雲計算安全之 PaaS 的陰暗面

公共雲在降低計算成本和增加適應性這些優勢方面有著極大的潛能，但是這個領域的陰暗勢力也一直準備好要占雲計算發佈模組如「平臺及服務」（PaaS）的便宜。 Arbor Networks 最近監測到一個Google AppEngine Paas應用軟體被一個僵屍網路指揮控制（CnC）。 Google迅速卸下這個軟體，但這次事件還是引發一些有趣的話題。

在惡意軟體領域，這種事情不是什麼新話題，之前也已經被稱為「惡意軟體即服務（Malware as a Service）」。 正如合法的公司因為以上提到的好處進入雲計算領域，網路罪犯也將他們的一些惡意軟體移入「共用的基礎設施」網站以使它們更難被減弱、封鎖或卸載。 稍微有些新意的是以Google應用軟體（如Google Reader、Blogger、等等）為宿主惡意軟體的增加。

引起我注意的是那些壞人很快就學會了利用PaaS基礎設施為惡意軟體CnC服務。 不需要豐富想像力就可以預見壞人們從利用PaaS控制他們的惡意軟體繼而轉向新目標IaaS應用軟體。 公共雲（SaaS/PaaS/IaaS）在成本方面有一個很能說服人的價值定位，但「盒子之外的」IaaS只提供了最基本的安全保護（週邊防火牆，負載均衡，等等），進入公共雲的應用軟體需要來自主機的像Trend Micro Deep Security 7.0這樣的更高級別的防護。 這些對策可以減少壞人攻擊IaaS主機或接管其作為僵屍網路樞杻的可能性。

如果一個居心不良的人購買了IaaS的主機，我認為服務供應商應該監測並當作對Service Provider Service Level Agreement（SLA）的違背阻止這一行為。 不過，服務供應商怎麼能評估他們的IaaS/PaaS被怎樣使用而又不違反應用軟體的保密條約？ 如果他們不監測其用途，他們可能要驗證客戶的身份？ 還有要是服務是用被盜的個人資訊（PII）和信用卡號碼購買的呢？

惡意軟體威脅是老問題，但是雲端運算又提出了新挑戰。