多網站漏洞暴露雲計算安全性能弱點

在雲計算成為人們熱議的技術趨勢的同時，其更多的安全黑洞也逐漸被曝光，這次曝光者是網路安全專家Russ McRee，他演示了某雲計算服務提供者的一個安全缺陷是如何讓其眾多客戶處於風險之中的。 這次被曝光的廠商是軟體即服務（SaaS）供應商Baynote，該廠商針對技術、電子商務和其它類型的網站提供搜索和其它網路服務。 McRee發現在Baynote的社會搜索功能中存在一個XSS（跨站腳本）錯誤，利用該缺陷可以實現對大量使用該功能的客戶的攻擊。 該漏洞可以被駭客輕鬆利用，根據McRee公佈的視頻（HTTP://www.holisticinfosec.org/video/baynote/ baynote.html）顯示，加利福尼亞州米爾皮塔斯的主機匯流排配接器廠商LSI Corporation和資料管理廠商NetApp是兩家受該漏洞影響的Baynote客戶。 McRee強調稱，Baynote迅速回應並修復了該問題。 但是他的發現指出了雲計算的潛在致命弱點：一個廠商存在的單點故障可以影響其眾多客戶的安全。 他表示，「即使SaaS廠商僅有一個漏洞，可能是一個Web應用缺陷，也可能是網路安全中的一個疏忽，或物理安全的一個失誤，它的客戶全部會遭受安全風險。 企業安全性強度取決於其最薄弱環節，如果讓其它人來為你管理這個環節，在將你的企業與其聯姻前必須考慮到安全問題。 」在此之前，安全專家已經多次警告企業「不要將所有雞蛋放在一個籃子中。 」今年1月份，Salesforce.com的宕機曾致使其90多萬客戶無法訪問自己的關鍵資料，也證明了依賴一個供應商的安全風險。 當然，這類安全問題並非只有雲計算才會碰到，但是企業不能將SaaS看作萬能的，必須對供應商的安全性進行適當關注，正如McRee所提到的，軟體即服務廠商至少應該提供比傳統產品廠商更高的安全防護標準。