云服務(wù)：降低風(fēng)險，保持可用性

申請免費試用、咨詢電話：400-8352-114

根據(jù)交付模型方案（SaaS、PaaS 或 IaaS），云服務(wù)安全策略關(guān)注云安全性的不同方面：

軟件即服務(wù) (SaaS) 策略主要關(guān)注對出租給消費者的應(yīng)用程序的訪問管理，無論消費者是個人、企業(yè)還是政府機構(gòu)。黑客可能通過分配惡意實例資源的惡意軟件攻擊 SaaS 應(yīng)用程序，策略應(yīng)該降低這種風(fēng)險。例如，一個應(yīng)用程序允許得到授權(quán)的牙醫(yī)助理在指定的辦公時間段下載牙醫(yī)記錄，黑客可能把這個時間段惡意地改為早上很早的時候以便于攻擊。

平臺即服務(wù) (PaaS) 策略主要關(guān)注保護數(shù)據(jù)，以及對在整個業(yè)務(wù)生命周期中由獨立軟件廠商、創(chuàng)業(yè)企業(yè)或大企業(yè)的部門創(chuàng)建和駐留的應(yīng)用程序的訪問管理。策略應(yīng)該降低僵尸網(wǎng)絡(luò)（botnet）使用 PaaS 作為命令和控制中心直接安裝惡意應(yīng)用程序（比如弄亂牙醫(yī)記錄）的風(fēng)險。

基礎(chǔ)設(shè)施即服務(wù) (IaaS) 策略主要關(guān)注管理虛擬機，以及保護數(shù)據(jù)和管理對云環(huán)境中虛擬機底層的傳統(tǒng)計算資源的基礎(chǔ)設(shè)施的訪問。這個策略應(yīng)該實現(xiàn)治理框架以降低虛擬機面對的風(fēng)險。僵尸網(wǎng)絡(luò)曾經(jīng)使用 IaaS 作為命令和控制中心直接惡意更新虛擬機的基礎(chǔ)設(shè)施。

本文簡要討論云服務(wù)安全問題的重要方面，然后描述風(fēng)險評估和降低風(fēng)險的步驟。

云服務(wù)安全性

云服務(wù)安全性會受到以下方面的威脅：

有缺陷的虛擬化系統(tǒng)管理程序（hypervisor）、缺少閾值策略、膨脹的負載均衡、不安全的密碼技術(shù)，我們來詳細討論每一項。

有缺陷的虛擬化系統(tǒng)管理程序

所有類型的云服務(wù)都在虛擬機上運行，虛擬機在底層的虛擬化系統(tǒng)管理程序上運行，虛擬化系統(tǒng)管理程序允許多個操作系統(tǒng)共享同一硬件主機。不同信任級別的群體訪問這些服務(wù)：用戶、租用者和云管理員。例如，一個租用者可能簽訂包含 1000 個用戶許可證的合約以訪問某個 SaaS。

如果虛擬化系統(tǒng)管理程序有缺陷或被攻破了，那么所有實例資源和數(shù)據(jù)請求隊列就都暴露了。攻擊者可以惡意地影響閾值策略；閾值策略用于在工作負載高峰期間監(jiān)視實例資源的消耗和數(shù)據(jù)請求隊列 [了解更多信息]。對虛擬機之間通信所用的內(nèi)部虛擬網(wǎng)絡(luò)的控制不夠明確，難以實施安全策略。對虛擬機的網(wǎng)絡(luò)和安全控制職責(zé)可能沒有很好地分隔。

黑客可以偽裝成具有管理控制權(quán)的高特權(quán)用戶，控制虛擬機，然后在虛擬化系統(tǒng)管理程序上執(zhí)行惡意程序。例如，他可以訪問目錄文件以及惡意地為另一個虛擬機重新分配實例資源。他可以破壞在相同虛擬機上的租用者之間隔離存儲、內(nèi)存和路由的機制。

黑客可以從虛擬機中重新分配的實例資源中獲取還沒有清除的殘留數(shù)據(jù)，從中竊取敏感的信息。黑客可以利用有缺陷的系統(tǒng)管理程序識別健康的虛擬機的鄰居并監(jiān)視它們的活動。他可以進入鄰居的虛擬機并在 PaaS 應(yīng)用程序中添加惡意代碼。

缺少閾值策略

在使用服務(wù)之前，最終用戶應(yīng)該評估服務(wù)提供商的安全策略。需要對比云計算與內(nèi)部環(huán)境的安全狀況，確保云服務(wù)安全策略包含 實例資源、用戶和數(shù)據(jù)請求閾值策略。

資源閾值策略用于監(jiān)視在工作負載高峰期間額外消耗的實例資源量。用戶閾值策略檢查同時登錄和退出云服務(wù)的用戶數(shù)量，以及用戶數(shù)量是否正在接近許可證指定的最大用戶數(shù)量。

如果不建立這些策略，會有以下風(fēng)險：

如果沒有資源閾值策略，就無法知道實例資源是否達到總?cè)萘?，這會導(dǎo)致云服務(wù)提供商在不發(fā)出警告的情況下關(guān)閉服務(wù)。

如果沒有用戶閾值策略，就無法知道當(dāng)前的用戶數(shù)量是否接近最大數(shù)量，以及有多少用戶在使用完云服務(wù)之后沒有退出。黑客可以識別這些用戶。

如果沒有數(shù)據(jù)請求閾值策略，就無法知道數(shù)據(jù)請求隊列的大小。黑客可以用惡意數(shù)據(jù)請求（比如 SQL 注入的請求）淹沒隊列，造成這些隊列達到最大容量。

膨脹的負載均衡

負載均衡用于分發(fā)實例資源和數(shù)據(jù)請求。例如，每個實例資源的負載應(yīng)該不超過容量的 50%，這樣如果一個實例出現(xiàn)故障，健康的實例可以接管失敗的實例的業(yè)務(wù)事務(wù)。

每個隊列的數(shù)據(jù)請求負載應(yīng)該不超過隊列容量的 50%，這樣如果一個隊列出現(xiàn)故障，健康的隊列可以接管原本發(fā)給失敗的隊列的數(shù)據(jù)請求。

如果虛擬機中的惡意軟件破壞了實例資源的負載均衡，就可以用惡意事務(wù)淹沒這些資源，導(dǎo)致每個資源達到容量的 100%。

不可能把業(yè)務(wù)事務(wù)從失敗的資源實例轉(zhuǎn)移到健康的實例。膨脹的負載均衡無法實現(xiàn)故障轉(zhuǎn)移機制，比如實例資源或負載共享冗余。

不安全的密碼技術(shù)

需要用某種形式的加密技術(shù)保護數(shù)據(jù)的機密性和完整性。即使數(shù)據(jù)不是敏感數(shù)據(jù)或個人數(shù)據(jù)，在云中傳輸和操縱數(shù)據(jù)時也應(yīng)該用密碼技術(shù)加以保護。

黑客可以利用密碼分析技術(shù)或惡意的實例資源破解密碼算法。他們可以尋找密碼算法中的缺陷，然后惡意修改它們，讓強的加密算法變?nèi)酢?/P>

黑客還可以查明密碼算法的最新版本，然后在自己的計算機上執(zhí)行反向工程以了解算法的工作過程。

降低云服務(wù)的風(fēng)險

可以按經(jīng)濟有效的方式通過應(yīng)用安全控制降低風(fēng)險，從而降低黑客攻破資產(chǎn)的漏洞并威脅到實現(xiàn)的可能性。

在嘗試降低風(fēng)險之前，需要識別要保護的資產(chǎn)。最簡單的風(fēng)險評估過程如下：

1、識別資產(chǎn)，2、分析風(fēng)險，3、應(yīng)用安全對策，4、執(zhí)行運行后或事件后評估。

要記住的關(guān)鍵概念是，在任何階段都可以再次執(zhí)行前面的步驟，從而加入新增的或原來沒有發(fā)現(xiàn)的變量。

首先識別資產(chǎn) — 硬件、軟件、網(wǎng)絡(luò)組件、個人、用戶、文檔和設(shè)備；這些和其他資產(chǎn)是云服務(wù)的直接組成部分。在識別資產(chǎn)之后，嘗試分析風(fēng)險；在此期間，如果發(fā)現(xiàn)遺漏了某些資產(chǎn)，隨時可以重復(fù)第一步以更新資產(chǎn)集，然后重復(fù)第二步。

如果在執(zhí)行第三步（應(yīng)用安全對策）期間發(fā)現(xiàn)沒有考慮到某些風(fēng)險，可以返回到第二步，分析這些風(fēng)險，判斷每個風(fēng)險的潛在損失或發(fā)生的可能性?？梢詮牡谌椒祷氐降谝徊揭愿乱Ｗo的資產(chǎn)集。

在第四步中，定期地重新評估風(fēng)險，因為新的風(fēng)險、安全控制措施、基礎(chǔ)設(shè)施技術(shù)和法律會影響安全狀況。

我們來詳細討論每個步驟。