【51CTO独家译稿】安全研究者们说:像亚马逊那样的云计算服务提供商们必须要防止它们强大的计算能力被非法的攻击所利用。那么,什么样安全措施可以防止云成为犯罪者的天堂呢?
想要攻击其他人的犯罪者可以租用已经被控制的计算机网络或僵尸网络,或其他犯罪者在地下的社区中提供的服务。在它们自己的领域中,这些资源也被当成了“云”,但是安全研究者们警告说:合法的云服务提供商也必须要防止它们强大的计算能力被非法的攻击者所利用。
在8月召开的DEFCON黑客大会上,在一个演示中,两个研究者做了这样的事情:Trustwave的David Bryan和NetSPI的Michael Anderson建立了几个虚拟服务器来攻击一个小型的财务公司——这个客户希望测试自己对这样的攻击的防御能力。这两个研究者并没有租用其他犯罪者提供的僵尸网络,而是使用亚马逊提供的Elastic Computing Cloud (EC2)租用了不到一打的虚拟服务器,通过流量来拥塞攻击目标的网络。
这两个研究者表示:并没有什么迹象表明亚马逊探测到了这次攻击。同时,他们呼吁所有的云服务提供商们,在监控资源的使用方式方面,要多加注意。
Trustwave的Bryan说:“在它变得一发不可收拾之前,让我们先解决掉它。”
虽然亚马逊并没有抓到那两个特定的安全研究者,但是亚马逊表示,在云中,要抓到那些坏家伙是很容易的。
在一份发送给CIO.com的声明中,亚马逊表示:“在云出现以前,通过互联网进行的违法犯罪活动就已经相当普遍了。那些非法使用者们选择在Amazon EC2环境中运行他们的软件,只会让我们更容易地访问和禁用他们的软件。对于整个互联网来说,这是一个重大的改进,在云环境中,非法使用的主机不能被访问,而且,这种情况会持续很长时间。”
然而,在这种情况下,公司必须要监控它们自己的云空间。
下面是亚马逊和其他的云服务提供商们提供的一些安全策略。
1,让客户更方便,就是让攻击者更方便
惠普(Hewlett-Packard)负责Secure Advantage与Cloud Security的首席技术官 Archie Reed说:“优秀的云服务应该让云资源更方便消费者和内部的客户使用。但是,这些优秀的特性也很容易被攻击者们利用。”
Reed说:“我们给云提供的所有优秀的特性,尤其是给公有云提供的所有优秀的特性——包括相对较低的成本,instant provisioning,以及在任何时间,任何地点都能访问云服务的能力。所有这些优秀的特性可以被任何一个人利用——只要他有相关的知识,并且他希望这样做。”
与其做出决定关闭那些信息不完整的潜在客户的账户,倒不如少做一些黑白分明的选择。与其阻止一个潜在的恶意用户,倒不如利用惠普的技术限制他们的带宽。这就是惠普的策略。
Reed说:“我们正在和客户们一起努力,来检测各种可疑的行为,为了让客户更快地做出反应,我们特意让一些事情慢了下来。你不要关闭客户们的账户,但是你也不要给各种恶意行为提供主机服务。”
2,从第一天起就把安全性考虑在内
来自于Trustwave和NetSPI的研究者的拒绝服务攻击,在最高峰的时候可以达到150MB/s。在两个多小时里,他们一共发送了大约10GB的数据,成本不到6美金。
他们认为,这样的恶意行为应该被探测到。
虽然亚马逊并没有对这次的事件做出任何的评论,但是亚马逊表示,给云提供必要的安全措施是很重要的——它的工程师一直在做这样的事情。
在一个声明中,亚马逊表示:“提供按需分配的基础设施,同时提供安全隔离,和在公司现有的私有环境下并没有什么本质性的不同。”
3,把所有事情都记录在日志里
现在,所有公司都应该投资的一种技术是日志管理。在最近的Data Breach Investigations Report中,Verizon公司发现:90%以上对企业的攻击都可以反映在日志数据里,但是只有不到5%的公司监控这些通常足以探测到各种攻击的数据。
基于云的日志管理公司Loggly的创始人兼首席运营官 Raffael Marty说:“实现日志管理对每个人来说都很重要,尤其是在你的数据中心里。你必须要管理已经发生的一些事情的日志,这不仅仅是为了遵守SLA(service level agreement),也是为了安全性。”
他说:“云服务提供商们(例如:亚马逊),应该专门开发一些技术,以便于更快地从日志中收集信息。”
4,不只是计算要具有可扩展性,安全也要具有可扩展性
亚马逊表示:“云计算的一个主要的优势是:大型的提供商们可以利用经济规模的优势,提供低成本的虚拟系统。但是,提供商们也不得不提供相应的可扩展性,来更好地保护它们的资源。”
亚马逊公司说:“庞大的经济规模可以让我们提供低成本的,灵活的服务,同时,可以让我们构建有效的,可扩展的防护。”
和其他没有这样的经济规模的公司相比,亚马逊可以在安全方面投入更多地资金。使用亚马逊提供的API,一个负责安全或操作的人员可以识别出运行在云中的每个机器实例。
5,观察那些已经变坏的客户
云安全联盟表示:在云系统上,最常见的攻击是账户劫持。在云安全联盟2010年3月做出一份报告中,在所有和云计算相关的顶级威胁中,云资源的非法使用是最危险的。但是在列出的威胁中,有六个涉及到攻击者对账户的非法使用。
惠普的Reed建议所有云服务提供商使用双重认证来限制账户劫持。
Reed说:“云服务提供商们必须要提供一般水平的防护,来保护它们的基础设施和品牌。现在攻击者们知道你可以得到什么——不仅是从亚马逊得到一本书那么简单了,而是整个计算环境,那些账户成为了攻击目标。”
