雲計算安全的兩大謊言

公有雲計算安全——潛在使用者最擔心的問題公有雲計算安全問題中，一個實例可以說明，2010年4月的一項調查指出，45%的以上的受訪者認為雲計算帶來的風險超過了收益。 CA和Ponemon Institute進行的一項調查也發現了使用者有此類擔心。 但是，他們還發現，儘管使用者存在這種疑問，雲應用還是在部署著。 類似調查和結果的持續發佈表明人們對雲計算安全的不信任繼續存在著。 不可否認，大多數對雲計算安全的擔心都與公有雲計算有關。 全球IT從業者不斷地對使用一個公有雲服務提供者提出同樣的問題。 例如，戈爾登近期去了臺灣並且在臺灣雲SIG會議上發表了演講。 有250人參加了這個會議。 正如預料的那樣，人們向他提出的第一個問題是「公有雲計算環境足夠安全嗎，我是否應該使用私有雲以避免安全問題?」 所有的人似乎都認為公有雲服務提供者是不可信賴的。 然而，把雲安全的討論歸結為「公有雲不安全，私有雲安全」的公式似乎過於簡單化。 簡單地說，這個觀點存在兩個大謊言(或者說是兩個基本的誤會)。 主要原因是這種新的計算模式迫使安全產品和方法發生了巨大變化。 第一個雲安全謊言：私有雲很安全第一個謊言是私有雲是安全的。 這個結論的依據僅僅是私有雲的定義：私有雲是在企業自己的資料中心邊界範圍內部署的。 這個誤解產生于這樣一個事實：雲計算包含與傳統的計算不同的兩個關鍵區別：虛擬化和動態性。 第一個區別是，雲計算的技術基礎建立在一個應用的管理程式的基礎上。 管理程式能夠把計算(及其相關的安全威脅)與傳統的安全工具隔離開，檢查網路通訊中不適當的或者惡意的資料包。 由於在同一台伺服器中的虛擬機器能夠完全通過管理程式中的通信進行溝通，資料包能夠從一個虛擬機器發送到另一個虛擬機器，不必經過物理網路。 而一般安裝的安全設備通常會在物理網路檢查通訊流量。 至關重要的是，這意味著如果一個虛擬機器被攻破，它能夠把危險的通信發送到另一個虛擬機器，傳統的防護措施甚至都不會察覺。 換句話說，一個不安全的應用程式能夠造成對其他虛擬機器的攻擊，使用者採用的安全措施對此卻無能為力。 僅僅因為一個使用者的應用程式位於私有雲並不能確保這個應用程式不會出現安全問題。 當然，人們也許會指出，這個問題是與虛擬化一起出現的，沒有涉及到雲計算的任何方面。 這個觀點是正確的。 雲計算代表了虛擬化與自動化的結合。 它是導致私有雲出現另一個安全缺陷的第二個因素。 雲計算應用程式得益于自動化以實現靈活性和彈性，能夠通過快速遷移虛擬機器和啟動額外的虛擬機器來管理不斷變化的流量負載類型，並對不斷變化的應用狀況做出回應。 這意味著新的實例在幾分鐘之內就可以上線，不需要任何人工干預。 這也意味著任何必要的軟體安裝或者配置也必須實現自動化。 這樣，當新的實例加入現有的應用程式池的時候，它能夠立即作為一個資源被其他應用使用。 同樣，它還意味著任何必須的安全軟體必須自動化地進行安裝和配置，不能有人工干預。 遺憾的是，目前許多機構還必須依靠安全人員或者系統管理員人工安裝和配置必要的安全性群組件，而且這通常是作為這台機器的其它軟體元件安裝和配置完畢之後的第二個步驟。 換句話說，許多機構在安全措施實踐與雲要求的現實方面是不匹配的。 現在可以認為私有雲本身是安全的這個觀點是不正確的。 在使用者的安全和基礎設施實踐與自動化的實例一致之前，肯定會產生安全性漏洞。 而且，使它們一致是非常重要的。 否則，可能出現這種情況：使用者的應用程式自動化超過了安全實踐的應對能力。 這不是一個好現象。 毫無疑問，人們不想面對為什麼好像安全的私有雲最終還是有安全性漏洞，因為雲計算的自動化特徵還沒有擴展到軟體基礎設施的所有方面。 因此，關於雲計算的第一個大謊言的結果是：私有雲本身就是不安全的。 第二個雲安全謊言：公有雲很不安全關於雲計算安全的第二個謊言是對公有雲安全的假設，特別是錯誤的認為公有雲計算安全完全取決於雲服務提供者。 現實是，服務提供者領域的安全是供應商與使用者共同承擔的責任。 服務提供者負責基礎設施的安全以及應用程式與託管環境之間介面的安全；使用者負責接入環境介面的安全，更重要的是負責應用程式本身的內部安全。 沒有正確地配置應用程式，如環境安全介面，或者沒有採取適當的應用程式級安全預防措施，會使使用者產生一些問題。 任何供應商也許都不會對這種來自使用者應用程式內部的安全問題承擔責任。 讓筆者提供一個例子。 與我們合作的一家公司把自己核心的應用程式放在亞馬遜的Web服務中。 遺憾的是這家公司既沒有針對亞馬遜Web服務安全機制可能存在的漏洞部署安全措施，也沒有針對應用程式設計的問題採取安全防禦措施。 實際上，亞馬遜提供了一個虛擬機器級別的防火牆(稱作安全性群組)。 人們配置這個防火牆以允許資料包訪問具體的埠。 與安全性群組有關的最佳做法是對它們進行分區，這樣，就會為每一個虛擬機器提供非常精細的訪問埠。 這將保證只有適用于那種機器類型的通信流量才能夠訪問一個實例。 例如，一台Web伺服器虛擬機器經過配置允許埠80上的通信訪問這個實例，同時，資料庫虛擬機器經過配置允許埠80上的通信訪問這個實例。 這就阻止了來自外部的利用web通信對包含重要應用程式資料的資料庫實例的攻擊。 要建立一個安全的應用程式，人們必須正確地使用安全性群組。 但下述這個使用者沒有這樣做。 它對於訪問所有實例的通信都使用一個安全性群組。 這意味著訪問任何實例的任何類型的通信都可以訪問每一種類型的實例。 這顯然是沒有正確使用亞馬遜Web服務安全機制的一個例子。 關於使用者的應用程式本身，它也採用了很糟糕的安全措施。 它沒有在不同類型的機器之中對應用程式代碼進行分區，而是把所有的應用程式代碼都裝載到同一個實例中。 這個實例可以接收來自其企業網站的通信流量，以及包含專有演算法的代碼。 這種情況的關鍵事實是：如果這個使用者以為所有的安全責任都由雲服務提供者來承擔(在這個案例中是亞馬遜Web服務)，這將是一個嚴重的疏忽，因為使用者本身沒有採取重要的步驟來解決安全問題， 而這個安全問題是任何一個雲服務提供者都不會承擔相關責任的。 這就是共同承擔責任的意義——雙方必須建立自己控制的安全範疇。 如果沒有這樣做，就意味著應用程式是不安全的。 即使雲服務提供者在自己控制的範圍內所做的一切都是正確而且完善的，若是這個應用程式的擁有者沒有正確地履行自己的責任，這個應用程式也將會變得不安全。 戈爾登稱，我曾經見過許多安全人員討論有關公有雲服務提供者的問題。 他們拒絕承擔自己的公司在公有雲環境中應該承擔的責任，堅持把每一個安全問題轉向對雲服務提供者的擔心。 坦率地說，這使我感到他們的想法很輕率。 因為這暗示著他們拒絕認真地做一些必要的工作以便創建一個基於公有雲服務提供者的盡可能安全的應用程式。 這個態度顯示，好像所有的安全責任都在雲服務提供者身上，再進一步發展就是認為他的公司與在公有雲服務提供者環境中運行的應用程式的任何安全事故都無關。 因此，以下這種論點並不讓人感到意外：有關人士堅決支援私有雲，聲稱私有雲與公有雲相比有優越的安全性。 現實情況是，使用者正在越來越多地在公有雲服務提供者環境中部署應用程式。 安全性群組織保證自己採取一切可能的步驟盡可能安全地執行應用程式是非常重要的。 這意味著使用者本身也需要在這方面採取些相關的措施。 因此，雲計算安全是第三條軌道。 安全一直被說成是私有雲固有的好處和公有雲計算的基本缺陷。 實際上，事實比這些情況暗示的還要模糊不清。 斷言公有雲環境有安全缺陷，不認真考慮如何緩解這些不安全因素，是不很負責任的說法。 一個管理不善和配置糟糕的私有雲應用程式是同樣會非常容易受到攻擊。 而一個管理妥當的和配置合格的公共雲應用程式卻能夠達到很好的安全性。 把這種情況描繪成非黑即白地簡單化，會危害雲環境的正常發展。 在如何選擇兩種不同的雲環境時，更有建設性的做法是詢問必須採取什麼行動才能實現在時間、預算和容許風險的條件下盡可能保證應用程式安全的目標。 考慮到一個具體的環境和應用，安全從來不是一個或黑或白的簡單問題，而是如何盡可能地將兩種雲計算類型所面臨的安全灰色地帶如何照亮的問題。 如果沒有意識到公有雲和私有雲安全問題，對於如何保證一個企業的基礎設施建設盡可能提高效率和節約成本來說沒有一點好處。 【編輯推薦】雲計算安全與隱私：身份聯合管理雲安全：利用網格雲對抗應用層DDoS雲安全的最新「安全」 觀點雲計算安全技術架構助趨勢科技OfficeScan獲七連勝雲計算安全解析：從iCloud看資訊安全聚焦移動領域優化虛擬機器防護：趨勢科技雲安全升級5.0SaaS供應商雲安全問題的五大質問【責任編輯：liyan TEL：（010）68476606】 原文：雲計算安全的兩大謊言 返回網路安全首頁