上周安全专家在黑帽安全大会上向与会者发出警告说,尽管目前有很多公司都在考虑极爱那个应用软件迁移到云上,但是第三方服务的安全性仍然还有许多有待改进之处。
经济萧条的现状使得云计算成为业界的热点话题,新兴企业和小规模公司纷纷通过在互联网上部署虚拟机来节省费用,而大型企业则是将客户关系管理软件等应用程序迁移到Salesforce.com等第三方云提供商处进行托管。对此安全专家表示,企业在将他们的基础架构迁移到云的过程中必须对安全风险提高警惕。
SensePost安全公司的技术总监Haroon Meer在黑帽安全大会上介绍了他们的团队对亚马逊在线的弹性计算云的研究成果,他表示"用户使用云基础架构的最终目的是为了节约金钱,但是如果没有采取任何审计措施,他们就会成为安全风险最高的用户"。
他们的经验说明企业经常会忽略对来自提供商的第三方计算机实例进行扫描。Meer表示这样以特洛伊木马攻击形式出现的恶意实例就能轻而易举的入侵公司的内部网络。
对于这些安全缺陷,黑帽安全大会上介绍了5种供大家参考的经验。
1.企业必须意识到云经常缺乏合法的保护,那些云上的数据在搜索和捕捉方面遵循的合法标准级别还比较低,政府或者立法者无需搜查证就可以检索数据。
iSec Partners的首席安全咨询师Alex Stamos表示,云提供商更加关心的是保护自己而不是用户,因此不要奢望那些服务协议中的法律术语会对你的公司有利。
"所有这些提供云服务的企业都有非常活跃和经过专业培训的法律部门。因此当你订阅这些服务要认可他们制定的协议时,基本上对用户起不到任何保护作用"Stamos表示。
如果因为供应商的错误导致数据被入侵,客户要同意不追索实质责任。如果由于数据中心故障导致数据丢失,提供商也不承担相关责任,Stamos解释说。
Stamos还补充说,如果协议中说明他们将尝试为你提供帮助,那已经算不错了。
"如果协议中说明出现安全缺口他们将尝试为你提供帮助,那是件好事"Stamos表示"看起来在冰冷无情的法律条文和公司希望达到的安全道德规范之间还存在着差异"。
2.Stamos警告说,没有哪家硬件厂商希望对他们的提供商进行审计,他们也不想对公司以外的硬件进行测试。进行风险扫描或者渗透测试需要得到云服务提供商的许可,否则客户就是在入侵提供商的系统。
尽管某些服务协议,比如说亚马逊的服务协议详细标明客户可以对提供商系统上运行的软件进行测试,得到许可是很重要的,Stamos表示。
