云计算的安全问题

2017-03-13 10:42  出处:其他  作者:佚名   责任编辑:wenjunhao 

  1.  前言

  云计算已经是非常火爆的概念了,涉及的服务也非常多,弹性计算服务、文件存储服务、关系数据库服务、key-value数据库服务等等不胜枚举。本文将简要阐述一下弹性计算服务的安全问题,因为弹性计算是应用得最普遍的云服务,也是安全风险最大的云服务。

  由于许多东西涉及公司机密,技术细节、实现或者新的方向,本文中不进行讲解。有兴趣的可以投一份简历过来,我们共同为云计算努力。

  2.  云计算带来的新风险

  在云计算之前的时代,传统IDC机房就面临着许多的安全风险。然后这些问题毫无遗漏的传递到了云计算时代,不仅如此,云计算独有的运作模式还带来了更多新的问题。

  2.1.  云内部的攻击

  l 安全域被打破

  在对外提供云计算业务之前,互联网公司使用独立的IDC机房,由边界防火墙隔离成内外两块。防火墙内部属于可信区域,自己独占,外部属于不可信区域,所有的攻击者都在这里。安全人员只需要对这一道隔离墙加高、加厚即可保障安全,也可以在这道墙之后建立更多的墙形成纵深防御。

  但是在开始提供云计算业务之后,这种简洁的内外隔离的安全方案已经行不通了。通过购买云服务器,攻击者已经深入提供商网络的腹地,穿越了边界防火墙。另外一方面,云计算内部的资源不再是由某一家企业独享,而是几万、几十万甚至更多的互相不认识的企业所共有,当然也包含一些怀有恶意的用户。显然,按照传统的方式划分安全域做隔离已经行不通了,安全域被打破。

  l 新的攻击方式

  传统IDC时代攻击者处于边界防火墙外部,和企业服务器、路由器之间只有IP协议可达,也就是说攻击者所能发起的攻击,只能位于三层之上。

  但是对于云计算来说,情况发生了变化。在一个大二层网络里面,攻击者所控制的云服务器与云服务提供商的路由器二层相连,攻击者可以在更低的层面对这些设备发动攻击,如基于ARP协议的攻击,比如说常见的ARP欺骗攻击,甚至更底层的以太网头部的伪造攻击。

  关于以太网头部的伪造攻击,我曾经遇到过一次。攻击者发送的数据包非常小,仅仅包含以太网头部共14个字节,源和目的物理地址都是伪造的,上层协议类型为2个字节的随机数据,并非常见的IP协议或者ARP协议,对交换机造成了一些不良影响。

  l  虚拟层穿透

  云计算时代,一台宿主机上可能运行着10台虚拟机,这些虚拟机可能属于10个不通的用户。从某种意义上说,这台物理机的功能与传统IDC时代的交换机相当,它就是一台交换机,承担着这10台虚拟机的所有流量交换。

  入侵了一台宿主机,其危害性与入侵了传统时代的一个交换机新党。但是与交换机相比,是这台宿主机更容易被入侵还是交换机更容易被入侵?显然是宿主机更容易入侵。

  首先,攻击者的VM直接运行在这台宿主机的内存里面,仅仅是使用一个虚拟层隔离,一旦攻击者掌握了可以穿透虚拟层的漏洞,毫不费力的就可以完成入侵,常见的虚拟化层软件如xen、kvm都能找到类似的安全漏洞。

  其次,交换机的系统比较简单,开放的服务非常有限。而宿主机则是一台标准的Linux服务器,运行着标准的Linux操作系统以及各种标准的服务,可被攻击者使用的通道也多得多。

  2.2.  大规模效应

  l 传统攻击风险扩大

  为了方便让VM故障漂移以及其它原因,云计算网络一般的都会基于大二层架构,甚至是跨越机房、跨越城市的大二层架构。一个VLAN不再是传统时代的200来台服务器,数量会多达几百台、几千台。在大二层网络内部,二层数据交换依赖交换机的CAM表寻址。当MAC地址的规模达到一定规模之后,甚至可能导致CAM表被撑爆。

  类似的,ARP欺骗、以太网端口欺骗、ARP风暴、NBNS风暴等等二层内部的攻击手法,危害性都远远超过了它们在传统时代的影响。

  l 攻击频率急剧增大

  由于用户的多样性以及规模巨大,遭受的攻击频率也是急剧增大。以阿里云现在的规模,平均每天遭受数百起起DDoS攻击,其中50%的攻击流量超过5GBit/s。针对WEB的攻击以及密码破解攻击更是以亿计算。

  这种频度的攻击,给安全运维带来巨大的挑战。

  2.3.  安全的责任走向广义

  随着更多的云用户入住,云内部署的应用也更是五花八门。安全部门的需要负责的领域也逐渐扩大,从开始的保护企业内部安全,逐渐走向更上层的业务风险。

  l 云计算资源的滥用

  云计算资源滥用主要包括两个方面,一是使用外挂抢占免费试用主机,甚至恶意欠费,因为云计算的许多业务属于后付费业务,恶意用户可能使用虚假信息注册,不停的更换信息使用资源,导致云服务提供商产生资损。作为安全部门,需要对这种行为进行控制。

  另一方面,许多攻击者也会租用云服务器,进行垃圾邮件发送、攻击扫描、欺诈钓鱼之类的活动,甚至用来做botnet的C&C。安全部门需要能准确、实时的发现这种情况,并通过技术手段拦截。

  l 不良信息处理

  不良信息主要是指云服务器用户提供一些色情、赌博之类的服务,云服务提供商需要能够及时识别制止,防止带来业务风险。

 

云计算是什么
云计算到底是什么 普通人需要了解云吗?
云计算到底是什么 普通人需要了解云吗?

近年来,我们常听到云计算、云存储等名词,也常听到路由器或者一些电器上加入云技术,厂家们把它说的十分强大。网上搜索来的云计算的概念,都比较专业比较难懂,那云计算到底是什么,...

佚名 2016-03-01 评论: 16 标签: 云计算是什么  

面对DDoS攻击量破纪录 我们怎能坐以待毙
面对DDoS攻击量破纪录 我们怎能坐以待毙

企业在转向云端是需要构建最安全的系统架构。根据云安全联盟(CSA)的报告《The Notorious Nine: Cloud Computing Top Threats in 2013》,针对企业云部署最常见的攻击就是分布式拒绝服...

佚名 2015-12-29 评论: 5 标签: 云计算   云计算是什么  

美大学展首款光子芯片比现有处理器快50倍
美大学展首款光子芯片比现有处理器快50倍

最近美国三所大学的研究人员开发出一款光子芯片,它可以用光来传输数据,速度比过去的芯片大幅提升,能耗也大大减少。研究者宣称这是第一款成熟的、用光传输数据的处理器。芯片每平方...

佚名 2015-12-24 评论: 68 标签: 云计算是什么  

云计算指路 Acer宏碁构建智慧城市新蓝图
云计算指路 Acer宏碁构建智慧城市新蓝图

2015年ITS(Intelligent Transportation System) 亚太智能交通论坛于4月27日至29日在南京举行。在“多卡通智能票证”领域有卓越成绩的Acer宏碁公司亦出席本次论坛,展示了宏碁云端智能交...

板儿砖 2015-04-30 评论: 0 标签: 云计算   云计算是什么  

年末大盘点 当心云计算应用里的漂白效应
年末大盘点 当心云计算应用里的漂白效应

企业在选择云环境时, 总是有诸多因素要考虑。对很多企业而言,公共云提供了可扩展性和即用即付的付费模式,但云安全性方面比较让人担忧,而私有云为相对安全并为用户提供了对内部部...

佚名 2015-01-03 评论: 0 标签: 云计算是什么  

2442亿美元神话 云市场已进入“打拼期”
2442亿美元神话 云市场已进入“打拼期”

云计算现在是IT圈内人们热议的话题,从它的诞生到现在已经走过了9年多的发展历程,这项技术进入中国也已经走进了第6个年头。放眼国外,公有云、私有云、混合云等几大云计算服务模式正...

佚名 2014-12-02 评论: 0 标签: 云计算是什么  

创业者看过来 精益创业的云存储价值何在
创业者看过来 精益创业的云存储价值何在

云计算技术最底层,也是最基础需要解决的问题就是大量数据的存储了,随着现在大数据概念的提出,企业对于大容量数据存储这把“双刃剑”也十分重视,云存储技术在整个云平台搭建当中也...

佚名 2014-11-22 评论: 12 标签: 云计算是什么  

查看更多