有些人認(rèn)為Epsilon是電子郵件營(yíng)銷服務(wù)供應(yīng)商(換句話說(shuō),，就是SaaS公司)，所以這次泄露事故與云環(huán)境脫不了干系,，但這次攻擊中,，攻擊者使用的是傳統(tǒng)的釣魚攻擊來(lái)獲取對(duì)電子郵件服務(wù)器的訪問權(quán)限，而不是利用管理程序漏洞,。

云供應(yīng)商(例如Drophbox和Google)當(dāng)然存在自己的問題,，但與云相關(guān)的問題主要涉及系統(tǒng)中斷，而不是數(shù)據(jù)泄露,。隨著越來(lái)越多的企業(yè)資源轉(zhuǎn)移到云環(huán)境,，我們將不可避免地聽到更多與云計(jì)算相關(guān)的事故，但我們?nèi)詫⒖吹礁噌槍?duì)企業(yè)內(nèi)部資源的攻擊事故,。

這并不意味著投資于云環(huán)境的企業(yè)可以松一口氣,，基于云的應(yīng)用程序安全測(cè)試服務(wù)供應(yīng)商Veracode公司研究副總裁Chris Eng表示：“攻擊者目前使用的攻擊方法已經(jīng)很夠用，他們只需要使用相同的SQL注入攻擊就可以成功發(fā)動(dòng)攻擊,，而不需要花大量時(shí)間來(lái)開發(fā)新的攻擊方法,，”

黑客并不是將云視為目標(biāo)

通過(guò)索尼數(shù)據(jù)泄露事故，我們發(fā)現(xiàn)一個(gè)令人不安的趨勢(shì)：攻擊者并不是將云視為目標(biāo),，而是將其作為一種資源,。攻擊者使用偷來(lái)的信用卡來(lái)租賃Amazon EC2服務(wù)器，然后對(duì)索尼公司發(fā)動(dòng)攻擊,。

“云計(jì)算向合法企業(yè)提供一切服務(wù),，同樣也提供給攻擊者,，”安全監(jiān)控公司Vigilant公司高級(jí)情報(bào)專家Scott Roberts表示，“越來(lái)越多的網(wǎng)絡(luò)犯罪分子租用云基礎(chǔ)設(shè)施來(lái)安裝垃圾郵件程序(spambot)或者打造惡意軟件命令以及控制基礎(chǔ)設(shè)施,。每個(gè)月只需要花50美元或者60美元,，攻擊者就可以利用很好的云資源。” 攻擊者可以將這些廉價(jià)的基礎(chǔ)設(shè)施加入低成本,、自動(dòng)化惡意軟件工具包,，并可以租借僵尸網(wǎng)絡(luò)來(lái)發(fā)動(dòng)攻擊。

雖然攻擊者目前沒有專門針對(duì)云環(huán)境,，但大多數(shù)專家認(rèn)為他們很快將開始攻擊云環(huán)境,，畢竟越來(lái)越多的企業(yè)資源開始轉(zhuǎn)移到云環(huán)境。“云環(huán)境本身已經(jīng)是一個(gè)誘人的目標(biāo),，”Eng表示,，“在云環(huán)境中，數(shù)據(jù)非常集中,，你只要瞄準(zhǔn)一個(gè)供應(yīng)商,，就可以攻擊多個(gè)企業(yè)。”

當(dāng)問及為什么要搶銀行時(shí),，Willie Sutton表示(雖然后來(lái)他否認(rèn)了這個(gè)說(shuō)法)：“因?yàn)殄X在那里,。”現(xiàn)在，最重要的企業(yè)資產(chǎn)仍然位于企業(yè)防火墻內(nèi),，以后呢?可能會(huì)轉(zhuǎn)移到云環(huán)境中,。

為什么云環(huán)境容易受到攻擊

云環(huán)境的優(yōu)勢(shì)在于，主要云供應(yīng)商有責(zé)任保護(hù)他們的環(huán)境,，如果Amazon或者谷歌遭遇泄露事故,，他們的業(yè)務(wù)將受到嚴(yán)重影響。

主要云供應(yīng)商都清楚這一點(diǎn),，他們都在努力采取措施避免事故的發(fā)生,。Amazon網(wǎng)絡(luò)服務(wù)發(fā)言人Rena Lunak表示：“很早以前，網(wǎng)絡(luò)就已經(jīng)不再是物理孤島,，企業(yè)逐漸發(fā)現(xiàn)需要連接到其他企業(yè),，然后有了互聯(lián)網(wǎng)，企業(yè)網(wǎng)絡(luò)開始與公共基礎(chǔ)設(shè)施相連接,。”

為了減輕風(fēng)險(xiǎn),，很多企業(yè)正采取措施來(lái)隔離他們的流量，例如使用多協(xié)議標(biāo)簽交換(MPLS)鏈接和加密,。“亞馬遜在云環(huán)境對(duì)網(wǎng)絡(luò)采取了相同的方法：我們保持?jǐn)?shù)據(jù)包級(jí)的網(wǎng)絡(luò)流量隔離,，并采用行業(yè)標(biāo)準(zhǔn)的加密，”她表示，“因?yàn)閬嗰R遜的虛擬私有云允許客戶建立自己的IP地址空間,，客戶可以使用他們已經(jīng)非常熟悉的工具和軟件基礎(chǔ)設(shè)施來(lái)監(jiān)控和控制他們的云網(wǎng)絡(luò),。”

這些聽起來(lái)都很不錯(cuò)，但是一些常見錯(cuò)誤(例如糟糕的身份驗(yàn)證方法或者開放管理端口)可能讓供應(yīng)商的安全保護(hù)措施付諸東流,。

“遷移到云環(huán)境存在的一個(gè)問題是,，你需要遠(yuǎn)程管理你的資源，”云安全供應(yīng)商CloudPassage公司首席執(zhí)行官Carson Sweet表示,，“很多很多公司沒有關(guān)閉管理端口,，攻擊者就是利用了這一點(diǎn),。”

云環(huán)境如何影響你的內(nèi)部網(wǎng)絡(luò)?

Sweet指出,，云環(huán)境中糟糕的安全做法可能會(huì)影響企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。很多擔(dān)心云威脅的企業(yè)根本不會(huì)將企業(yè)最重要的數(shù)據(jù)轉(zhuǎn)移到云環(huán)境中,。

在CompTIA調(diào)查的企業(yè)中,，有82%的企業(yè)相信云供應(yīng)商能夠提供一個(gè)安全的環(huán)境，58%的企業(yè)不會(huì)將關(guān)鍵企業(yè)財(cái)務(wù)信息轉(zhuǎn)移到云環(huán)境,，56%的企業(yè)不會(huì)將信用卡數(shù)據(jù)放入云環(huán)境,，將近一半的受訪者拒絕將機(jī)密知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密或者人力資源信息放入云環(huán)境,。

這里的邏輯很簡(jiǎn)單：將機(jī)密數(shù)據(jù)放在企業(yè)防火墻后面更加安全,。然而，這個(gè)邏輯有一個(gè)致命的缺陷,。

Sweet談到曾經(jīng)CloudPassage的一名客戶(不愿意透露姓名)在云環(huán)境中部署了開發(fā)服務(wù)器,，攻擊者將一個(gè)工具包放到一臺(tái)虛擬服務(wù)器中，當(dāng)開發(fā)人員發(fā)現(xiàn)服務(wù)器中丟失了一些東西,，于是他們將服務(wù)器帶回企業(yè)環(huán)境來(lái)重新鏡像,，不幸的是，攻擊者的攻擊工具包感染了整個(gè)網(wǎng)絡(luò),。Sweet表示：“如果你不注意的話,，虛擬機(jī)可能會(huì)成為木馬。”

請(qǐng)確保API密鑰的安全

我最常聽到的云安全問題是API密鑰的安全,。大多數(shù)企業(yè)使用API密鑰來(lái)訪問他們的云服務(wù),，這些密鑰非常重要。

“API密鑰是一個(gè)巨大的問題,，”Sweet表示,，“如果我知道你的API密鑰在服務(wù)器的位置，我能夠拿到它們,，然后我就可以進(jìn)入你的云環(huán)境,。”

API密鑰必須受到保護(hù)，我們經(jīng)常會(huì)看到IT管理員將這些密鑰通過(guò)電子郵件來(lái)發(fā)送給另一名管理員，或者將密鑰存儲(chǔ)在并不難被發(fā)現(xiàn)的配置文件中,。

API密鑰必須保存在一個(gè)安全的加密的位置,，并且進(jìn)行定期檢查，必須確保只有具有正當(dāng)理由的人才能訪問這些密鑰,。另外,，云經(jīng)紀(jì)人可以幫你保管密鑰，但你必須意識(shí)到你正在將云安全的關(guān)鍵部分外包給第三方,。

詢問云供應(yīng)商的10個(gè)問題

在對(duì)云服務(wù)供應(yīng)商進(jìn)行評(píng)估時(shí),，請(qǐng)一定要問以下十個(gè)問題：

1. 你是否使用安全開發(fā)生命周期來(lái)開發(fā)你的服務(wù)?

2. 你能否證明或者提供滲透測(cè)試結(jié)果?

3. 你部署了怎樣的數(shù)據(jù)保護(hù)政策?

4. 你的數(shù)據(jù)隱私政策是什么?

5. 你如何執(zhí)行這些不同的政策?

6. 安全涵蓋在你的SLA中嗎?如果沒有，為什么?

7. 你如何備份和恢復(fù)數(shù)據(jù)?

8. 你如何加密動(dòng)態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù)?

9. 你如何將我的數(shù)據(jù)與別人的數(shù)據(jù)分開?

10. 我對(duì)你的日志信息有怎樣的能見度?