雲計算漏洞風險的識別與應對措施

10月8日消息，在十年不到的時間裡，雲計算已從一個有趣的新概念發展成為業界的一大主流市場。 業界對雲計算未來的期望普遍較高，摩根士丹利預測Amazon網路服務(AWS)將在2022年突破二百四十億美元年收入的大關。 當然，任何單一一家供應商雲計算業務的成功都完全取決於它説明使用者消除關於雲計算安全性擔憂的能力，相關的問題仍然出現在一些按需部署的專案中。

「高度虛擬化、多租戶環境更易於受到攻擊」這一說法只是源于某種信念，即讓雲計算如此吸引客戶的高水準可訪問性和靈活性也為居心叵測的駭客開啟了機會之門。

這些關於雲計算漏洞的擔憂往往會影響客戶是否把最重要應用程式遷往雲計算的決策。 然而，有跡象表明，雲計算安全性已越來越不如以前那樣成為雲計算發展的障礙。 按需模式的魅力是如此巨大，以至於眾多企業都願意放下對資料安全性和私密性的擔心，至少在實驗基礎上使用基於專案的基礎設施即服務(IaaS)部署以支援對短期資源的需求。

自信心差距

好消息就是雲計算的下一波部署已取得相當的成功，這有助於增強使用者使用這一模式的信心。 但是，在仍未使用雲計算的企業與已使用雲計算的企業之間仍然存在著信心差距。 研究公司comScore Inc.受微軟公司委託對200多家中小型企業(SMB)進行了一次調查，結果發現不使用雲計算服務的企業中有42%認為雲計算是根本不可靠的。 相比之下，在2013年6月進行的一次調查中94%的中小型受訪企業表示，他們所使用的基於雲計算的應用程式的安全等級要高於他們在內部實施的安全等級。 這些調查結果都有力地支援如下觀點，即很多企業事實上發現雲計算最引人注目的好處之一竟然是，供應商可以提供一定程度的專業知識和集成安全性，這要比很多企業自身在內部實施的水準更高。 簡而言之，安全性是雲計算供應商的一個關鍵區分點。

那麼，什麼樣的雲計算特定漏洞和威脅是最危險的，以及供應商如何才能最好地保護他們的雲計算環境呢?現實情況是，既不是安全威脅的一般性質，也不是部署遷移風險的類型與傳統環境有根本性的差別。 攻擊者傾向于遵循相似的模式，並使用在傳統環境中已習慣使用的相同方法：繞過存取控制、發現有價值的資料、控制資料所在的資產，然後盜取或洩露資料。 但是，雲計算的本質特性就意味著供應商需要調整他們的方法以解決按需環境的具體問題。

採用分層方法，減少雲計算漏洞的負面影響

正如他們保護傳統IT環境一樣，雲計算供應商需要一個多層的方法來全面地解決安全性問題，這個方法將集多種技術于一體，如訪問管理、周邊安全性和威脅管理、加密、分散式阻斷服務(DDoS)緩解，以及私密性和合規性管理。 但是，在一個共用的雲計算環境中，諸如識別與訪問管理這樣的元件已變得尤為重要，因為來自于多個客戶的資料都被存儲在同一個共用環境中，並通過同一個共用環境被訪問。 雲計算供應商需要向客戶確保他們能夠提供一個高效的解決方案，它不僅能夠授權訪問，而且能夠在虛擬環境中使用諸如多重因素身份驗證的方法進行身份驗證。

供應商還需要通過使用監控工具來解決管理程式安全性的問題，這些監控工具能夠檢測可疑行為，其中包括非正常的流量模式和非正常的交易行為，這些非正常的現象有可能意味著一個影響環境完整性的威脅。 供應商還需要通過介紹他們是如何在邏輯上區分客戶資料，從私密性和相容性兩方面回答關於資料混合的問題。

很多駭客都會在雲計算上發動大規模攻擊，其目的在於讓環境超負荷運行而暴露出漏洞。 至此，供應商需要採取正確的DdoS緩解措施以便於在攻擊行為影響環境之前發現異常流量。

此外，在一個多租戶的環境中，供應商需要確保把應用程式工作負載從傳統環境遷移出的企業已對一些因素正確配置通訊設定--其中包括加密或非加密的資料通道、IP位址和主機名稱--所以它們是通過一個安全的通道進行傳輸。

供應商在保護雲計算資料時會面臨著一系列的挑戰，但是事實上真正的考驗在於學習如何努力有效地與客戶進行溝通，這將涉及介紹安全控制和突出供應商應對漏洞的突發事件等內容。

　　雲計算的成功取決於很多的因素。 雖然諸如價格和資料地理位置這樣的問題是很重要的，但是真正體現雲計算供應商能力的在於它能夠成為其客戶可信賴的夥伴，不僅提供適當的基礎設施，而且還能因為信守承諾而變得值得信賴。