雲計算：警惕你的遺留資料是否安全

"我們關注的是未分配的磁片部分。 "CoNtext公司研發部門經理邁克爾·喬丹說。 "我們可以進入查看，一些資料。 而這些存儲在硬碟上的資料並不是我們自己企業的硬碟資料。 "

遺留資料甚至包括個人識別資訊

喬丹和他的研究團隊發現的遺留資料，甚至包括一些個人識別資訊，包括客戶資料庫和系統資訊要素，如Linuxshadow檔（包含系統雜湊密碼）。

喬丹指出，這些資訊雲服務的典型使用者不是很明顯，必須努力尋求才能找到。 此外，他還補充說，剩下的資料是隨機分佈的，不會允許惡意使用者可以針對特定的客戶進行破壞。 但那些發現了這些未加密資料的惡意使用者可能會使用這些資料進行牟利。

"在審查後一家供應商的全新置備硬碟之後，我們發現了一些有趣的和意想不到的情況。 "喬丹和CoNtext首席顧問傑姆斯·福肖在一篇博客中提到了他們的發現。 "這涉及到一個安裝WordPress和一個MySQL配置，即使沒有安裝虛擬伺服器。 "

預計這可能只是一個作業系統映射，創建了第二台虛擬伺服器，並以同樣的方式進行測試。 令人驚訝的是，資料是完全不同的，在這種情況下暴露一個網站的使用者資料庫，並確定了伺服器的資料是來自Apache的日誌片段。 這證實了資料不是來自我們配置的伺服器。

管理程式配置不正確惹的禍

喬丹說，這個問題是與供應商供應新的虛擬伺服器，以及他們如何分配新的存儲空間的方式有關。 在前端，當用戶端創建新的虛擬伺服器，他們使用的雲服務供應商的網站選擇作業系統和他們所需要的存儲量。

在後端，供應商聚集磁碟空間來包含虛擬影像，然後用一個預配置的OS映射覆蓋初始磁片。

"這意味著，只有初始磁片充滿了初始化資料，其餘的磁片將永遠不會被明確寫入配置期間。 "喬丹和福肖寫道。 "如果這種分配正在執行使用主機作業系統的 檔API,這通常將不是一個問題。 作業系統將確保任何未初始化的資料在返回到使用者應用程式之前，被自動歸零（或在這種情況下的虛擬機器）。 ）顯然，在這種 情況下，其沒有使用這些機制。

喬丹指出，因為這個問題本是建構管理程式的方法，它可能會影響主機託管供應商以及雲服務提供者。

兩家供應商Rackspace和VPS.net均報告說他們已經針對上述漏洞打了補丁。 據說Rackspace公司已經開始與CoNtext公司展開 密切合作，以解決這一問題，他們邀請了CoNtext調查人員到其總部，並為他們提供了研究工程師、管理人員和流程執行人員的許可權。 VPS.net使用了 OnApp的技術，OnApp的技術也至少被其他250雲服務提供者使用。 VPS.net告訴CoNtext說，他們推出了一款補丁解決這個問題。

喬丹指出，如果有企業有強大的業務需求，這個問題不應該妨礙企業使用IaaS.但他建議客戶按照最佳實踐方案利用雲。

"如果您是一家新的客戶，您有很多選擇。 "他說。 "您可以確保您的資料在硬碟上是加密的，這樣一來，就算有人獲得磁片的某一部分的存取權限，他們也無法看到加密的資料。 "

喬丹還建議您多問問您的服務供應商關於他們的流程的問題，包括如何管理程式置備和取消置備的問題。 此外，他指出，強化由服務提供者提供的虛擬伺服器，包括檢查出任何供應商使用管理伺服器的後門是客戶自己的責任。

(責任編輯：蒙遺善)