云服務：降低風險，保持可用性

申請免費試用、咨詢電話：400-8352-114

根據(jù)交付模型方案（SaaS、PaaS 或 IaaS），云服務安全策略關注云安全性的不同方面：

軟件即服務 (SaaS) 策略主要關注對出租給消費者的應用程序的訪問管理，無論消費者是個人、企業(yè)還是政府機構。黑客可能通過分配惡意實例資源的惡意軟件攻擊 SaaS 應用程序，策略應該降低這種風險。例如，一個應用程序允許得到授權的牙醫(yī)助理在指定的辦公時間段下載牙醫(yī)記錄，黑客可能把這個時間段惡意地改為早上很早的時候以便于攻擊。

平臺即服務 (PaaS) 策略主要關注保護數(shù)據(jù)，以及對在整個業(yè)務生命周期中由獨立軟件廠商、創(chuàng)業(yè)企業(yè)或大企業(yè)的部門創(chuàng)建和駐留的應用程序的訪問管理。策略應該降低僵尸網(wǎng)絡（botnet）使用 PaaS 作為命令和控制中心直接安裝惡意應用程序（比如弄亂牙醫(yī)記錄）的風險。

基礎設施即服務 (IaaS) 策略主要關注管理虛擬機，以及保護數(shù)據(jù)和管理對云環(huán)境中虛擬機底層的傳統(tǒng)計算資源的基礎設施的訪問。這個策略應該實現(xiàn)治理框架以降低虛擬機面對的風險。僵尸網(wǎng)絡曾經(jīng)使用 IaaS 作為命令和控制中心直接惡意更新虛擬機的基礎設施。

本文簡要討論云服務安全問題的重要方面，然后描述風險評估和降低風險的步驟。

云服務安全性

云服務安全性會受到以下方面的威脅：

有缺陷的虛擬化系統(tǒng)管理程序（hypervisor）、缺少閾值策略、膨脹的負載均衡、不安全的密碼技術，我們來詳細討論每一項。

有缺陷的虛擬化系統(tǒng)管理程序

所有類型的云服務都在虛擬機上運行，虛擬機在底層的虛擬化系統(tǒng)管理程序上運行，虛擬化系統(tǒng)管理程序允許多個操作系統(tǒng)共享同一硬件主機。不同信任級別的群體訪問這些服務：用戶、租用者和云管理員。例如，一個租用者可能簽訂包含 1000 個用戶許可證的合約以訪問某個 SaaS。

如果虛擬化系統(tǒng)管理程序有缺陷或被攻破了，那么所有實例資源和數(shù)據(jù)請求隊列就都暴露了。攻擊者可以惡意地影響閾值策略；閾值策略用于在工作負載高峰期間監(jiān)視實例資源的消耗和數(shù)據(jù)請求隊列 [了解更多信息]。對虛擬機之間通信所用的內(nèi)部虛擬網(wǎng)絡的控制不夠明確，難以實施安全策略。對虛擬機的網(wǎng)絡和安全控制職責可能沒有很好地分隔。

黑客可以偽裝成具有管理控制權的高特權用戶，控制虛擬機，然后在虛擬化系統(tǒng)管理程序上執(zhí)行惡意程序。例如，他可以訪問目錄文件以及惡意地為另一個虛擬機重新分配實例資源。他可以破壞在相同虛擬機上的租用者之間隔離存儲、內(nèi)存和路由的機制。

黑客可以從虛擬機中重新分配的實例資源中獲取還沒有清除的殘留數(shù)據(jù)，從中竊取敏感的信息。黑客可以利用有缺陷的系統(tǒng)管理程序識別健康的虛擬機的鄰居并監(jiān)視它們的活動。他可以進入鄰居的虛擬機并在 PaaS 應用程序中添加惡意代碼。

缺少閾值策略

在使用服務之前，最終用戶應該評估服務提供商的安全策略。需要對比云計算與內(nèi)部環(huán)境的安全狀況，確保云服務安全策略包含 實例資源、用戶和數(shù)據(jù)請求閾值策略。

資源閾值策略用于監(jiān)視在工作負載高峰期間額外消耗的實例資源量。用戶閾值策略檢查同時登錄和退出云服務的用戶數(shù)量，以及用戶數(shù)量是否正在接近許可證指定的最大用戶數(shù)量。

如果不建立這些策略，會有以下風險：

如果沒有資源閾值策略，就無法知道實例資源是否達到總容量，這會導致云服務提供商在不發(fā)出警告的情況下關閉服務。

如果沒有用戶閾值策略，就無法知道當前的用戶數(shù)量是否接近最大數(shù)量，以及有多少用戶在使用完云服務之后沒有退出。黑客可以識別這些用戶。

如果沒有數(shù)據(jù)請求閾值策略，就無法知道數(shù)據(jù)請求隊列的大小。黑客可以用惡意數(shù)據(jù)請求（比如 SQL 注入的請求）淹沒隊列，造成這些隊列達到最大容量。

膨脹的負載均衡

負載均衡用于分發(fā)實例資源和數(shù)據(jù)請求。例如，每個實例資源的負載應該不超過容量的 50%，這樣如果一個實例出現(xiàn)故障，健康的實例可以接管失敗的實例的業(yè)務事務。

每個隊列的數(shù)據(jù)請求負載應該不超過隊列容量的 50%，這樣如果一個隊列出現(xiàn)故障，健康的隊列可以接管原本發(fā)給失敗的隊列的數(shù)據(jù)請求。

如果虛擬機中的惡意軟件破壞了實例資源的負載均衡，就可以用惡意事務淹沒這些資源，導致每個資源達到容量的 100%。

不可能把業(yè)務事務從失敗的資源實例轉移到健康的實例。膨脹的負載均衡無法實現(xiàn)故障轉移機制，比如實例資源或負載共享冗余。

不安全的密碼技術

需要用某種形式的加密技術保護數(shù)據(jù)的機密性和完整性。即使數(shù)據(jù)不是敏感數(shù)據(jù)或個人數(shù)據(jù)，在云中傳輸和操縱數(shù)據(jù)時也應該用密碼技術加以保護。

黑客可以利用密碼分析技術或惡意的實例資源破解密碼算法。他們可以尋找密碼算法中的缺陷，然后惡意修改它們，讓強的加密算法變?nèi)酢?/P>

黑客還可以查明密碼算法的最新版本，然后在自己的計算機上執(zhí)行反向工程以了解算法的工作過程。

降低云服務的風險

可以按經(jīng)濟有效的方式通過應用安全控制降低風險，從而降低黑客攻破資產(chǎn)的漏洞并威脅到實現(xiàn)的可能性。

在嘗試降低風險之前，需要識別要保護的資產(chǎn)。最簡單的風險評估過程如下：

1、識別資產(chǎn)，2、分析風險，3、應用安全對策，4、執(zhí)行運行后或事件后評估。

要記住的關鍵概念是，在任何階段都可以再次執(zhí)行前面的步驟，從而加入新增的或原來沒有發(fā)現(xiàn)的變量。

首先識別資產(chǎn) — 硬件、軟件、網(wǎng)絡組件、個人、用戶、文檔和設備；這些和其他資產(chǎn)是云服務的直接組成部分。在識別資產(chǎn)之后，嘗試分析風險；在此期間，如果發(fā)現(xiàn)遺漏了某些資產(chǎn)，隨時可以重復第一步以更新資產(chǎn)集，然后重復第二步。

如果在執(zhí)行第三步（應用安全對策）期間發(fā)現(xiàn)沒有考慮到某些風險，可以返回到第二步，分析這些風險，判斷每個風險的潛在損失或發(fā)生的可能性?？梢詮牡谌椒祷氐降谝徊揭愿乱Ｗo的資產(chǎn)集。

在第四步中，定期地重新評估風險，因為新的風險、安全控制措施、基礎設施技術和法律會影響安全狀況。

我們來詳細討論每個步驟。