雲安全最大風險:安全責任不清

雲安全時代的來臨，將互聯網的資源分享特點發揮到極致，但同時對於雲計算安全的爭議也是沸沸揚揚。 越來越多的公司將自己的企業安全轉向企業雲計算安全產品廠商，試圖利用新技術來保證自己的企業資料不被洩露。 但是在實際操作之中，由於IT服務客戶想當然的認為他們的雲計算供應商應當承擔安全責任，這使得這些客戶變得易於遭受攻擊。 與此同時，虛擬化和雲計算也在其中起到推波助瀾的作用。

科技商務研究公司負責伺服器問題的分析師Ezra Gottheil稱："安全和雲託管是兩個獨立的事物，入門的花費很低，通常也十分簡單。 客戶或許不會花很多心思考慮許應當為安全負責。 "

在本周公佈的報告中，市場研究公司Gartner認為雲計算的安全責任並不明確。 他們認為有必要獲得雲服務是如何工作的資訊清單以及明確寫明瞭客戶的希望與要求的服務級協定。

在今年三月份，雲安全聯盟進行的研究列出了雲計算存在的七個頂級安全風險，其中有一項就是客戶忽視了安全實踐，而服務提供者拒絕提供資訊以解決這一安全風險。 據雲安全聯盟的研究顯示，雲專案和它們面臨的風險可能會受到雲部署的事實而變得極為複雜。 如今雲所展示出來的優勢以及一些團體正積極推動雲部署。 值得擔憂的是這些團體可能並沒能緊跟上安全形勢的發展。

451集團分析師Josh Corman稱，雲計算業務的特性意味著許多客戶或潛在客戶並不清楚當他們將一個網站或是公司的應用放在其他人的硬體上時，他們是如何暴露在風險之中的。

負責託管和保護客戶應用安全的雲服務商FireHost公司的首席執行官Chris Drake稱，即便不是如此，大多數雲和網站託管客戶也都想當然的認為他們的服務提供者負有保護他們網站的安全責任。

雲計算客戶是如何受害的

金融服務公司LawLeaf是FireHost最近才發展的一個客戶，該公司主要業務是為那些籌資打官司的人提供貸款。 在經歷了一場幾乎導致公司倒閉的攻擊後，LawLeaf最終放棄了他們原先選擇的網路託管服務商BlueHost。

LawLeaf公司的總經理Tim Burke稱他在2007年以很少的資金開始運營這個公司，當時他的主要工作是向非營利公司出售成員管理軟體，運營公司只是他的一個副業。 他最初選擇了BlueHost託管LawLeaf.com，選擇BlueHost的原因是該公司的名聲和每月6.95美元的服務費用。 Burke稱，在今年年初LawLeaf.com開始走下坡路之前，他對BlueHost的服務還中相當滿意的。

在今年一月份，LawLeaf.com遭到了SQL注入式攻擊。 攻擊導致網站頻繁崩潰，更為糟糕的是網站還在沒有任何防備的使用者電腦中強行安裝惡意外掛程式。 Burke稱，到了二月份，網站每週都會崩潰兩次，而到了三月份，網站的崩潰頻率已經到了一天一次的地步。

惡意外掛程式的下載使得LawLeaf受到了來自谷歌的警告。 Burke稱，如果LawLeaf不履行自己的安全責任解決這一問題，那麼谷歌將禁止他們的網站出現在搜尋結果清單中。

由於LawLeaf的大多數業務來自自己的網站，頻繁的崩潰導致公司的業務下滑，影響到了公司的信譽。

Burke稱："由於網站問題，我們失去了許多業務，我們每天都會損失數千美元。 我最為擔心的是向客戶推薦我們服務的律師。 客戶向我們提供了機密檔，律師向客戶推薦我們進行融資。 如果我們的網站每時每刻都在受到駭客攻擊，那麼客戶根本不會信任我們。 "

對於LawLeaf來說，幸運的是通過電子郵件發過來的客戶檔並沒有受到影響。 Burke稱，儘管如此，網站的每一次崩潰都對公司的聲譽產生了嚴重的負面影響。

Burke指出，在網站崩潰時，BlueHost會對他進行提醒，並做出一些初步分析以確定問題並不在他們的伺服器上。 他稱，BlueHost從來就沒有採取進一步行動以解決這一問題。

Burke稱："他們僅僅是不停的告訴我殺毒或是關閉我們的網頁。 我按他們的說法嘗試了許多次，但是網站還是不斷的崩潰。 "

BlueHost公司的重點是為客戶和規模較小的公司提供低廉的託管服務。 除了每月收費只有6.95美元的基本服務外，他們並不提供更為高級的服務，也不會對客戶多次反應的問題做出回應。

由於LawLeaf.com的問題一直沒有解決，Burke將服務商換成為了FireHost。 FireHost承諾將阻止今後的攻擊或是在出現攻擊後進行防範。 Burke稱，現在他們每月要支付400美元的服務費。 在接管了LawLeaf.com後，FireHost就分離了基於PHP的頁面，清除了問題代碼。

FireHost的首席執行官Drake稱："實際上，LawLeaf在關閉PHP頁面方面採取了很好的措施。 但是之所以還是不斷的出現問題是因為資料庫中存在有大量的SQL注入代碼。 "

Burke稱為了得到更好的服務，他們曾經向BlueHost公司支付了不少錢。 到目前為止，Burke仍然認為BlueHost應當對網站負起安全責任，有義務解決惡意外掛程式問題。

儘管BlueHost的承諾中正常運行率和可靠性高達99.5%，但是公司並沒有對LawLeaf.com的安全問題負起責任。 科技商務研究公司分析師Gottheil稱："在這個案例中，我並不能確定這是機制問題。 但是由於SQL注入攻擊經常會通過他們自己的網頁進行攻擊，無論客戶知道與否，防範這類攻擊應當是客戶的責任。 "

LawLeaf和BlueHost的案例向我們展示了為什麼雲計算客戶需要搞清楚誰應當承擔安全責任的原因。