虽然拉姆斯菲尔德的这段声明成遭受到嘲笑,这是一个政治家在不小心的情况下说出的真相。但是,我认为任何一个在计算机安全领域中的人都能很快理解他在说什么。我们经常需要不断的面临这三种类型的风险:已知的已知、已知的未知、未知的未知。
公共云计算应用的最大障碍之一是便是所有未知、已知领域的额外风险计算。我在过去的几年,我一直在从一个公共云提供商和用户的角度来考虑这些问题。如下列出的五点是任何一家企业在作为公共云服务的客户时都将面临的风险清单。
云风险一:共享访问
公共云计算的一种关键原则是多租户,这意味着通常很多彼此无关的客户会共享相同的计算资源:CPU、内存、存储设备、命名空间和物理建筑。
对我们大多数人来说,多租户是一个巨大的“已知的未知”。这不仅仅包括我们的私人数据意外泄漏给其他租户的风险,同时还有资源共享的额外风险。多租户的攻击是非常令人担忧的,因为一个漏洞可以允许一个租户或攻击者看到所有其他租户的数据或其他租户的身份信息。
几种新的派生漏洞来自于云计算的共享。研究人员已经能够从被认为是新的存储空间恢复其他租户的数据。其他研究人员已经能够窥视到其他租户的内存和IP地址空间。一些还能够通过简单地预测被分配的IP地址或MAC地址接管其他租户的计算资源。
多租户的安全问题现在变得越来越重要,我们大多数人才开始探索。最好的例子是一个单一的网站与其他数百甚至数千的其他不相关的网站放置在Web服务器上。长期来说,多租户通常是一个大问题。
云风险二:虚拟开发
每一家大的云提供商都是虚拟化的一个庞大的用户。然而,其也承担着每台物理机所构成的风险,再加上其本身独特的威胁,包括针对虚拟服务器主机和客户的攻击所带来的风险。您的虚拟开发风险有四种主要类型:服务器主机、客户对客户、主机对客户、以及客户对主机。他们都在很大程度上都是未知的,在大多数人的风险模型中都是未计算的。
当我与企业的高级管理人员们讨论虚拟的风险问题时,他们的目光呆滞。很多人对我说,这些风险被夸大了或者说这些漏洞是闻所未闻的。我通常会建议他们检查自己的虚拟化软件供应商的补丁列表。
云的消费者通常不知道供应商采用了什么样的虚拟化产品或管理工具。为了了解一些关于这方面的风险,您可以咨询您的供应商以下几个问题:您运行的是什么样的虚拟化软件?现在的版本是什么呢?谁负责修补虚拟主机的补丁、多久修补一次?谁有权限登录到每台虚拟主机?
云风险三:认证、授权、访问控制
显然,认证、授权和控制您的云供应商的访问机制是至关重要的,但很大程度上取决于其执行的过程。他们多长时间排查并删除过期的帐户?有多少特权帐号可以访问他们的系统以及您企业的数据?特权用户要求什么类型的认证?贵公司与供应商或者其他租户间接共享一个共同的命名空间吗?共享名称空间和认证创建单一登录(SSO)的经验是巨大的生产力,但同时也大大增加来风险。
数据保护是另一个大问题。如果使用和执行了数据加密,私人密钥是否在租户之间共享?云供应商的团队有多少人可以看到您企业的数据?您企业的数据的物理存储在哪里?这些数据不再需要时是如何处理的?我不确定有多少云供应商会愿意针对上述问题分享详细的答案,但如果您想找出什么是已知的和未知的,您至少要咨询您的供应商。
云风险四:可用性
当您是一家公共云提供商的客户时,冗余和容错是不在您的控制范围内的。通常云提供商会提供什么,以及如何做也不会透露。这些是完全不透明的。每家云服务供应商都声称有神奇的容错性和可用性,但随着时间的推移,我们会不断的经历几个小时甚至几天的服务中断。
更大的担忧是,客户已经丢失了数据的几个例子。要么是由于云提供商的问题,要么是源于恶意攻击者。云供应商通常会说他们做的很棒,具有三重保护数据备份。但是,即使在供应商不断的保证数据备份的情况下,他们也会永久性的丢失数据。所以,如果可能的话,您的企业要经常备份共享在云中的数据,或者至少在如果数据是永远丢失了的情况下,坚持法律,维护自己获得赔偿金的权利。
云风险五:所有权
这种风险对于许多云客户来说都感觉十分诧异,但往往客户并不是数据的唯一所有者。许多公共云服务提供商,包括最大的和最有名的,在他们的合同中明确指出,存储的数据是供应商的,而不是客户的。
云提供商希望拥有数据,因为如果出错的情况下,这能够给予他们更多的法律保护。此外,他们可以搜索和挖掘客户数据为自己创造额外收入的机会。我甚至看到一些例子:一些云供应商歇业了,然后出售他们的客户的私人数据作为其资产的一部分给下一个买家。这是相当令人震惊的。所以务必确保您对于已知的未知的封锁状态:到底谁拥有您的数据,云提供商有权处置您的数据吗?
云能见度
即使云计算的风险是已知的,他们也很难真正的准确计算。我们没有足够的历史经验和证据来确定安全性或可用性故障的可能性,特别是对于一家特定的供应商来说,是否有这样的风险将导致大量的客户损失。您能做的最好的便是遵循拉姆斯菲尔德的建议,至少让您管理已知的未知。
但首先,努力减少未知的未知。您需要尽可能多的透明度;如果不出意外,至少获得一份最终的审计报告。询问您的供应商以往数据损失的实例,以及之前实例的报告。尽您所能的列出云供应商的责任限制。只有但您向您的供应商提出了他们难以回答的问题的前提下,您才能开始了解公共云计算的总的风险。
虽然这听起来好像我并不推崇公共云计算,但其实我是公共云计算的超级粉丝。我相信大多数公共云供应商在数据安全方面的工作要比他们的客户做得更好。但是您需要知道您的云供应商的立场,以及他们在减轻风险方面的措施较之您的企业自己的措施方面的优劣。