• <strong id="osggr"></strong>
    <optgroup id="osggr"></optgroup>
    <optgroup id="osggr"><em id="osggr"><pre id="osggr"></pre></em></optgroup>
    1. <acronym id="osggr"></acronym>

        云計算的安全問題

        2017-03-13 10:42  出處:其他  作者:佚名   責任編輯:wenjunhao 

          1.  前言

          云計算已經是非;鸨母拍盍,涉及的服務也非常多,彈性計算服務、文件存儲服務、關系數據庫服務、key-value數據庫服務等等不勝枚舉。本文將簡要闡述一下彈性計算服務的安全問題,因為彈性計算是應用得最普遍的云服務,也是安全風險最大的云服務。

          由于許多東西涉及公司機密,技術細節、實現或者新的方向,本文中不進行講解。有興趣的可以投一份簡歷過來,我們共同為云計算努力。

          2.  云計算帶來的新風險

          在云計算之前的時代,傳統IDC機房就面臨著許多的安全風險。然后這些問題毫無遺漏的傳遞到了云計算時代,不僅如此,云計算獨有的運作模式還帶來了更多新的問題。

          2.1.  云內部的攻擊

          l 安全域被打破

          在對外提供云計算業務之前,互聯網公司使用獨立的IDC機房,由邊界防火墻隔離成內外兩塊。防火墻內部屬于可信區域,自己獨占,外部屬于不可信區域,所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全,也可以在這道墻之后建立更多的墻形成縱深防御。

          但是在開始提供云計算業務之后,這種簡潔的內外隔離的安全方案已經行不通了。通過購買云服務器,攻擊者已經深入提供商網絡的腹地,穿越了邊界防火墻。另外一方面,云計算內部的資源不再是由某一家企業獨享,而是幾萬、幾十萬甚至更多的互相不認識的企業所共有,當然也包含一些懷有惡意的用戶。顯然,按照傳統的方式劃分安全域做隔離已經行不通了,安全域被打破。

          l 新的攻擊方式

          傳統IDC時代攻擊者處于邊界防火墻外部,和企業服務器、路由器之間只有IP協議可達,也就是說攻擊者所能發起的攻擊,只能位于三層之上。

          但是對于云計算來說,情況發生了變化。在一個大二層網絡里面,攻擊者所控制的云服務器與云服務提供商的路由器二層相連,攻擊者可以在更低的層面對這些設備發動攻擊,如基于ARP協議的攻擊,比如說常見的ARP欺騙攻擊,甚至更底層的以太網頭部的偽造攻擊。

          關于以太網頭部的偽造攻擊,我曾經遇到過一次。攻擊者發送的數據包非常小,僅僅包含以太網頭部共14個字節,源和目的物理地址都是偽造的,上層協議類型為2個字節的隨機數據,并非常見的IP協議或者ARP協議,對交換機造成了一些不良影響。

          l  虛擬層穿透

          云計算時代,一臺宿主機上可能運行著10臺虛擬機,這些虛擬機可能屬于10個不通的用戶。從某種意義上說,這臺物理機的功能與傳統IDC時代的交換機相當,它就是一臺交換機,承擔著這10臺虛擬機的所有流量交換。

          入侵了一臺宿主機,其危害性與入侵了傳統時代的一個交換機新黨。但是與交換機相比,是這臺宿主機更容易被入侵還是交換機更容易被入侵?顯然是宿主機更容易入侵。

          首先,攻擊者的VM直接運行在這臺宿主機的內存里面,僅僅是使用一個虛擬層隔離,一旦攻擊者掌握了可以穿透虛擬層的漏洞,毫不費力的就可以完成入侵,常見的虛擬化層軟件如xen、kvm都能找到類似的安全漏洞。

          其次,交換機的系統比較簡單,開放的服務非常有限。而宿主機則是一臺標準的Linux服務器,運行著標準的Linux操作系統以及各種標準的服務,可被攻擊者使用的通道也多得多。

          2.2.  大規模效應

          l 傳統攻擊風險擴大

          為了方便讓VM故障漂移以及其它原因,云計算網絡一般的都會基于大二層架構,甚至是跨越機房、跨越城市的大二層架構。一個VLAN不再是傳統時代的200來臺服務器,數量會多達幾百臺、幾千臺。在大二層網絡內部,二層數據交換依賴交換機的CAM表尋址。當MAC地址的規模達到一定規模之后,甚至可能導致CAM表被撐爆。

          類似的,ARP欺騙、以太網端口欺騙、ARP風暴、NBNS風暴等等二層內部的攻擊手法,危害性都遠遠超過了它們在傳統時代的影響。

          l 攻擊頻率急劇增大

          由于用戶的多樣性以及規模巨大,遭受的攻擊頻率也是急劇增大。以阿里云現在的規模,平均每天遭受數百起起DDoS攻擊,其中50%的攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計算。

          這種頻度的攻擊,給安全運維帶來巨大的挑戰。

          2.3.  安全的責任走向廣義

          隨著更多的云用戶入住,云內部署的應用也更是五花八門。安全部門的需要負責的領域也逐漸擴大,從開始的保護企業內部安全,逐漸走向更上層的業務風險。

          l 云計算資源的濫用

          云計算資源濫用主要包括兩個方面,一是使用外掛搶占免費試用主機,甚至惡意欠費,因為云計算的許多業務屬于后付費業務,惡意用戶可能使用虛假信息注冊,不停的更換信息使用資源,導致云服務提供商產生資損。作為安全部門,需要對這種行為進行控制。

          另一方面,許多攻擊者也會租用云服務器,進行垃圾郵件發送、攻擊掃描、欺詐釣魚之類的活動,甚至用來做botnet的C&C。安全部門需要能準確、實時的發現這種情況,并通過技術手段攔截。

          l 不良信息處理

          不良信息主要是指云服務器用戶提供一些色情、賭博之類的服務,云服務提供商需要能夠及時識別制止,防止帶來業務風險。

         

        云計算是什么
        云計算到底是什么 普通人需要了解云嗎?
        云計算到底是什么 普通人需要了解云嗎?

        近年來,我們常聽到云計算、云存儲等名詞,也常聽到路由器或者一些電器上加入云技術,廠家們把它說的十分強大。網上搜索來的云計算的概念,都比較專業比較難懂,那云計算到底是什么,...

        佚名 2016-03-01 評論: 16 標簽: 云計算是什么  

        面對DDoS攻擊量破紀錄 我們怎能坐以待斃
        面對DDoS攻擊量破紀錄 我們怎能坐以待斃

        企業在轉向云端是需要構建最安全的系統架構。根據云安全聯盟(CSA)的報告《The Notorious Nine: Cloud Computing Top Threats in 2013》,針對企業云部署最常見的攻擊就是分布式拒絕服...

        佚名 2015-12-29 評論: 5 標簽: 云計算   云計算是什么  

        美大學展首款光子芯片比現有處理器快50倍
        美大學展首款光子芯片比現有處理器快50倍

        最近美國三所大學的研究人員開發出一款光子芯片,它可以用光來傳輸數據,速度比過去的芯片大幅提升,能耗也大大減少。研究者宣稱這是第一款成熟的、用光傳輸數據的處理器。芯片每平方...

        佚名 2015-12-24 評論: 68 標簽: 云計算是什么  

        云計算指路 Acer宏碁構建智慧城市新藍圖
        云計算指路 Acer宏碁構建智慧城市新藍圖

        2015年ITS(Intelligent Transportation System) 亞太智能交通論壇于4月27日至29日在南京舉行。在“多卡通智能票證”領域有卓越成績的Acer宏碁公司亦出席本次論壇,展示了宏碁云端智能交...

        板兒磚 2015-04-30 評論: 0 標簽: 云計算   云計算是什么  

        年末大盤點 當心云計算應用里的漂白效應
        年末大盤點 當心云計算應用里的漂白效應

        企業在選擇云環境時, 總是有諸多因素要考慮。對很多企業而言,公共云提供了可擴展性和即用即付的付費模式,但云安全性方面比較讓人擔憂,而私有云為相對安全并為用戶提供了對內部部...

        佚名 2015-01-03 評論: 0 標簽: 云計算是什么  

        2442億美元神話 云市場已進入“打拼期”
        2442億美元神話 云市場已進入“打拼期”

        云計算現在是IT圈內人們熱議的話題,從它的誕生到現在已經走過了9年多的發展歷程,這項技術進入中國也已經走進了第6個年頭。放眼國外,公有云、私有云、混合云等幾大云計算服務模式正...

        佚名 2014-12-02 評論: 0 標簽: 云計算是什么  

        創業者看過來 精益創業的云存儲價值何在
        創業者看過來 精益創業的云存儲價值何在

        云計算技術最底層,也是最基礎需要解決的問題就是大量數據的存儲了,隨著現在大數據概念的提出,企業對于大容量數據存儲這把“雙刃劍”也十分重視,云存儲技術在整個云平臺搭建當中也...

        佚名 2014-11-22 評論: 12 標簽: 云計算是什么  

        查看更多

        亚洲欧美国产综合aV