云安全能否经得起市场考验
和讯网 13年03月14日 11:38 【转载】 作者:和讯网 责任编辑:王雪杨
“苹果iCloud账户资料会泄露吗?”、“东西放在金山快盘安全吗?”、“百度云网盘安不安全?”……在搜索引擎上输入当下知名公有云服务的信息,总是能在搜索结果中看到这样的问题。在互联网APT攻击愈演愈烈的今天,用户对云服务安全性的信任度似乎还远没有达到云服务商的预期。这些“不安”因素,也在影响公有云服务的大好前景。
几年来,公有云服务遭黑客攻击造成海量用户数据泄露的事件接连不断:索尼云服务网站遇黑客攻击导致1亿用户的个人信息被窃,苹果iCloud账户信息泄露遭用户抱怨,谷歌Gmail服务被攻击泄露用户信息……近期,云计算笔记应用Evernote(印象笔记)也遭遇了相同的厄运,导致其5000万用户受到数据泄露风险威胁,Evernote还因此被迫要求其用户重置密码。类似事件的持续爆发,再度引发了人们对公有云服务安全问题的热议,公有云服务确保数据安全的能力也开始受到拷问。
因黑客攻击可能导致大量用户名、电子邮件地址和加密密码泄露,云计算笔记应用服务商Evernote近日向5000万用户发出了重置密码的通知。网络攻击正在集中火力锁定公有云,人们对云服务安全性的怀疑情绪再度升温。公有云服务,如何才能安全地走下去?
“改密码”能解决问题吗
受到数据泄露威胁的用户,主要是Evernote国际版用户。Evernote方面表示,其信息安全团队在Evernote网络上发现了有组织的恶意攻击,疑似企图入侵Evernote Service的安全区域。但在随后展开的调查中,他们还未发现用户存储在Evernote上的任何内容有被非法读取、更改或遗失的迹象。针对用户的支付信息,也没有发现任何非法访问的痕迹。但由于黑客“有可能”访问了一些与账户相关的用户名、电子邮件地址以及Evernote的加密密码,所以Evernote“建议”用户更改密码,以免遭受损失。
在事件发生后,Evernote曾在其登录界面上通过“跳出提示”的方法提醒用户重置密码。但很快,这种做法就被一种相对“怀柔”的方法取代了。经记者测试发现,目前只是在自动退出之前的登录状态时,才要求用户重新登录。但重新登录时,原来的密码便会失效,用户不得不点击找回密码链接重设密码。
作为知名云服务商,Evernote希望尽快隐蔽地化解此事件的心态可以理解,但用户的抱怨情绪却没有那么容易熄灭。一次黑客攻击便足以影响到全部用户,甚至需要所有用户修改密码,在云服务遭受黑客攻击的案例中,这样的问题总在重复。安全级别看似极高的云服务,为何如此脆弱?
“对黑客而言,云服务商最具价值的信息就是用户信息数据库。因为掌握了登录认证信息,就意味着可以掌握用户的全部数据。黑客攻击一个10M的数据库,就足以让其获得T级容量的用户数据,这必然会吸引黑客瞄准存储用户身份认证信息的数据库。”BlueCoat安全专家申强告诉记者,今天大量的公有云服务对用户认证信息的保护,依旧在采取“强加密,弱认证”的安全防护模式,数据的加密做得已经足够好了,但对服务和用户的认证还远远不够。很多面向消费类用户的云服务还是在采取基于用户名、口令的认证模式,一些用户登录信息甚至还在使用明文存储,这等于把最关键的数据暴露给了黑客。一旦黑客获取了用户信息数据库中的数据,数据泄露的风险自然会波及海量用户。
“我们的团队在服务过程中发现,云服务商最看重的是自身所能提供的应用服务内容,安全问题往往最后才会去考虑,这种侥幸心态是不可取的,等尝到网络攻击的苦头后才回头补救,对用户而言也是极不负责的。”Radware安全专家姚宏洲指出,除了数据窃取及篡改外,云服务商对保障服务可用性的安全问题也关注不足。例如DoS/DDoS攻击在全球愈演愈烈,众多行业均被波及,这种消耗资源型的网络攻击对云服务也是极大的威胁。
多方责任制下的安全杂症
根据行业统计,当前被曝光的企业数据泄露事件不足10%。因为数据泄露问题如果发生在企业内部,很多问题可以自我消化。但如果同样的事件发生在公有云服务商的身上,几乎100%被曝光。
安全防护的目标永远都是将风险控制到足够小,云服务商同样无法做到100%的安全。申强告诉记者,没有高等级的安全防护措施,公有云服务商很难说服用户去使用其所提供的服务,所以当前公有云服务对数据安全的重视度往往极高。今天可以在企业内部数据中心看到的所有安全措施、安全策略以及安全等级标准,实际在云服务数据中心中至少是被复制和重现的。“可以说,云安全服务商已经做到了企业级安全能够做到的安全级别,甚至还会更高。但是在云中,却很难达到企业级数据安全等级保护的同等效果。”
他指出,如果单纯从安全保护策略的角度看,云服务数据中心和企业内部的数据中心并没有本质上的区别。和企业内部的安全问题相比,公有云安全问题的复杂性更多体现在责任的界定上。因为云服务的安全责任已经被不同的组织拆解,各自为政。
“云服务数据中心和企业的私有数据中心相比,两者都是从四个层面来实现数据保护的:数据的安全,系统层面的安全,网络传输层面的安全以及用户终端的安全。在企业内部,这四部分的安全规划都是由企业自己完成的。但在公有云环境中,数据、系统的安全问题要由云服务商负责,网络传输部分的安全防护则要由企业和运营商共同承担,用户终端的安全则是由用户个人或企业来管理。这就会形成一种挑战:如何让各部分贯彻统一的安全策略,实现全网的安全。这是和传统企业安全最大的不同。
企业安全问题可以去统筹考虑,实现安全策略端到端的贯彻,但云服务却难以实现。所以,不是云服务的安全等级不够,而是难以被各责任方统一贯彻。
申强表示:“在发生安全问题时,责任的界定出现了多方关系。这是让云服务安全问题更复杂的根源。当企业开始广泛使用公有云服务的时候,必然会提出一个问题,那就是云服务商数据和系统安全的策略,是否和企业的策略是一致的。反之,云服务商做到了数据高等级安全防护,但数据在被用户所使用的时候遭到攻击,用户的客户端被攻击,黑客同样有可能借助用户端攻击云系统盗取数据。”
云服务如何安全地走下去
目前,金山、华为、百度等企业都推出了“网盘”、“快盘”类的云存储服务。但只有华为网盘称其能实现类似银行数据安全级别的云服务。
据华为网盘技术总监余斌介绍,华为网盘的经验是在整个架构设计上考虑“端到端”的安全设计,包括端(客户端,手机、PC等)、管(传输网络)、云(服务器、存储等安全)的安全。比如客户端的加密存储、重要数据传输采用安全协议(HTTPS)、服务端需要考虑防攻击和有效授权访问等。云服务在安全体系架构设计上则需要满足用户的两个需求:第一是数据不被窃取,第二是即使被窃取了也无法查看。需求一应以多重认证等手段来保障数据只能被有权限的用户查阅;需求二则是通过安全的加密算法对数据进行加密存储,确保无法破解。
从面向个人用户的服务转换到面向企业的服务,公有云安全如何做到多责任方最终的统一、协作也是很关键问题。公有云服务商不仅要敲开企业级市场的大门,还要迈过这道门槛。
申强认为,让企业广泛接受公有云应用的前提,一定是云服务商所提供的安全服务,能与企业内部原有的端到端的安全策略实现对接。
“云服务要与企业内部的安全级别,安全措施,使用习惯保持一致,才能有利于云服务商在不改变企业现有安全架构的基础上,让企业接受云服务。当前,一些云服务商推出的、基于虚拟化技术的、可让企业用户自行配置安全策略的服务方案,就是一种有益的尝试。”他表示。