云计算漏洞风险的识别与应对措施

　　云计算不仅有漏洞?这些漏洞还存在着风险?所以小编就发了这篇文章，希望大家看了长个心眼儿，千万不要掉进了安全陷阱里!我们课课家教育将会为您深入浅出的讲解!大家认真看哦~

　　当前的经济危机使云计算成为一个热门的话题，创业公司和小公司为了节约资金都使用的是互联网上的虚拟机，大公司一般都会将应用如客户关系管理系统放到如Salesforce.com这样的云服务提供商构建的云中，但专家说，在将基础架构迁移到云中时要小心安全陷阱。

　　著名安全公司的一名技术主管r在黑帽大会上说：“云计算的低端用户虽然可以节约金钱，危险的是高端用户在没有任何审核的情况下使用它”，他说他的团队对Amazon的EC2进行了深入的研究。他们的实验表明很多公司都不会扫描第三方提供的机器，恶意实例可以很容易地创建木马访问公司的内部网络。
　　记住这些陷阱，下面的5个教训来自黑帽大会上的演示。
　　1、云计算很少提供法律保护
　　使用云计算的公司需要认识到云中的数据需要服从法律法规，政府可能在没有出具传票的情况下对数据进行检索和拷贝，iSec首席安全顾问Alex Stamos认为云提供商更关心的是如何保护自己而不是客户，因此不要过分将希望寄托在服务协议上写的法律保护条款。
　　Stamos说：“所有云服务商都有训练有素的法律团队，当你签署了服务协议后，意味着你基本上一无所有，如果因为服务商的失误导致用户不能正常使用，用户不能投诉服务商，如果因为数据中心的失误导致数据丢失，服务商也不承担任何责任”。看上去就是一个不平等条约。但他同时补充道，云服务商发现安全问题一般会即时补上，如果语言沟通没有问题，也能得到一些帮助。
　　2、硬件不是你的
　　Stamos警告，如果想对服务商进行审核和进行测试，要记住硬件不属于自己，如果要进行漏洞扫描和渗透测试，需要经过云服务商的明确许可，否则，客户就会被认为是在攻击系统。象亚马逊的服务协议中就明确指出了，客户可以在系统上进行测试，这一点很重要。因为有明确的协议许可使用那些机器进行测试是会受到法律保护的。
　　3、需要强有力的策略和用户教育
　　由于云计算为企业带来了巨大的好处，如允许从任何地方访问数据，解决了IT维护人员的一大难题，永远在线服务也意味着更容易遭受钓鱼攻击。因此对最终用户进行风险教育显得格外重要，不仅仅是为了他们自身，更是为了公司的需要。但要教育好那些非技术职员不上当钓鱼攻击的当很困难，在SaaS模式下，钓鱼式攻击不仅仅是个个人问题，还成为企业面对的一个大问题。
　　4、不要相信虚拟机实例
　　SensePost的Meer说“在使用服务商提供的虚拟机时，如第三方供应商在亚马逊EC2平台上创建的实例时，公司不应该相信这些系统”。
　　公司的研究人员扫描了大量的预配置实例，发现认证密钥在缓存中，信用卡数据和恶意代码被隐藏在系统中，但他们发现大部分用户并不关心安全问题。
　　Meer建议公司应该建立自己的内部认证机制，要从技术上和法律上保护自己。
　　5、重新考虑你对云计算的假设
　　在考虑安全时，企业信息管理人员需要重新思考他们之前对云安全的假设。例如，当部署一个应用到虚拟数据中心的计算机实例上时，虚拟系统相比物理系统的平均可用资源要少得多，一般不会如你预期的那样美好，因此可以猜测资源进行随机分配时也是有限度的。、
　　那么，知道了它的漏洞，我们是不是应该想办法解决呢？继续往下看！
　　自信心差距
　　好消息就是云计算的下一波部署已取得相当的成功，这有助于增强用户使用这一模式的信心。但是，在仍未使用云计算的企业与已使用云计算的企业之间仍然存在着信心差距。研究公司comScore Inc.受微软公司委托对200多家中小型企业(SMB)进行了一次调查，结果发现不使用云计算服务的企业中有42%认为云计算是根本不可靠的。相比之下，在2013年6月进行的一次调查中94%的中小型受访企业表示，他们所使用的基于云计算的应用程序的安全等级要高于他们在内部实施的安全等级。这些调查结果都有力地支持如下观点，即很多企业事实上发现云计算最引人注目的好处之一竟然是，供应商可以提供一定程度的专业知识和集成安全性，这要比很多企业自身在内部实施的水平更高。简而言之，安全性是云计算供应商的一个关键区分点。

　　那么，什么样的云计算特定漏洞和威胁是最危险的，以及供应商如何才能最好地保护他们的云计算环境呢？现实情况是，既不是安全威胁的一般性质，也不是部署迁移风险的类型与传统环境有根本性的差别。攻击者倾向于遵循相似的模式，并使用在传统环境中已习惯使用的相同方法：绕过访问控制、发现有价值的数据、控制数据所在的资产，然后盗取或泄露数据。但是，云计算的本质特性就意味着供应商需要调整他们的方法以解决按需环境的具体问题。
　　采用分层方法，减少云计算漏洞的负面影响
　　正如他们保护传统IT环境一样，云计算供应商需要一个多层的方法来全面地解决安全性问题，这个方法将集多种技术于一体，如访问管理、周边安全性和威胁管理、加密、分布式拒绝服务(DDoS)缓解，以及私密性和合规性管理。但是，在一个共享的云计算环境中，诸如识别与访问管理这样的组件已变得尤为重要，因为来自于多个客户的数据都被存储在同一个共享环境中，并通过同一个共享环境被访问。云计算供应商需要向客户确保他们能够提供一个高效的解决方案，它不仅能够授权访问，而且能够在虚拟环境中使用诸如多重因素身份验证的方法进行身份验证。
　　供应商还需要通过使用监控工具来解决管理程序安全性的问题，这些监控工具能够检测可疑行为，其中包括非正常的流量模式和非正常的交易行为，这些非正常的现象有可能意味着一个影响环境完整性的威胁。供应商还需要通过介绍他们是如何在逻辑上区分客户数据，从私密性和兼容性两方面回答关于数据混合的问题。

　　很多黑客都会在云计算上发动大规模攻击，其目的在于让环境超负荷运行而暴露出漏洞。至此，供应商需要采取正确的DdoS缓解措施以便于在攻击行为影响环境之前发现异常流量。
　　除此之外，在一个多租户的环境中，供应商需要确保把应用程序工作负载从传统环境迁移出的企业已对一些因素正确配置通信设置—其中包括加密或非加密的数据通道、IP地址和主机名—所以它们是通过一个安全的通道进行传输。供应商在保护云计算数据时会面临着一系列的挑战，但是事实上真正的考验在于学习如何努力有效地与客户进行沟通，这将涉及介绍安全控制和突出供应商应对漏洞的突发事件等内容。

     你是否有所了解了呢?喜欢我们的分享，就点个赞呗，欢迎登录课课家教育，更多精彩内容为您呈现。