專家支招解決雲計算五大安全難題

當企業不斷加快雲技術的落地步伐，採用基礎設施即服務(IaaS)或軟體即服務(SaaS)等新技術時，它們尋找解決方案在雲架構當中實現安全訪問和可靠操作的需求也日益凸顯。 目前看來，由於企業資料保存在不同的設備當中，這些設備是由不同的供應商或合作夥伴提供，因此企業必須監控和保護全新的「安全邊界」。 同樣，仔細權衡如何保護基於雲計算的資料也應該作為企業整體安全性原則的一部分納入到企業的考慮範圍。 而保護應用免受分散式阻斷服務(DDoS)攻擊的影響則是最值得關注的事。

在不久前發生的針對原始程式碼託管供應商Code Spaces的真實攻擊案例中，攻擊者利用組合工具入侵了Code Spaces基於亞馬遜Web服務(AWS)的整體架構。 該威脅始于攻擊者嘗試勒索Code Spaces，並以此作為停止對其發起的多載體DDoS攻擊的交換條件。 最後，攻擊者控制了Code Spaces AWS主控台，幾乎刪除了所有存儲在雲中的資料。 由此產生的因數據丟失和為SLA補救措施而付出的代價將使Code Spaces公司無法再運營下去。

這樣的結果雖不太常見，但是說明了一個重要問題：如果企業計畫遷移至雲中，其中一步要做的就是制訂嚴密的計畫來應對DDoS攻擊的氾濫及其不斷增加的威脅。 多數企業都不相信自己會成為DDoS攻擊的受害者，因此在制定IT預算時，部署適當的防禦措施總是被放在預算優先表項的末尾。 事實上，多數企業都缺乏偵查工具，因而不清楚有多少攻擊已經成功入侵了自己的數位資產。 IaaS和SaaS供應商應該可以創建堅固的安全防禦機制，以説明企業應對DDoS攻擊。

客戶在主動採取相應防禦措施的同時還應該對雲供應商DDoS緩解能力的進行評估。 Radware雲服務總監Bill Lowry長期以來都致力於雲計算的研究，他在其發表的文章中指出了在基於雲的解決方案中應用DDoS緩解策略時會遇到的問題，也闡述了雲計算的五大亟待解決的安全問題。

防護新的企業邊界

過去，企業只需將安全重心放在保護資料中心的出口上。 採用雲技術就意味著企業資料和應用會分發到多個資料中心，這就為企業創建了新的安全邊界，企業要在更多的地方實施防護。 那麼企業該如何在所有保存企業資料的地方防禦攻擊呢?

技術實現方式：許多雲服務提供者測試或部署了可以檢測分散式阻斷服務攻擊的技術，但是多數技術都是基於網路採樣資料實現的。 內聯部署可以檢測所有的入站和出站流量，提供最全面的檢測和DDoS攻擊緩解措施。 使用者在評估雲服務提供者時，還要瞭解他們使用何種工具進行DDoS檢測。

維護可用性

就定義來看，雲技術是一種遠端存取技術。 如果企業的雲服務提供者遭遇了嚴重的DDoS攻擊，對服務的網路訪問遭到禁止，這等同于企業應用被「宕機」了。 企業的雲服務提供者又要採取什麼措施來防止這種情況發生在企業身上呢?

技術實現方式：雲服務提供者應該部署雲端和本地DDoS組合緩解工具。 這種混合方法可以提供最佳的可用防護：本地部署的硬體可以檢測並緩解攻擊，同時還能自動將攻擊流量轉移至雲端清洗中心。 清洗中心必須可以處理幾百Gb大小的攻擊，從而改善雲服務提供者保護企業資源和業務運行的能力。

租戶之間實現隔離保護

攻擊人員可以跟普通使用者一樣購買雲服務。 那麼又如何在雲環境內部保護企業資料遠離威脅?

技術實現方式：使用者可以部署安全工具，保護部署在雲端的伺服器。 Web應用防火牆可以檢測並攔截基於伺服器的攻擊，即便這些攻擊來自于與伺服器所在的同一個雲端架構。 此外，未來部署的軟體定義網路(SDN)使得供應商也可以利用網路來檢測攻擊。 與SDN控制器協作的安全技術可以查找可疑資料流程，將其重定向到防禦設備進行修復，與此同時，正常資料流程仍會沿正常路徑在網路中進行傳送。

安全工具的大規模定制

為了建立有利於雲計算市場競爭的定價，多數供應商都會選擇創建對多數使用者都可用的一般性保護設定檔，以降低解決方案成本。 那麼採用通用安全協定的雲服務提供者又如何滿足特定安全需求呢?

技術實現方式：雲服務提供者可以而且應該為整個客戶群提供通用、完善的保護措施。 但是也應該能夠結合使用者安全現狀提供可以建立獨特防護措施的安全工具。 確保使用者可以自訂配置雲服務提供者提供的安全工具，以滿足使用者的特定需求。

小即是大

每週刊登的頭條新聞都會談論最新的針對大型銀行或知名網站的千兆級大流量攻擊。 然而，僅有約25%的DDoS攻擊是大流量攻擊。 雲服務提供者該如何説明企業應對這些大流量攻擊呢?

技術實現方式：小流量攻擊不像大流量攻擊那樣可以瞬間堵塞互聯網頻寬。 它們針對的是支撐企業應用的關鍵設備——防火牆、負載等化器、IPS/IDS和伺服器。 這些攻擊只需要很小的頻寬，幾乎小到運營商不會察覺到流量的增加。 這些專注于資源耗盡或應用漏洞的低速慢速攻擊通常不會被專用於檢測大流量攻擊的工具檢測到。 在遷移到雲之前，確保雲服務提供者可以提供説明使用者檢測並緩解這類小流量攻擊的解決方案。