IaaS的崛起很大部分是由于虚拟化环境的广泛应用。因此,虚拟化环境的安全性是IaaS安全的核心。其安全性是服务的基础之所在。对于虚拟化环境及其提供有效安全性的能力,有若干关注点。这些关注点包括虚拟机管理程序安全性、资源重用和租户管理。
虚拟机管理程序安全性
虚拟环境是由虚拟机管理程序创建并管理的,这使得它成为了一个主要的攻击目标。这一环节中的漏洞将导致对每个租户虚拟环境的任意授权访问。这与传统IT环境中特权用户滥用授权的的问题极为类似。但是,其区别在于并不是所有的入侵都发生在一个组织中,而是所有的虚拟环境都会受到波及。在一个一台单一服务器能够支持平均20个组织的环境中,一个受影响的管理程序就意味着所有20个组织都有遭遇不可信任授权用户的问题。
虽然,幸运的是管理程序的漏洞并不多,但是它们确实存在。当只有一台物理服务器受到感染时,一个管理程序中未被检测到的恶意软件有可能是恶意软件制造者了解更多组织详细信息的一个良机。
近期对Stuxnet, Duqu 以及 Flame的报告表明,众多最佳实践安全解决方案并不如宣传的那样有效。首先,考虑到检测所花费的时间以及这三种恶意软件造成的危害;其次,考虑到它们并不是有云计算用户的网络上运行,而大多数情况下,安全软件都是到位的。云计算提供了一个整合的潜在目标。
诸如Duqu这样的恶意软件会监控和过滤信息;如果类似的恶意软件存在于管理程序中,那么当创建虚拟环境时恶意软件将过滤掉信息,甚至当它运行时那些关于销毁它的信息也会被过滤掉,因此它将继续存在下去,即便摧毁虚拟环境也无法确保破坏数据。
此外,Duqu这样的恶意软件将存在于管理程序中,它还将修改与租户虚拟环境相关的日志信息。此举有两个目的:其一,由于日志文件将被毁坏,所以日后的诉讼将变得困难;其二,这同样的问题将允许黑客使用云计算的虚拟环境作为其发动攻击的一个场所。
在这一点上,应当指出的是,所有这些攻击情况实际上并没有发生。此外,我们的目的也不是为了让读者感到恐慌;我们的真实意图是为了告知有可能发生这样的情况,以便于在确定云计算迁移是否有意义时保持清醒而警觉的头脑,如,哪些数据可以迁移至云计算,而哪些数据可以在本地保存。
IaaS安全性:资源重用和租户管理
虚拟环境运行动态资源分配和迁移,其中可能存在着潜在的法律问题。如果IaaS云计算被用于启动一次攻击,而CSP并不知道此次攻击,那么租客攻击者可以在供应商有机会保持环境前删除这个虚拟环境。通常情况下,当用户与CSP进行协商时,会要求保留日志数据,但如果云计算被用于攻击的发起点,那么该用户可能不会要求保留日志及其它类似数据。云计算中发动攻击的攻击者可能希望进入法律的灰色地带,即其所有权和管辖权还未明确。
自然,对于在云计算中被攻击的站点来说,动态是不同的。这个云计算用户根据组织的政策、依靠CSP做出反应。目前,在此类事件中组织所执行的政策和程序都已在与供应商签署的服务等级协议(SLA)中明文规定了。当针对租户的攻击发动时,该SLA的协议就会正常运行;租客接触点(POC)就会被立即告知。但是,当针对CSP的攻击启动时,租户POC可能就不会是被第一告知的对象了,所以可接受告知周期也必须在SLA明确。同时,也无法期望有立即告知。
从某种程度上来说,云计算的动态特性是易于掌握的:根据需求,网络资源的动态配置和分配符合很多业务的“正好时”的特点。根据需求,所需的配置减少了浪费和开销。但是,当发生取证时,如果只找到部分之前的删除信息,这个动态环境就会带来额外的挑战。甚至当恢复数据时,“已找到”数据的所有权也还是个令人头疼的问题。
CSP们分离和保护用户数据的动机极强。但是,供应商与使用者之间的SLA只能涉及已知问题。这就是云计算安全问题的核心:预测下一个漏洞及其伴生的影响都是具有不确定性的。当具体条款都明确定义,协议就能够正常工作。
云计算安全的模糊性使得云计算成为黑客、犯罪分子、网络战士所钟意的热土。用户可以按照最佳措施实施保护,但当云计算的末日攻击启动后,他们就只能眼睁睁地看着他们的数据落入心怀叵测之徒的掌握。当这样的事件发生后,相关的法律领域就会出现一片新天地,而随之的法律后果也是无法确定的。也许,这也是必须的,因为这样有利于云计算脱离过分炒作、回归本我,从而走上一条更完善的云计算迁移道路。
