您现在的位置:融合网首页 > 云计算 > 其他 >

五大云计算漏洞逐个数

来源:51CTO 作者:佚名 责任编辑:admin 发表时间:2011-07-04 16:23 
核心提示:当前的经济危机使云计算成为一个热门的话题,创业公司和小公司为了节约资金都使用的是互联网上的虚拟机,大公司一般都会将应用如客户关系管理系统放到如Salesforce.com这样的云服务提供商构建的云中,但专家说,在将基础架构迁移到云中时要小心安全陷阱。

当前的经济危机使云计算成为一个热门的话题,创业公司和小公司为了节约资金都使用的是互联网上的虚拟机,大公司一般都会将应用如客户关系管理系统放到如Salesforce.com这样的云服务提供商构建的云中,但专家说,在将基础架构迁移到云中时要小心安全陷阱。

著名安全公司SensePost的技术主管Haroon Meer在黑帽大会上说:“云计算的低端用户虽然可以节约金钱,危险的是高端用户在没有任何审核的情况下使用它”,他说他的团队对Amazon的EC2进行了深入的研究。他们的实验表明很多公司都不会扫描第三方提供的机器,恶意实例可以很容易地创建木马访问公司的内部网络。

记住这些陷阱,下面的5个教训来自黑帽大会上的演示。

1、云计算很少提供法律保护

使用云计算的公司需要认识到云中的数据需要服从法律法规,政府可能在没有出具传票的情况下对数据进行检索和拷贝,iSec首席安全顾问Alex Stamos认为云提供商更关心的是如何保护自己而不是客户,因此不要过分将希望寄托在服务协议上写的法律保护条款。

Stamos说:“所有云服务商都有训练有素的法律团队,当你签署了服务协议后,意味着你基本上一无所有,如果因为服务商的失误导致用户不能正常使用,用户不能投诉服务商,如果因为数据中心的失误导致数据丢失,服务商也不承担任何责任”。看上去就是一个不平等条约。但他同时补充道,云服务商发现安全问题一般会即时补上,如果语言沟通没有问题,也能得到一些帮助。

2、硬件不是你的

Stamos警告,如果想对服务商进行审核和进行测试,要记住硬件不属于自己,如果要进行漏洞扫描和渗透测试,需要经过云服务商的明确许可,否则,客户就会被认为是在攻击系统。象亚马逊的服务协议中就明确指出了,客户可以在系统上进行测试,这一点很重要。因为有明确的协议许可使用那些机器进行测试是会受到法律保护的。

3、需要强有力的策略和用户教育

由于云计算为企业带来了巨大的好处,如允许从任何地方访问数据,解决了IT维护人员的一大难题,永远在线服务也意味着更容易遭受钓鱼攻击。因此对最终用户进行风险教育显得格外重要,不仅仅是为了他们自身,更是为了公司的需要。但要教育好那些非技术职员不上当钓鱼攻击的当很困难,在SaaS模式下,钓鱼式攻击不仅仅是个个人问题,还成为企业面对的一个大问题。

4、不要相信虚拟机实例

SensePost的Meer说“在使用服务商提供的虚拟机时,如第三方供应商在亚马逊EC2平台上创建的实例时,公司不应该相信这些系统”。

公司的研究人员扫描了大量的预配置实例,发现认证密钥在缓存中,信用卡数据和恶意代码被隐藏在系统中,但他们发现大部分用户并不关心安全问题。

Meer建议公司应该建立自己的内部认证机制,要从技术上和法律上保护自己。

5、重新考虑你对云计算的假设

在考虑安全时,企业信息管理人员需要重新思考他们之前对云安全的假设。例如,当部署一个应用到虚拟数据中心的计算机实例上时,虚拟系统相比物理系统的平均可用资源要少得多,一般不会如你预期的那样美好,因此可以猜测资源进行随机分配时也是有限度的。

(责任编辑:admin)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    今日头条

    更多>>

    热门关键字

    关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
    Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号