当云攻击发生时:云服务商提高云的安全性的5种办法[网络技术]

安全研究者们说:像亚马逊那样的云计算服务供应商们必必要避免它们强盛的计算本领被不法的攻击所操纵.那么,什么样安全办法可以避免云成为犯罪者的天堂呢?

想要攻击其他人的犯罪者可以租用已经被掌握的计算机网络或僵尸网络,或其他犯罪者在地下的社区中供应的服务.在它们自己的范畴中,这些资源也被当作了"云",但是安全研究者们告诫说:合理的云服务供应商也必必要避免它们强盛的计算本领被不法的攻击者所操纵.

在8月召开的DEFCON黑客大会上,在一个演示中,两个研究者做了这样的事情:Trustwave的David Bryan和NetSPI的Michael Anderson成立了几个虚拟服务器来攻击一个小型的财政公司——这个客户但愿测试自己对这样的攻击的防备本领.这两个研究者并没有租用其他犯罪者供应的僵尸网络,而是利用亚马逊供应的Elastic Computing Cloud (EC2)租用了不到一打的虚拟服务器,通过流量来堵塞攻击目标的网络.

这两个研究者表示:并没有什么迹象表明亚马逊探测到了这次攻击.同时,他们号令全部的云服务供应商们,在监控资源的利用方法方面,要多加注意.

Trustwave的Bryan说:"在它变得一发不可整理之前,让我们先办理掉它."

固然亚马逊并没有抓到那两个特定的安全研究者,但是亚马逊表示,在云中,要抓到那些坏家伙是很简单的.

在一份发送给CIO.com的声明中,亚马逊表示:"在云呈现从前,通过互联网举行的违法犯罪活动就已经相当广泛了.那些不法利用者们挑选在Amazon EC2环境中运行他们的软件,只会让我们更简单地拜候和禁用他们的软件.关于整个互联网来说,这是一个庞大的改良,在云环境中,不法利用的主机不能被拜候,并且,这种情形会持续很长时间."

但是,在这种情形下,公司必必要监控它们自己的云空间.

下面是亚马逊和其他的云服务供应商们供应的一些安全战略.

1,让客户更便利,就是让攻击者更便利

惠普（Hewlett-Packard）负责Secure Advantage与Cloud Security的首席技术官 Archie Reed说:"优异的云服务应当让云资源更便利消费者和内部的客户利用.但是,这些优异的特点也很简单被攻击者们操纵."

Reed说:"我们给云供应的全部优异的特点,特别是给公有云供应的全部优异的特点——包含相对较低的本钱,instant provisioning,以及在任什么时刻间,任何地址都能拜候云服务的本领.全部这些优异的特点可以被任何一个人操纵——只要他有相关的知识,并且他但愿这样做."

与其做出决意关闭那些信息不完好的潜在客户的账户,倒不如少做一些黑白清楚的挑选.与其禁止一个潜在的恶意用户,倒不如操纵惠普的技术限制他们的带宽.这就是惠普的战略.

Reed说:"我们正在和客户们一同勤奋,来检测各种可疑的行为,为了让客户更快地做出反映,我们特地让一些事情慢了下来.你不要关闭客户们的账户,但是你也不要给各种恶意行为供应主机服务."

2,从第一天起就把安全性考虑在内

来自于Trustwave和NetSPI的研究者的回绝服务攻击,在最顶峰的时刻可以到达150MB/s.在两个多小时里,他们一共发送了大约10GB的数据,本钱不到6美金.

他们认为,这样的恶意行为应当被探测到.

固然亚马逊并没有对这次的事件做出任何的评论,但是亚马逊表示,给云供应必要的安全办法是很重要的——它的工程师一向在做这样的事情.

在一个声明中,亚马逊表示:"供应按需分配的底子设备,同时供应安全断绝,和在公司现有的私有环境下并没有什么本质性的差别."

3,把全部事情都记录在日记里

目前,全部公司都应当投资的一种技术是日记管理.在近来的Data Breach Investigations Report中,Verizon公司发现:90%以上对企业的攻击都可以反映在日记数据里,但是只有不到5%的公司监控这些普通足以探测到各种攻击的数据.

基于云的日记管理公司Loggly的创始人兼首席运营官 Raffael Marty说:"实现日记管理对每个人来说都很重要,特别是在你的数据中央里.你必必要管理已经发生的一些事情的日记,这不但仅是为了服从SLA（service level agreement）,也是为了安全性."

他说:"云服务供应商们（比方:亚马逊）,应当专门开辟一些技术,以便于更快地从日记中汇集信息."

4,不只是计算要具有可扩大性,安全也要具有可扩大性

亚马逊表示:"云计算的一个主要的上风是:大型的供应商们可以操纵经济规模的上风,供应低本钱的虚拟系统.但是,供应商们也不得不供应呼应的可扩大性,来更好地保护它们的资源."

亚马逊公司说:"宏大的经济规模可以让我们供应低本钱的,机动的服务,同时,可以让我们构建有效的,可扩大的防护."

和其他没有这样的经济规模的公司相比,亚马逊可以在安全方面投入更多地资金.利用亚马逊供应的API,一个负责安全或操作的人员可以辨认出运行在云中的每个机械实例.

5,察看那些已经变坏的客户

云安全同盟表示:在云系统上,最常见的攻击是账户劫持.在云安全同盟2010年3月做出一份报告中,在全部和云计算相关的顶级威胁中,云资源的不法利用是最危险的.但是在列出的威胁中,有六个触及到攻击者对账户的不法利用.

惠普的Reed倡议全部云服务供应商利用双重认证来限制账户劫持.

Reed说:"云服务供应商们必必要供应普通水平的防护,来保护它们的底子设备和品牌.目前攻击者们知道你可以得到什么——不但是从亚马逊得到一本书那么简单了,而是整个计算环境,那些账户成为了攻击目标."