云计算服务再遭遇安全大考(2)

“改密码”能解决问题吗

受到数据泄露威胁的用户，主要是Evernote国际版用户。Evernote方面表示，其信息安全团队在Evernote网络上发现了有组织的恶意攻击，疑似企图入侵Evernote Service的安全区域。但在随后展开的调查中，他们还未发现用户存储在Evernote上的任何内容有被非法读取、更改或遗失的迹象。针对用户的支付信息，也没有发现任何非法访问的痕迹。但由于黑客“有可能”访问了一些与账户相关的用户名、电子邮件地址以及Evernote的加密密码，所以Evernote“建议”用户更改密码，以免遭受损失。

在事件发生后，Evernote曾在其登录界面上通过“跳出提示”的方法提醒用户重置密码。但很快，这种做法就被一种相对“怀柔”的方法取代了。经记者测试发现，目前只是在自动退出之前的登录状态时，才要求用户重新登录。但重新登录时，原来的密码便会失效，用户不得不点击找回密码链接重设密码。

作为知名云服务商，Evernote希望尽快隐蔽地化解此事件的心态可以理解，但用户的抱怨情绪却没有那么容易熄灭。一次黑客攻击便足以影响到全部用户，甚至需要所有用户修改密码，在云服务遭受黑客攻击的案例中，这样的问题总在重复。安全级别看似极高的云服务，为何如此脆弱？

“对黑客而言，云服务商最具价值的信息就是用户信息数据库。因为掌握了登录认证信息，就意味着可以掌握用户的全部数据。黑客攻击一个10M的数据库，就足以让其获得T级容量的用户数据，这必然会吸引黑客瞄准存储用户身份认证信息的数据库。”BlueCoat安全专家申强告诉记者，今天大量的公有云服务对用户认证信息的保护，依旧在采取“强加密，弱认证”的安全防护模式，数据的加密做得已经足够好了，但对服务和用户的认证还远远不够。很多面向消费类用户的云服务还是在采取基于用户名、口令的认证模式，一些用户登录信息甚至还在使用明文存储，这等于把最关键的数据暴露给了黑客。一旦黑客获取了用户信息数据库中的数据，数据泄露的风险自然会波及海量用户。

“我们的团队在服务过程中发现，云服务商最看重的是自身所能提供的应用服务内容，安全问题往往最后才会去考虑，这种侥幸心态是不可取的，等尝到网络攻击的苦头后才回头补救，对用户而言也是极不负责的。”Radware安全专家姚宏洲指出，除了数据窃取及篡改外，云服务商对保障服务可用性的安全问题也关注不足。例如DoS/DDoS攻击在全球愈演愈烈，众多行业均被波及，这种消耗资源型的网络攻击对云服务也是极大的威胁。

多方责任制下的安全杂症

根据行业统计，当前被曝光的企业数据泄露事件不足10%.因为数据泄露问题如果发生在企业内部，很多问题可以自我消化。但如果同样的事件发生在公有云服务商的身上，几乎100%被曝光。

安全防护的目标永远都是将风险控制到足够小，云服务商同样无法做到100%的安全。申强告诉记者，没有高等级的安全防护措施，公有云服务商很难说服用户去使用其所提供的服务，所以当前公有云服务对数据安全的重视度往往极高。今天可以在企业内部数据中心看到的所有安全措施、安全策略以及安全等级标准，实际在云服务数据中心中至少是被复制和重现的。“可以说，云安全服务商已经做到了企业级安全能够做到的安全级别，甚至还会更高。但是在云中，却很难达到企业级数据安全等级保护的同等效果。”

他指出，如果单纯从安全保护策略的角度看，云服务数据中心和企业内部的数据中心并没有本质上的区别。和企业内部的安全问题相比，公有云安全问题的复杂性更多体现在责任的界定上。因为云服务的安全责任已经被不同的组织拆解，各自为政。

“云服务数据中心和企业的私有数据中心相比，两者都是从四个层面来实现数据保护的：数据的安全，系统层面的安全，网络传输层面的安全以及用户终端的安全。

在企业内部，这四部分的安全规划都是由企业自己完成的。但在公有云环境中，数据、系统的安全问题要由云服务商负责，网络传输部分的安全防护则要由企业和运营商共同承担，用户终端的安全则是由用户个人或企业来管理。这就会形成一种挑战：如何让各部分贯彻统一的安全策略，实现全网的安全。这是和传统企业安全最大的不同。(责任编辑：admin)