2014年中國(guó)云計(jì)算產(chǎn)業(yè)繼續(xù)保持2013年的發(fā)展態(tài)勢(shì)，并逐漸與游戲、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等產(chǎn)業(yè)相結(jié)合產(chǎn)生放大效應(yīng)。凡事皆有利弊，隨著規(guī)模擴(kuò)大及目標(biāo)價(jià)值增長(zhǎng)，許多黑客開(kāi)始關(guān)注這一新興領(lǐng)域的“潛在價(jià)值”。不知不覺(jué)中，暗流涌動(dòng)，“安全之戰(zhàn)”響徹“云”霄。下面分別從IaaS、PaaS、SaaS三種服務(wù)模式談一談云計(jì)算領(lǐng)域的攻防趨勢(shì)。

　　IaaS層面

　　我們可以看到IssS層面主要有三種攻擊方式。

　　分布式拒絕服務(wù)攻擊(DDoS)。迄今為止DDoS攻擊仍然是最有效的攻擊手段，且隨著DDoS技術(shù)進(jìn)步，這種攻擊成本越來(lái)越低，并且在將來(lái)很長(zhǎng)一段時(shí)間內(nèi)仍然無(wú)法根治。這種攻擊隱蔽且非常有效，UCloud在今年5月就遭受到63G的大流量攻擊。這對(duì)IaaS廠商來(lái)說(shuō)是致命的，長(zhǎng)時(shí)間的業(yè)務(wù)中斷，任何客戶(hù)都承受不起。利用NTP的反射型DDoS可以說(shuō)是DDoS中的核武器、殺手锏，可將攻擊流量放大至200倍，如四兩撥千斤般，幾乎可以打癱任何廠商的帶寬出口，國(guó)外CDN廠商CloudFlare今年年初就遭受到400G的反射型流量攻擊。

　　Web攻擊。為了提升交互體驗(yàn)，云服務(wù)商都會(huì)提供一個(gè)Web方式的管理控制臺(tái)，若控制臺(tái)自身存在漏洞，一定會(huì)造成危害。這種漏洞主要來(lái)自?xún)煞矫妗Ｒ环矫媸浅绦虼�碼對(duì)輸入信息校驗(yàn)不完整或程序邏輯有誤造成的漏洞。例如，某云計(jì)算巨頭廠商基于開(kāi)源軟件ElasticSearch開(kāi)發(fā)的搜索工具存在遠(yuǎn)程執(zhí)行的漏洞，可以執(zhí)行任意命令和寫(xiě)文件操作。另一方面是部署或使用第三方工具不當(dāng)造成的漏洞。例如，某云服務(wù)商使用OpenSSL不當(dāng)造成用戶(hù)信息泄露，進(jìn)而使黑客能夠以該用戶(hù)身份登錄并獲取服務(wù)器敏感信息。

　　虛擬機(jī)資源濫用。當(dāng)前云計(jì)算業(yè)務(wù)正處于發(fā)展期，一些傳統(tǒng)用戶(hù)還處于是否向云計(jì)算遷移的糾結(jié)中。因此，很多云廠商提供了免費(fèi)的虛擬機(jī)試用服務(wù)，黑客正利用了這一機(jī)會(huì)并結(jié)合其他手段，如批量注冊(cè)免費(fèi)郵箱等，來(lái)大量申請(qǐng)免費(fèi)云計(jì)算資源構(gòu)筑強(qiáng)大的云攻擊環(huán)境，并且形成一種商業(yè)服務(wù)AaaS(Attacks-as-a-Service)，任何人只要購(gòu)買(mǎi)該服務(wù)即可對(duì)任意目標(biāo)發(fā)動(dòng)DDoS攻擊。

　　PaaS層面

　　底層IaaS遇到的問(wèn)題在PaaS層面依然存在。由于PaaS平臺(tái)可以托管應(yīng)用并在其平臺(tái)上完成開(kāi)發(fā)工作，如果權(quán)限管理不正確的話(huà)會(huì)導(dǎo)致用戶(hù)的App被篡改乃至被惡意刪除。今年5月，新浪SAE就被發(fā)現(xiàn)存在用戶(hù)越權(quán)操作、可刪除任意用戶(hù)的代碼倉(cāng)庫(kù)的漏洞。另外，PaaS平臺(tái)提供的數(shù)據(jù)庫(kù)服務(wù)，如果數(shù)據(jù)庫(kù)配置不當(dāng)也會(huì)產(chǎn)生很多安全隱患，有些數(shù)據(jù)庫(kù)甚至缺少?gòu)?qiáng)健的身份認(rèn)證能力，如Redis。如果PaaS廠商對(duì)訪(fǎng)問(wèn)請(qǐng)求沒(méi)有限制的話(huà)，黑客可以通過(guò)暴力破解方式獲取數(shù)據(jù)庫(kù)密碼，從而導(dǎo)致數(shù)據(jù)泄露。

　　今年6月，國(guó)外代碼托管服務(wù)商Code Spaces(構(gòu)筑在亞馬遜AWS EC2下的PaaS平臺(tái))由于被黑客惡意刪除了全部數(shù)據(jù)導(dǎo)致被迫關(guān)閉。從中我們看到由于PaaS平臺(tái)是構(gòu)筑在IaaS基礎(chǔ)之上的，用戶(hù)不能觸及真正的物理服務(wù)器，所以管理服務(wù)器的操作只能通過(guò)IaaS提供的控制面板、管理控制臺(tái)等Web界面來(lái)完成，一旦口令被破解，真實(shí)用戶(hù)只能眼睜睜看著黑客操控自己的機(jī)器。所以我建議IaaS除了提供必要的基礎(chǔ)安全措施外，還可以進(jìn)一步考慮提供一些額外的安全機(jī)制，比如多因素身份認(rèn)證等增值服務(wù)，給用戶(hù)更多選擇。

　　SaaS層面

　　SaaS的業(yè)務(wù)形態(tài)主要是以Web方式進(jìn)行輸出，所以面臨的主要安全風(fēng)險(xiǎn)都集中在SQL注入、跨站腳本(XSS)、API交互缺乏簽名驗(yàn)證導(dǎo)致仿冒盜用乃至數(shù)據(jù)泄露等方面。

　　迄今為止，凡是已公開(kāi)運(yùn)營(yíng)的云服務(wù)，無(wú)論規(guī)模大小，幾乎無(wú)一幸免，都或多或少被曝出現(xiàn)過(guò)上述漏洞。

　　云計(jì)算安全防范之我所見(jiàn)

　　安全防御，是一個(gè)系統(tǒng)工程，它不僅僅涉及技術(shù)，也包括管理手段。特別是在云計(jì)算環(huán)境中，商業(yè)模式、部署方式以及技術(shù)架構(gòu)都發(fā)生了重大變化，導(dǎo)致所面臨的風(fēng)險(xiǎn)也發(fā)生了巨大變化。如果管理手段跟不上，就可能造成重大事故。例如，我們一臺(tái)開(kāi)發(fā)使用的測(cè)試服務(wù)器部署在某個(gè)云上，但某天突然無(wú)法訪(fǎng)問(wèn)，管理員登錄管理控制臺(tái)后大吃一驚，服務(wù)器居然已經(jīng)被云服務(wù)商銷(xiāo)毀。云服務(wù)商回復(fù)稱(chēng)這是他們內(nèi)部的人為失誤造成的，但由于是物理刪除，所以無(wú)法恢復(fù)。通過(guò)這個(gè)事件可以看到，如果沒(méi)有一個(gè)完善的管理流程，就算擁有強(qiáng)大的技術(shù)也無(wú)能為力。因此，清晰地劃分職責(zé)與權(quán)限至關(guān)重要，否則一個(gè)點(diǎn)被黑客突破就可能造成權(quán)限濫用，進(jìn)而給客戶(hù)造成巨大的損失。

　　在技術(shù)對(duì)抗方面，我們認(rèn)為：師“云”長(zhǎng)技以制“云”。云計(jì)算的精髓是提升效率與降低成本，而傳統(tǒng)安全設(shè)備卻與此背道而馳，例如：傳統(tǒng)的應(yīng)用防火墻(WAF)單臺(tái)設(shè)備的吞吐量與處理能力有限，給云計(jì)算服務(wù)造成瓶頸。在技術(shù)選型時(shí)，用戶(hù)應(yīng)更多考慮那些能與云有機(jī)結(jié)合的技術(shù)產(chǎn)品或方案。

　　結(jié)合云計(jì)算業(yè)務(wù)特點(diǎn)與技術(shù)架構(gòu)，云計(jì)算服務(wù)商應(yīng)結(jié)合自己的業(yè)務(wù)特點(diǎn)，重點(diǎn)圍繞以下三大方面進(jìn)行防御：應(yīng)用與API安全、數(shù)據(jù)安全與協(xié)作、防火墻(物理防火墻與虛擬防火墻)。在加固平臺(tái)安全機(jī)制的同時(shí)，也要指導(dǎo)或幫助用戶(hù)做好安全服務(wù)，如此雙管齊下才能提升安全性。當(dāng)然，術(shù)業(yè)有專(zhuān)攻，云計(jì)算服務(wù)商并不是安全專(zhuān)家，自身可能也無(wú)法應(yīng)對(duì)眾多復(fù)雜的安全性問(wèn)題，在這方面還應(yīng)加強(qiáng)與專(zhuān)業(yè)安全廠商的深度合作。

　　隨著黑客在云上開(kāi)辟出第二戰(zhàn)場(chǎng)，“云安全之戰(zhàn)”已無(wú)法避免，這也刺激了云安全服務(wù)產(chǎn)業(yè)的發(fā)展，只有越來(lái)越多的云安全服務(wù)商出現(xiàn)才能促進(jìn)云安全產(chǎn)業(yè)的技術(shù)創(chuàng)新與發(fā)展，相信這支新軍將成為云安全的主力軍。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：2014，攻防之戰(zhàn)響徹“云”霄

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/10839516553.html