云計(jì)算的安全問題

　　1.  前言

百云計(jì)算器

• 軟件版本：1.0
• 軟件大小：225.28KB
• 軟件授權(quán)：免費(fèi)
• 適用平臺：
• 下載地址：//dl.pconline.com.cn/download/664269.html

立即下載

　　云計(jì)算已經(jīng)是非�；鸨�的概念了，涉及的服務(wù)也非常多，彈性計(jì)算服務(wù)、文件存儲服務(wù)、關(guān)系數(shù)據(jù)庫服務(wù)、key-value數(shù)據(jù)庫服務(wù)等等不勝枚舉。本文將簡要闡述一下彈性計(jì)算服務(wù)的安全問題，因?yàn)閺椥杂?jì)算是應(yīng)用得最普遍的云服務(wù)，也是安全風(fēng)險(xiǎn)最大的云服務(wù)。

　　由于許多東西涉及公司機(jī)密，技術(shù)細(xì)節(jié)、實(shí)現(xiàn)或者新的方向，本文中不進(jìn)行講解。有興趣的可以投一份簡歷過來，我們共同為云計(jì)算努力。

　　2.  云計(jì)算帶來的新風(fēng)險(xiǎn)

　　在云計(jì)算之前的時(shí)代，傳統(tǒng)IDC機(jī)房就面臨著許多的安全風(fēng)險(xiǎn)。然后這些問題毫無遺漏的傳遞到了云計(jì)算時(shí)代，不僅如此，云計(jì)算獨(dú)有的運(yùn)作模式還帶來了更多新的問題。

　　2.1.  云內(nèi)部的攻擊

　　l 安全域被打破

　　在對外提供云計(jì)算業(yè)務(wù)之前，互聯(lián)網(wǎng)公司使用獨(dú)立的IDC機(jī)房，由邊界防火墻隔離成內(nèi)外兩塊。防火墻內(nèi)部屬于可信區(qū)域，自己獨(dú)占，外部屬于不可信區(qū)域，所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全，也可以在這道墻之后建立更多的墻形成縱深防御。

　　但是在開始提供云計(jì)算業(yè)務(wù)之后，這種簡潔的內(nèi)外隔離的安全方案已經(jīng)行不通了。通過購買云服務(wù)器，攻擊者已經(jīng)深入提供商網(wǎng)絡(luò)的腹地，穿越了邊界防火墻。另外一方面，云計(jì)算內(nèi)部的資源不再是由某一家企業(yè)獨(dú)享，而是幾萬、幾十萬甚至更多的互相不認(rèn)識的企業(yè)所共有，當(dāng)然也包含一些懷有惡意的用戶。顯然，按照傳統(tǒng)的方式劃分安全域做隔離已經(jīng)行不通了，安全域被打破。

　　l 新的攻擊方式

　　傳統(tǒng)IDC時(shí)代攻擊者處于邊界防火墻外部，和企業(yè)服務(wù)器、路由器之間只有IP協(xié)議可達(dá)，也就是說攻擊者所能發(fā)起的攻擊，只能位于三層之上。

　　但是對于云計(jì)算來說，情況發(fā)生了變化。在一個(gè)大二層網(wǎng)絡(luò)里面，攻擊者所控制的云服務(wù)器與云服務(wù)提供商的路由器二層相連，攻擊者可以在更低的層面對這些設(shè)備發(fā)動攻擊，如基于ARP協(xié)議的攻擊，比如說常見的ARP欺騙攻擊，甚至更底層的以太網(wǎng)頭部的偽造攻擊。

　　關(guān)于以太網(wǎng)頭部的偽造攻擊，我曾經(jīng)遇到過一次。攻擊者發(fā)送的數(shù)據(jù)包非常小，僅僅包含以太網(wǎng)頭部共14個(gè)字節(jié)，源和目的物理地址都是偽造的，上層協(xié)議類型為2個(gè)字節(jié)的隨機(jī)數(shù)據(jù)，并非常見的IP協(xié)議或者ARP協(xié)議，對交換機(jī)造成了一些不良影響。

　　l  虛擬層穿透

　　云計(jì)算時(shí)代，一臺宿主機(jī)上可能運(yùn)行著10臺虛擬機(jī)，這些虛擬機(jī)可能屬于10個(gè)不通的用戶。從某種意義上說，這臺物理機(jī)的功能與傳統(tǒng)IDC時(shí)代的交換機(jī)相當(dāng)，它就是一臺交換機(jī)，承擔(dān)著這10臺虛擬機(jī)的所有流量交換。

　　入侵了一臺宿主機(jī)，其危害性與入侵了傳統(tǒng)時(shí)代的一個(gè)交換機(jī)新黨。但是與交換機(jī)相比，是這臺宿主機(jī)更容易被入侵還是交換機(jī)更容易被入侵？顯然是宿主機(jī)更容易入侵。

　　首先，攻擊者的VM直接運(yùn)行在這臺宿主機(jī)的內(nèi)存里面，僅僅是使用一個(gè)虛擬層隔離，一旦攻擊者掌握了可以穿透虛擬層的漏洞，毫不費(fèi)力的就可以完成入侵，常見的虛擬化層軟件如xen、kvm都能找到類似的安全漏洞。

　　其次，交換機(jī)的系統(tǒng)比較簡單，開放的服務(wù)非常有限。而宿主機(jī)則是一臺標(biāo)準(zhǔn)的Linux服務(wù)器，運(yùn)行著標(biāo)準(zhǔn)的Linux操作系統(tǒng)以及各種標(biāo)準(zhǔn)的服務(wù)，可被攻擊者使用的通道也多得多。

　　2.2.  大規(guī)模效應(yīng)

　　l 傳統(tǒng)攻擊風(fēng)險(xiǎn)擴(kuò)大

　　為了方便讓VM故障漂移以及其它原因，云計(jì)算網(wǎng)絡(luò)一般的都會基于大二層架構(gòu)，甚至是跨越機(jī)房、跨越城市的大二層架構(gòu)。一個(gè)VLAN不再是傳統(tǒng)時(shí)代的200來臺服務(wù)器，數(shù)量會多達(dá)幾百臺、幾千臺。在大二層網(wǎng)絡(luò)內(nèi)部，二層數(shù)據(jù)交換依賴交換機(jī)的CAM表尋址。當(dāng)MAC地址的規(guī)模達(dá)到一定規(guī)模之后，甚至可能導(dǎo)致CAM表被撐爆。

　　類似的，ARP欺騙、以太網(wǎng)端口欺騙、ARP風(fēng)暴、NBNS風(fēng)暴等等二層內(nèi)部的攻擊手法，危害性都遠(yuǎn)遠(yuǎn)超過了它們在傳統(tǒng)時(shí)代的影響。

　　l 攻擊頻率急劇增大

　　由于用戶的多樣性以及規(guī)模巨大，遭受的攻擊頻率也是急劇增大。以阿里云現(xiàn)在的規(guī)模，平均每天遭受數(shù)百起起DDoS攻擊，其中50%的攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計(jì)算。

　　這種頻度的攻擊，給安全運(yùn)維帶來巨大的挑戰(zhàn)。

　　2.3.  安全的責(zé)任走向廣義

　　隨著更多的云用戶入住，云內(nèi)部署的應(yīng)用也更是五花八門。安全部門的需要負(fù)責(zé)的領(lǐng)域也逐漸擴(kuò)大，從開始的保護(hù)企業(yè)內(nèi)部安全，逐漸走向更上層的業(yè)務(wù)風(fēng)險(xiǎn)。

　　l 云計(jì)算資源的濫用

　　云計(jì)算資源濫用主要包括兩個(gè)方面，一是使用外掛搶占免費(fèi)試用主機(jī)，甚至惡意欠費(fèi)，因?yàn)樵朴?jì)算的許多業(yè)務(wù)屬于后付費(fèi)業(yè)務(wù)，惡意用戶可能使用虛假信息注冊，不停的更換信息使用資源，導(dǎo)致云服務(wù)提供商產(chǎn)生資損。作為安全部門，需要對這種行為進(jìn)行控制。

　　另一方面，許多攻擊者也會租用云服務(wù)器，進(jìn)行垃圾郵件發(fā)送、攻擊掃描、欺詐釣魚之類的活動，甚至用來做botnet的C&C。安全部門需要能準(zhǔn)確、實(shí)時(shí)的發(fā)現(xiàn)這種情況，并通過技術(shù)手段攔截。

　　l 不良信息處理

　　不良信息主要是指云服務(wù)器用戶提供一些色情、賭博之類的服務(wù)，云服務(wù)提供商需要能夠及時(shí)識別制止，防止帶來業(yè)務(wù)風(fēng)險(xiǎn)。