新的 Google Chrome 操作系統(tǒng)讓 IT 系統(tǒng)管理員對更安全的計算體驗燃起了一絲希望。許多系統(tǒng)管理員、IT 總監(jiān)、信息安全長 (CSO) 對日復(fù)一日的系統(tǒng)與軟件修補(bǔ)更新都已感到厭倦。Google Chrome 是否真能提供這樣的安全性，是個很難回答的問題。我們正在進(jìn)行一場大規(guī)模的網(wǎng)絡(luò)大戰(zhàn)，其中大多數(shù)威脅的主要目標(biāo)都是竊盜。網(wǎng)絡(luò)犯罪者正從惡意程序、破解入侵以及其他惡意活動當(dāng)中獲取龐大利潤。

而網(wǎng)絡(luò)犯罪者所利用的，就是桌上型電腦由 Microsoft 操作系統(tǒng)壟斷的情勢。對于專門攻擊 Microsoft 平臺的黑客來說，他們有源源不絕的電腦讓他們賺取足夠的利潤。這完全是單純的經(jīng)濟(jì)規(guī)模效應(yīng)。隨著其他操作系統(tǒng) (例如 Mac OS) 開始受到歡迎并且取得更大的市場占有率，專門鎖定這些系統(tǒng)的攻擊數(shù)量就會自然增加，如同本文稍早所說。

不過 Google Chrome 是一個非常小而且開放原始碼的操作系統(tǒng)，其資料和應(yīng)用程序都儲存在云。這表示，由于程序碼減少，軟件錯誤 (俗稱的臭蟲) 也應(yīng)該會減少。此外，由于操作系統(tǒng)較小，而且不像現(xiàn)在這么強(qiáng)大，所以，目前這種安裝在本機(jī)的多用途惡意程序很可能就無法生存。

盡管如此，大家都知道網(wǎng)絡(luò)犯罪者非常容易適應(yīng)，而且非常靈活，他們的攻擊技巧高明，經(jīng)常改變策略，善于掌握最新的技術(shù)趨勢。所以，某些攻擊策略或許還是可行：

掌控到云的連線。網(wǎng)絡(luò)犯罪者只要對操作系統(tǒng)動一點(diǎn)手腳，稍微修改一下 DNS 記錄， 就能讓使用者在連上網(wǎng)頁應(yīng)用程序時，先轉(zhuǎn)往地下惡意網(wǎng)站，然后才到達(dá)自己的網(wǎng)頁應(yīng)用程序頁面。只要是無法完全封鎖通訊管道，使用者的資料就可能完全曝光。即使有 IPv6、加密、憑證等保護(hù)措施，這還是一個可能的攻擊方式。

攻擊云本身。如果云式應(yīng)用程序以及云式操作系統(tǒng)成為主流，那么 99.99% 的可用性就是絕對必要。一部無法存取主機(jī)信息和應(yīng)用程序的電腦就等于廢物。攻擊者有可能利用標(biāo)準(zhǔn)的殭屍網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet (未來十年之內(nèi)應(yīng)該還會看到采用多用途標(biāo)準(zhǔn)操作系統(tǒng)的殭屍網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet感染電腦) 來讓云基礎(chǔ)架構(gòu)上的主機(jī)超載而癱瘓�；蛘撸�黑客也可能”要求”廠商必須給予小額”樂捐”才能讓已經(jīng)癱瘓的云主機(jī)恢復(fù)營運(yùn)。這些對網(wǎng)絡(luò)犯罪者來說，想必是利潤豐厚的生意。

這類攻擊手法事實上已經(jīng)出現(xiàn)，只是規(guī)模不大而已，但是，一旦黑客目前的手法 (先讓桌上型電腦感染惡意程序然后再用于非法用途) 經(jīng)濟(jì)誘因不再 (無法再找到足夠的受害者)，自然會有另外一種取而代之的方法出現(xiàn)。

某些攻擊策略或許還是可行：

掌控到云的連線。

攻擊云本身。

云服務(wù)廠商資料外泄。直接從云取得有價值的資料 (因為資料已經(jīng)移到云)，例如：信用卡、身分證號碼、登入帳號密碼等等，將是每一個企業(yè)與家庭使用者最大的擔(dān)憂與考量。問題在于云服務(wù)廠商能否有效夠確保資料不會遭到非法存取，不會輕易讓黑客復(fù)制數(shù)百萬筆使用者資料、登入帳號密碼、網(wǎng)絡(luò)銀行資料、帳務(wù)資料、交易記錄等等。

網(wǎng)際網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的改變，將擴(kuò)大網(wǎng)絡(luò)犯罪者的活動范圍。

云計算將帶來新的信息安全挑戰(zhàn)。

根據(jù)趨勢科技在 2009 年所做的一項云計算調(diào)查15 顯示，考慮采用運(yùn)端計算的企業(yè)，同樣也認(rèn)為云內(nèi)的信息安全防護(hù)解決方案非常重要。當(dāng)詢問到潛在的信息安全威脅，有 61% 的受訪者表示，在合理確定云計算不會帶來重大網(wǎng)絡(luò)安全風(fēng)險之前，他們暫時不會采用云計算解決方案。

導(dǎo)入?yún)^(qū)域性頂層網(wǎng)域?qū)�會替舊的攻擊方式創(chuàng)造新的機(jī)會，讓黑客運(yùn)用長相類似的域名發(fā)動網(wǎng)絡(luò)釣魚攻擊，例如，使用俄羅斯文字元來替代看起來很像的拉丁字元。趨勢科技跟產(chǎn)業(yè)分析師的看法相同，也就是說，云計算的接受度即將起飛，并且呈倍數(shù)成長。有三樣因素可能會迫使企業(yè)不得不采用：

網(wǎng)際網(wǎng)絡(luò)的壓力。采用云計算很容易，而且一些公共云的成功案例 (如 Amazon) 也告訴我們，您的內(nèi)部用戶端，還有其他隨手可得的計算能力可供選擇。

成本考量。云計算有其成本效益，而且在目前經(jīng)濟(jì)情況不明朗的大環(huán)境下，節(jié)省成本是首要考量。

競爭優(yōu)勢。您的競爭對手已經(jīng)開始采用，而且的確能夠創(chuàng)造競爭優(yōu)勢。

不過，云計算也將造成威脅情勢上的轉(zhuǎn)變。以下我們將探討一些最值得注意的挑戰(zhàn)與威脅。

資料中心與云計算的新威脅

通常，對于剛開始認(rèn)識或考慮采用云計算的使用者來說，其中的一項挑戰(zhàn)就是區(qū)分各種不同的云威脅，視云服務(wù)模式而定。目前有三種主要的服務(wù)模式：

軟件服務(wù)化 (SaaS)。透過網(wǎng)際網(wǎng)絡(luò)存取云的應(yīng)用程序 (例如：salesforce.com、趨勢科技 HouseCall)。

平臺服務(wù)化 (PaaS)。將客戶開發(fā)的應(yīng)用程序部署到云的服務(wù) (例如：Google AppEngine 與 Microsoft Azure)。

基礎(chǔ)架構(gòu)服務(wù)化 (IaaS)。有時亦稱”公用計算”(Utility Computing)，意指處理器、儲存、網(wǎng)絡(luò)以及其他資源的租用服務(wù) (例如：Amazon 的 EC2、Rackspace 以及 GoGrid)。客戶不需管理底層的云基礎(chǔ)架構(gòu)，但是能夠掌控操作系統(tǒng)、儲存、網(wǎng)絡(luò)、所部署的應(yīng)用程序，并且能夠選擇網(wǎng)絡(luò)元件 (防火墻)。

所以，有些公司專門從事某項工作，并且專心維持該項工作的安全。但從另一方面來看，這些采用同樣防護(hù)措施的系統(tǒng)，反而是網(wǎng)絡(luò)犯罪者更好攻擊的目標(biāo)。其潛在危險就是，一旦有某個客戶遭到歹徒入侵，其他客戶也會連帶受到影響。

其中最受的議題之一，就是云計算改變了網(wǎng)絡(luò)邊界之后，是否會為運(yùn)端內(nèi)部署的應(yīng)用程序與操作系統(tǒng)帶來風(fēng)險。隨著云計算趨勢的發(fā)展以及云存放的資料越來越敏感，整體的風(fēng)險也將隨之升高。

同樣地，客戶對服務(wù)供應(yīng)商的依賴程度提高，也帶來了資料可用性與機(jī)密性的潛在威脅。服務(wù)供應(yīng)商可能倒閉，或者可能發(fā)生災(zāi)難或內(nèi)部資料外泄。如此高度信賴公共服務(wù)供應(yīng)商的結(jié)果，就是帶來一些新的威脅。

目前云計算的服務(wù)模式有三種：

軟件服務(wù)化 (SaaS) ─ 透過網(wǎng)際網(wǎng)絡(luò)存取云的應(yīng)用程序。

平臺服務(wù)化 (PaaS) ─ 將客戶開發(fā)的應(yīng)用程序部署到云的服務(wù)。

基礎(chǔ)架構(gòu)服務(wù)化 (IaaS) ─ 有時亦稱”公用計算”(Utility Computing)，意指處理器、儲存、網(wǎng)絡(luò)以及其他資源的租用服務(wù)。

在檢視潛在新興威脅的同時，別忘了舊的問題依然存在，網(wǎng)絡(luò)犯罪者最可能的作法是改進(jìn)目前的技巧來攻擊新技術(shù)的弱點(diǎn)。

SaaS/PaaS 客戶必須仰賴 SaaS/PaaS 服務(wù)廠商的安全措施。客戶對廠商的安全防范措施必須有相當(dāng)程度的信賴。這一點(diǎn)是面對新興威脅時所必須考量與追蹤的。

IaaS 的領(lǐng)域是由企業(yè)與 IaaS 服務(wù)供應(yīng)商所共同掌握。此一領(lǐng)域的威脅包括操作系統(tǒng)、Hypervisor (Xen、VMware、Hyper-v) 以及應(yīng)用程序的漏洞。

其中的關(guān)鍵挑戰(zhàn)之一就是，即使 IaaS 供應(yīng)商的安全措施幾近完美，仰賴服務(wù)供應(yīng)商的企業(yè)卻仍然已將自己的命運(yùn)交付給單一廠商，失去能夠隨心所欲或視業(yè)務(wù)需求而更換不同廠商的好處。

雖然，由 IaaS 供應(yīng)商來負(fù)責(zé)各種操作系統(tǒng)、交換器、Hypervisor、防火墻、安全漏洞的管理與防護(hù)，對某些企業(yè)來說是一件好事，但卻也暴露了廣大的攻擊層面。

另一個風(fēng)險領(lǐng)域則來自內(nèi)部。也就是，內(nèi)部不肖人員可能掌握了足以通過供應(yīng)商任一道或所有安全關(guān)卡的存取權(quán)限。

IaaS 之所以吸引許多企業(yè)，就是因為這種模式讓企業(yè)保有較大的掌控，而且如果要更換廠商，這或許也是最容易的一層。不過企業(yè)必須重新適應(yīng)安全邊界的劃分方式，原本的安全邊界在資料中心周圍，現(xiàn)在則變成在每一個虛擬機(jī)器周圍，甚至在機(jī)器內(nèi)的資料周圍。矽谷已經(jīng)有多家新成立的企業(yè)可以讓使用者輕松地在不同的大型 IaaS 供應(yīng)商之間的硬件切換。許多企業(yè)目前正在等待針對云設(shè)計的信息安全模型出現(xiàn)，因為他們希望擁有自己的信息安全方案并且在更換廠商時帶著走，如此才能讓他們在移轉(zhuǎn)機(jī)器時保有相同的控管措施，不須修改已審核的流程或程序。

錯綜復(fù)雜的租用關(guān)系可能帶來新的威脅

有可能發(fā)生利用旁門左道的攻擊 (side-channel attack) 或者信息外泄的風(fēng)險，例如，如果使用者所分配到的存儲設(shè)備或磁盤，在上一位使用者用完之后沒有將內(nèi)容抹除歸零。

資料中心攻擊

目前遭到入侵的網(wǎng)站數(shù)量已經(jīng)多到足以令人擔(dān)憂。這些網(wǎng)站不是用于散播惡意程序、漏洞攻擊，就是用于接收黑客所竊取的信息。而相關(guān)的網(wǎng)頁代管服務(wù)供應(yīng)商缺乏安全管制，也讓這個問題無法妥善解決。不幸的是，這些遭到滲透的網(wǎng)站，還可能被用來當(dāng)作攻擊資料中心內(nèi)部其他服務(wù)器的跳板。攻擊的方式包括：安裝惡意的 DHCP 服務(wù)器、惡意路由器或網(wǎng)絡(luò)竊聽器。這類資料中心攻擊將會是今日大規(guī)模網(wǎng)站入侵的進(jìn)階翻版。

不安全的管理系統(tǒng)

Hypervisor 是負(fù)責(zé)讓多個虛擬機(jī)器在同一臺電腦上執(zhí)行的軟件元件。Hypervisor 不僅帶來了新的能力，也帶來新的計算風(fēng)險。隨著虛擬化逐漸成為主流，尋找新的方法來發(fā)掘風(fēng)險并且保護(hù)這些新的基礎(chǔ)架構(gòu)，將越來越為重要。而處于所有虛擬化方法中心的 Hypervisor，就是一個核心風(fēng)險領(lǐng)域。

Hypervisor 可以完全掌控硬件上所執(zhí)行的所有虛擬機(jī)器，因此，理所當(dāng)然成為攻擊目標(biāo)之一。Hypervisor 的保護(hù)極為重要，而且比表面上看來更加復(fù)雜。

虛擬機(jī)器會透過幾種不同的方法對 Hypervisor 發(fā)出請求，通常的作法是呼叫應(yīng)用程序開發(fā)介面 (API)。另外，還有一組 API 可以讓主機(jī)用來管理虛擬機(jī)器。這些 API 是惡意程序碼攻擊的首要目標(biāo)，因此，所有虛擬化廠商都針對 API 的安全性下了不少功夫，僅接受真正來自虛擬機(jī)器 (也就是通過驗證與授權(quán)) 的請求。這項功能非常關(guān)鍵。但必須特別注意，速度是所有 Hypervisor 最重要的條件之一，不能因此而犧牲整體效能。

針對這些管理系統(tǒng)的攻擊案例已經(jīng)出現(xiàn)在 HyperVM/Lxlabs 事件，在該次事件當(dāng)中，因為控制虛擬服務(wù)器的管理系統(tǒng)出現(xiàn)漏洞而導(dǎo)致 30,000 個英國網(wǎng)站消失。

某些虛擬化廠商已經(jīng)將其 API 公開，例如 Amazon Web Services，這當(dāng)然會成為網(wǎng)絡(luò)犯罪者有興趣的攻擊目標(biāo)。至于尚未將 API 公開的廠商 (如 vSphere)，雖然通常不會暴露在外，但還是可能成為邊界內(nèi)惡意程序的攻擊目標(biāo)。

從 API 的修改速度以及目前廠商爭相上市的情況來看，這些管理系統(tǒng)未來有可能出現(xiàn)安全問題。

阻斷服務(wù)

當(dāng)企業(yè)采用云計算時，不論采用公共云或者采用從私人云延伸至公共云的 cloudburst 模式來處理工作負(fù)載，都存在著所謂的阻斷服務(wù) (DoS) 風(fēng)險，也就是無法區(qū)分惡意 DDoS 流量與正常流量，企業(yè)若要應(yīng)付這類負(fù)載激增的狀況就必須花費(fèi)成本。

更高的抽象化與脆弱的技術(shù)

邊界閘道協(xié)定 (Border Gateway Protocol，簡稱 BGP)、DNS 以及安全連接口層 (Secure Sockets Layer，SSL) 等等都是一些層層重疊的技術(shù)。這些技術(shù)都是在安全還不成問題的時代開發(fā)出來的，但現(xiàn)在卻被迫必須在當(dāng)時從未預(yù)料的更大負(fù)載下運(yùn)作。如果資料中心以及公共/私人云執(zhí)行的復(fù)雜應(yīng)用程序沒有將漏洞修補(bǔ)完整，這些技術(shù)可能有一天會出現(xiàn)危險。

(注) Cloud Computing Standards, Dream Vs. Reality (云計算標(biāo)準(zhǔn)：夢想與現(xiàn)實) (http://cloudsecurity.trendmicro.com/cloud-computing-standards-dream-vs-reality/)

新的邊界閘道協(xié)定攻擊技巧

全球路由基礎(chǔ)架構(gòu)的穩(wěn)定性與安全性疑慮將持續(xù)到 2010 年及未來。2008 年 2 月，我們看到由國家在背后支持的 IP Prefix 挾持事件17 。之后，在 2009 年 2 月，捷克的一家小型網(wǎng)際網(wǎng)絡(luò)廠商在網(wǎng)絡(luò)上散播很長的 ASpath (路由器自治系統(tǒng)路徑)，因而引發(fā)鄰近的路由器當(dāng)機(jī)，造成大規(guī)模網(wǎng)絡(luò)中斷。雖然目前很少有蓄意性的攻擊，但路由器組態(tài)設(shè)定錯誤和路由器軟件潛伏的錯誤，將在 2010 年以及未來將可能會造成風(fēng)險。

雖然目前很少有蓄意性的攻擊，但路由器組態(tài)設(shè)定錯誤和路由器軟件潛伏的錯誤，將在 2010 年以及未來將可能會造成風(fēng)險。(tyrael)

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： ddos dns Google ssl 安全 大數(shù)據(jù) 防火墻 服務(wù)器 漏洞 權(quán)限 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 信息安全 虛擬服務(wù)器 域名 云服務(wù) 云計算 云計算的服務(wù)模式 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。