引云小心威胁上了身 五个易忽视的云计算风险(2)

多租户并非严格意义上公共云问题。不同的企业拥有不同的安全实践，但是却可能在私有云和混合云中占用同一个基础架构。

“在面临系统风险的时候，一家拥有良好安全实践的企业可能会被一家安全实践较差的姊妹公司所拖累。类似的事情真的很难衡量和解释，尤其是在大型跨国企业中，事情更是如此，”Webb说。

另一个问题是应用层。在设计不当的私有云中，非关键任务应用程序通常与关键任务应用程序共享相同的资源。“大多数企业如何将它们分开呢？”Chiu问道。

“他们气隙它，所以，对于大多数虚拟化和私有云环境而言最大的威胁就是配置错误，”他说。“80%的停机都是由不恰当的行政更变所造成的。”

4、糟糕的安全管理程序和过度紧张的IPS(入侵防御系统)

每一项新技术都会带来新的漏洞，用来弥补这些云或者虚拟化漏洞的是管理程序。

“许多人对于确保虚拟化架构的安全这一点置之不理。管理程序本质上其实是一个网络。你在这些机器上面运行整个网络，而大多数人却对于其中的流量类型一无所知，”Anthony说。

缓冲区溢出攻击成为应付管理程序最好的办法，管理程序总是突然出现在各种设备中，人们有时候甚至认为不曾拥有过他们，比如Xbox 360等等。

企业们总认为他们能够驾驭自己云内部的信息流量，但是他们可能是在自欺欺人，特别是如果他们依赖于传统的安全工具。众所周知，他们需要一个IPS解决方案来保护自己的云部署，但是他们却对实际问题的严重程度毫不知情。

此外，很多这样的应用程序在默认的情况下都拥有数据包检测设置。换句话说，如果设备正忙于处理视频流量，大部分数据流量都能够安全地通过，只有很少一部分会被检测成为威胁。

IPS通常只会发出低层次的警报或者日志记录，但是要不是发现了问题，又有多少IT企业有时间来查看这些记录呢？在虚拟化云环境下，企业们需要一个拥有不同保护措施的阵列，而他们对这一点往往后知后觉，所以总是进行传统的内部设置。或者他们意识到了这一点，但是却因为预算和时间的限制而选择对它无视。

在RSA会议上，我与IBM的安全管理人员进行了交谈。他们向我推荐了一系列安全解决方案，这些方案能够更好地保护你的云环境，其中包括拥有20GBps容量的IPS解决方案、DLP和应用程序安全等。从这些建议里，我们不难总结出这样的结论，安全问题正成为大多企业靠自己的力量无法逾越的障碍(参见第一条)。

5、来自内部的威胁

来自内部的威胁是否让你彻夜难眠？不幸的是，虚拟化和云助涨了内部威胁的气焰——至少眼下如此。

“现在，拥有托管数据和系统访问权限的管理员的数量要比原来少了很多，因为云系统是由一个专门的云架构管理团队进行管理的。这就可能让敏感数据对一些个人开放，而他们之前可能并没有这样的访问权限，于是，来自内部的风险也就大大提高了，”Webb说。如此看来，相比在物理环境下，在虚拟化环境中窃取关键数据资源也就变得更简单了。

“当银行出台了限制政策，人们总是会担心有些人闯入了物理数据中心然后劫走了一箱磁盘，然后堂而皇之地走出来，”Chiu说。这种担心会刺激对于静态数据更为频繁地加密。

当数据加密仍然是一种监督手法的时候，又如何在虚拟环境中窃取相同的资料呢？

“如果你拥有管理凭据，你选择自己想要的虚拟机，右键点击并且复制它，”Chiu说。要想发现某个人捧着一箱磁盘走出办公大楼并不困难。所以一台USB驱动的虚拟机不见得会让你惹出麻烦。