云安全的12個陰暗面

2019-10-25 09:56:48 IT經理網 王萌 分享

過去十年,云計算和云安全已經取得長足進步,越來越多的企業對云安全的認知,從最初的顧忌和恐慌,轉變為盲目的信任和依賴。但是近年來隨著國內外云安全事件的不斷發作,企業必須重新審視云安全問題,制定不偏不倚的云安全策略。以下,CTOCIO列舉企業云計算安全問題的12個陰暗面,以期能夠拋磚引玉,幫助企業在云時代樹立正確的安全觀:

云計算并非企業安全的革命,云實例與我們的臺式機或獨立服務器其實運行著相同的操作系統。如果Ubuntu 14中有一個后門,可以讓攻擊者闖入你的服務器機房中的機器,那幾乎可以肯定,同一個后門也會讓某人進入你的云端的服務器版本。我們熱愛的云實例能夠替換我們的私有硬件,遺憾的是,同樣的漏洞也會被替換到云端。

你在云服務商提供的私家泳池中一絲不掛地裸泳,卻沒有留意到樹梢里暗藏的監控頭正注視著你的一舉一動,以便在你你溺水時第一時間發出警報。云服務商往往會在客戶的系統中暗中植入對客戶不可見的賬戶,以提高客戶服務和系統調試的效率,這一切都是為了客戶,但是不可否認的是,這種做法也可能會被用于惡意目的。

客戶對云計算服務商的信任是無條件的,包括對其商業倫理和廉潔的100%授信,然鵝,沒有企業能夠確保100%的員工三觀無暇。

云實例通常附帶一層額外的軟件,位于操作系統下,完全超出您的控制范圍。你可以獲得對操作系統的root訪問權限,但你不會知道下面發生了什么。這個大多數情況下都無文檔記錄可循的層可對流經的客戶數據執行任何操作。

云提供商鼓吹自己能提供額外的支持和安全團隊,這些團隊有助于云實例的安全性和穩定性。而大多數公司都沒有能力自建這樣的團隊,因此云計算公司很容易解決小公司無法解決的問題。

但有一個基本事實需要明確,云安全團隊的老板不是作為用戶的你。他們不會向你報告,他們的未來與你的底線也沒什么關系。你可能不會知道他們的名字,你最終可能會通過不露面的故障單與他們溝通 – 如果他們回信的話。也許這就是你所需要的一切,或者,你也可以雙手合十祈禱。

云的巨大經濟優勢在于您與其他人分攤運維和物理成本,作為代價,你也將失去硬件的完全控制權。你不知道正在與誰共享同一臺機器,可能是一些心地善良的教堂修女正在維護一個教區居民的數據庫,也可能是一個精神病患者。更糟糕的是,它可能是一個試圖竊取你的秘密或資金的小偷。

云計算規模經濟的好處是能夠降低成本,因為云計算公司擁有大量的機架和硬件,但這也會導致單一化,使攻擊者變得更輕松和高效,在一個實例中找到的漏洞可以快速覆蓋所有類似實例。

云計算公司已經陷入了困境。他們可以通過關閉分支預測來抵御分支預測等攻擊,但這會導致一切都變慢。結果,云服務商不想降低性能,客戶也不想。而且,在云中,較慢的機器沒有價格優勢。

聲明:本站部分資源來源于網絡,版權歸原作者或者來源機構所有,如作者或來源機構不同意本站轉載采用,請通知我們,我們將第一時間刪除內容。本站刊載文章出于傳遞更多信息之目的,所刊文章觀點僅代表作者本人觀點,并不意味著本站贊同作者觀點或證實其描述,其原創性及對文章內容的真實性、完整性、及時性本站亦不作任何保證或承諾,請讀者僅作參考。
編輯:牛牛
快乐十分胆拖中奖图