浅析与云基础架构相关的风险 及对应防御措施

基于云环境的系统与其他托管模式具有相同的风险水平，但也增加了特定于云托管的风 险。基于云环境的系统应该像任何其他外包平台一样进行处理和管理，与外部托管环境具有 相同类型的关注点、风险和审计、治理要求。

风险评估与分析

云托管环境具有与所有系统和应用程序相同的风险领域，其中特定于云计算的风险位于 这些风险之上，或者在这些风险之上延伸的关键方面。
从组织、法规要求的角度看，存在与锁定(Lock-in)、治理、数据安全、隐私以及系统或 应用程序所需的任何法规要求的控制措施和报告相关的风险。云托管模型的最大好处之一是 可移植性以及在云服务提供商之间随意移动的能力。如果组织选择了一家有很高适应性要求 的特定云服务提供商，那么该组织可能面临云服务提供商锁定的窘境，并在以后决定移动时 可能会产生大量成本。
在签署任何外部托管合约后，组织都会失去对自有系统和治理的实质性控制权。即使有强大的合同和SLA要求，组织的控制和访问级别也将低于其在自有私有数据中心内的水平。 根据应用程序和数据类型的监管合规要求，云服务提供商的选择可能会受到限制，甚至根本 行不通。云服务提供商必须以其业务模式为大量云客户提供服务，这也使遵守多种类型的认 证和要求变得更困难。对于任何组织而言，首要问题是组织的数据将存储在哪里，以及是否 有足够的保护措施来确保组织数据的机密性和完整性。 云环境对正常的治理工作提出了许多挑战。由于可能出现的电子取证(eDiscovery)需求 （取决于数据的性质和类型）而变得更加复杂，许多云服务提供商可能无法或不愿满足电子取 证等强制要求。在做出云托管决策之前，需要仔细评价和权衡所有因素。

电子取证是法律实体请求或要求在刑事或民事诉讼中提供电子数据的流 程。应用程序或系统所有方有责任彻底分析和搜索范围内与官方要求相关的数据， 然后向法律实体提供证据完整且安全的证明。 除了在任何托管环境中发挥作用的风险因素外，在本质上，云环境还有其他一些独特因 素。云环境中的一个主要风险是确保在必要时可以从系统中完全移除(Remove)数据。在传统数据中心内，可采用毁坏(Destroy)物理介质的方式以确保数据销毁 (Destruction)，但这在云环境中无法实现，因此，云环境大量使用加密擦除技术和覆写等技术。 与数据保护相同的是云环境中系统镜像的安全性。因为镜像本身只是文件系统中的文件，没 有任何服务器的物理隔离，再加上即使镜像没有运行，也可能向镜像中注入恶意软件，因此 在云环境中，镜像的安全性变得非常重要，在云环境中，云服务提供商全权负责保证镜像的 安全性。
在云计算的自助服务方面，云环境的运转涉及大量工具软件，从镜像创建和部署到审计 和报告工具，再到用户管理和密钥管理。从完整的应用程序套件到小型实用程序脚本，整个 环境中的每个软件都会带来固有的破坏风险和漏洞。云环境的工具软件极易从云客户的可见 性和检查流程中忽略，云客户认为工具软件的安全性完全应由云服务提供商负责。因为这通 常发生在云系统的运行时环境之外。许多情况下，审计和持续监测中会忽略这类工具软件， 云安全专家在选择云服务提供商时应执行尽职调查，以确保云服务提供商意识到与工具软件 相关的风险，并建立强大的审计能力以及持续监测策略和制度。运行实际虚拟主机的底层软 件当然也容易受到危害和漏洞的影响，但是，如果没有合理地实施 和监测安全控制措施，那么可能导致其他系统的安全性和访问中断。

虚拟化风险

随着虚拟化的层次和复杂性的增加，也带来了传统服务器模型所没有的额外风险。 如果虚拟机管理程序以任何方式受到破坏，那么虚拟机管理程序所承载的底层虚拟机也 会受到攻击。因为虚拟机管理程序可以控制主机及其对计算资源的访问，所以，对于托管在 虚拟机管理程序下或由虚拟机管理程序控制的任何虚拟机而言，很明显可能出现恶意软件注 入和开放式攻击向量。
除了连接到虚拟机管理程序的虚拟机之外，由于虚拟机管理程序在云基础架构中扮演着 核心角色，遭到破坏的虚拟机管理程序还可用来攻击同一个云环境中的其他虚拟机管理程序 或组件。遭到破坏的虚拟机管理程序也可作为一个跳板来破坏由云环境可访问的其他虚拟机 管理程序托管的虚拟机。
虚拟化的另一大风险涉及如何处理、监测和记录网络流量。对于具有物理服务器的数据 中心的传统网络。服务器之间的通信必须通过物理网络设备（如交换机）；即使对于同一物理 机架空间内的服务器，也同样如此。在这个传输过程中，可记录和分析网络流量，如有必要， 可以使用入侵检测系统(InnusionDetection System, IDS)，并对实际的网络流量和安全措施实 施更多的控制。在虚拟化环境中，在同一个虚拟机管理程序下的虚拟主机之间，可能存在这 种类型的传输，在这种传输中可执行分析活动或实现日志记录。如果在虚拟化环境中出现这 种情况，则必须将其视为可接受的风险，或者需要设计和实施其他方法来保持相同的分析和 安全持续监测级别。随着云和虚拟化环境的普及和使用，特别是大型和可见的生产系统，大 多数主要供应商现在提供传统物理网络设备的虚拟化版本，如交换机、防火墙和IDS等。
与传统服务器模型相比，虚拟化环境的一个显著区别和潜在缺点是镜像和虚拟机的存储 和操作方式。对于传统服务器模型，操作系统部署在底层硬件上，并与之直接交互。但在虚 拟化环境中，”服务器”只不过是以某种方式驻留在实际文件系统上的磁盘镜像。当虚拟主机 启动并运行时，根据其操作系统和补偿安全控制措施，虚拟主机很容易受到与物理主机相同 的所有类型的攻击和漏洞。但由于环境中存在的磁盘镜像的本质，如果磁盘镜像本身受到来 自虚拟机管理程序和文件系统端的攻击，则存在额外的漏洞。从这个攻击向量看，没有任何 补偿安全控制措施或持续监测可有效减轻攻击，特别是因为这种方法不依赖于镜像的实时 运行。
大部分注意力应该放在实际运行时环境和数据保护上。然而， 确保云服务提供商采取实质性措施来保护虚拟化环境和保护虚拟机管理程序层，以 及实施强大的安全控制措施和持续监测来确保虚拟镜像在文件系统级别处于活动或 非活动状态时不能修改，这一点不容忽视。

安全对策战略

虽然云计算的独特挑战和额外风险是众所周知的，许多缓解策略也已成为常见的最佳 实践。
云平台在资源调配和报告之间提供的高度自动化，也可运用于安全控制措施的实现。随 着系统自动伸缩和扩展，通过对已加固和扫描的虚拟主机使用基本镜像，可确保新主机在联机时已经以与基线完全相同的方式实施保护。同样的方法也可运用于云框架中开展补丁和更 新。与执行升级和大规模自动补丁（这需要扫描和审计以确保正确和全面地运用所有内容）不 同，云服务提供商可选择使用已打补丁且经过测试的新基线镜像重新镜像主机。与打补丁和 测试数于台主机不同，工作可集中在一台主机上，然后跨云部署到其他所有主机上。
云环境设计成具有冗余、自动伸缩和快速弹性的高可用性。云环境架构设计使得在可能 发生安全漏洞时对主机实施修补、维护和隔离变得更容易，云主机可随时从生产池中删除。 云环境架构还允许在不影响系统或应用程序的客户和用户的情况下更新、扫描以及完成配置 变更，从而降低可用性风险。

更多关于云计算安全相关的内容 可以参考
CSA 云应用安全技术规范
CSA 云计算的顶级威胁：深度分析