiàn)故障，健康的隊(duì)列可以接管原本發(fā)給失敗的隊(duì)列的數(shù)據(jù)請(qǐng)求。

如果虛擬機(jī)中的惡意軟件破壞了實(shí)例資源的負(fù)載均衡，就可以用惡意事務(wù)淹沒這些資源，導(dǎo)致每個(gè)資源達(dá)到容量的 100%。

不可能把業(yè)務(wù)事務(wù)從失敗的資源實(shí)例轉(zhuǎn)移到健康的實(shí)例。膨脹的負(fù)載均衡無法實(shí)現(xiàn)故障轉(zhuǎn)移機(jī)制，比如實(shí)例資源或負(fù)載共享冗余。

不安全的密碼技術(shù)

需要用某種形式的加密技術(shù)保護(hù)數(shù)據(jù)的機(jī)密性和完整性。即使數(shù)據(jù)不是敏感數(shù)據(jù)或個(gè)人數(shù)據(jù)，在云中傳輸和操縱數(shù)據(jù)時(shí)也應(yīng)該用密碼技術(shù)加以保護(hù)。

黑客可以利用密碼分析技術(shù)或惡意的實(shí)例資源破解密碼算法。他們可以尋找密碼算法中的缺陷，然后惡意修改它們，讓強(qiáng)的加密算法變?nèi)酢?/P>

黑客還可以查明密碼算法的最新版本，然后在自己的計(jì)算機(jī)上執(zhí)行反向工程以了解算法的工作過程。

降低云服務(wù)的風(fēng)險(xiǎn)

可以按經(jīng)濟(jì)有效的方式通過應(yīng)用安全控制降低風(fēng)險(xiǎn)，從而降低黑客攻破資產(chǎn)的漏洞并威脅到實(shí)現(xiàn)的可能性。

在嘗試降低風(fēng)險(xiǎn)之前，需要識(shí)別要保護(hù)的資產(chǎn)。最簡(jiǎn)單的風(fēng)險(xiǎn)評(píng)估過程如下：

1、識(shí)別資產(chǎn)，2、分析風(fēng)險(xiǎn)，3、應(yīng)用安全對(duì)策，4、執(zhí)行運(yùn)行后或事件后評(píng)估。

要記住的關(guān)鍵概念是，在任何階段都可以再次執(zhí)行前面的步驟，從而加入新增的或原來沒有發(fā)現(xiàn)的變量。

首先識(shí)別資產(chǎn) — 硬件、軟件、網(wǎng)絡(luò)組件、個(gè)人、用戶、文檔和設(shè)備；這些和其他資產(chǎn)是云服務(wù)的直接組成部分。在識(shí)別資產(chǎn)之后，嘗試分析風(fēng)險(xiǎn)；在此期間，如果發(fā)現(xiàn)遺漏了某些資產(chǎn)，隨時(shí)可以重復(fù)第一步以更新資產(chǎn)集，然后重復(fù)第二步。

如果在執(zhí)行第三步（應(yīng)用安全對(duì)策）期間發(fā)現(xiàn)沒有考慮到某些風(fēng)險(xiǎn)，可以返回到第二步，分析這些風(fēng)險(xiǎn)，判斷每個(gè)風(fēng)險(xiǎn)的潛在損失或發(fā)生的可能性?？梢詮牡谌椒祷氐降谝徊揭愿乱Ｗo(hù)的資產(chǎn)集。

在第四步中，定期地重新評(píng)估風(fēng)險(xiǎn)，因?yàn)樾碌娘L(fēng)險(xiǎn)、安全控制措施、基礎(chǔ)設(shè)施技術(shù)和法律會(huì)影響安全狀況。

我們來詳細(xì)討論每個(gè)步驟。