[F10_WebFund] POST3 498512461 談雲端資安

 

雲端簡介;

 

「一言以蔽之,所謂的雲端運算就是將服務搬移到雲上(service onto the cloud)。」Google台灣區總經理簡立峰說。

 

雲端運算(英文:Cloud computing),是一種基於網際網路的運算方式,透過這種方式,共享的軟硬體資源和資訊可以按需提供給電腦和其他裝置。整個執行方式很像電網。


「雲端運算」=「網路」=「網路運算」。「雲端運算」不是「新技術」或「技術」。「雲端運算」是一種概念,代表的是利用網路使電腦能夠彼此合作或使服務更無遠弗屆。在實現「概念」的過程中,產生出相應的「技術」。

「雲端運算」的概念事實上也不算新,其本質大抵承襲自「分散式運算」(Distributed Computing)以及「「網格運算」」(Grid Computing)這兩位老前輩。在進一步窺探雲中的奧秘之前,先讓我們來認識其源頭。

所謂「分散式運算」,顧名思義,就是將大型工作區分成小塊後,分別交由眾多電腦各自進行運算再彙整結果,以完成單一電腦無力勝任的工作。

而「「網格運算」」則是分散式運算加以延伸的一支,其主要特點在於將各種不同平台、不同架構、不同等級的電腦透過分散式運算的方式做整合運用。所謂的「網格」指的則是以公開的基準處理分散各處的資料。

 

所謂「雲端」其實就是泛指「網路」,名稱來自工程師在繪製示意圖時,常以一朵雲來代表「網路」。因此,「「雲端運算」」用白話文講就是「網路運算」。舉凡運用網路溝通多台電腦的運算工作,或是透過網路連線取得由遠端主機提供的服務等,都可以算是一種「「雲端運算」」。

 

 

以上節自 淺談雲端運算 (Cloud Computing)

http://www.cc.ntu.edu.tw/chinese/epaper/0008/20090320_8008.htm

 

雲端運算技術現在被廣泛的應用,上到企業、醫療等組織,下到我們也有在使用的

搜尋引擎、網路信箱、MSN等都有應用到這項技術,雲端可以說是與我們密切相關的了

在此同時,既然它是網路技術的一種,不免讓人擔心它的安全性。


2009年下旬發生了幾起令人矚目的雲端運算災難事件,包括:Sidekick 服務中斷、Amazon EC2 遭到阻斷服務攻擊,以及 Google 電子郵件服務中斷。事件過後,有些人開始對雲端運算模式發出了質疑的聲音。

--------------------------------------------------------------------------------

 

大家都知道,網路犯罪的手法層出不窮,而且非常靈活,他們的攻擊技巧高明,經常改變策略,善於掌握最新的技術趨勢。所以,某些攻擊策略或許還是可行:

• 掌控到雲端的連線。網路犯罪者只要對作業系統動一點手腳,稍微修改一下 DNS 記錄, 就能讓使用者在連上網頁應用程式時,先轉往地下惡意網站,然後才到達自己的網頁應用程式頁面。只要是無法完全封鎖通訊管道,使用者的資料就可能完全曝光。 即使有 IPv6、加密、憑證等保護措施,這還是一個可能的攻擊方式。

• 攻擊雲端本身。如果雲端式應用程式以及雲端式作業系統成為主流,那麼 99.99% 的可用性就是絕對必要。一部無法存取主機資訊和應用程式的電腦就等於廢物。攻擊者有可能利用標準的殭屍網路/傀儡網路 Botnet (未來十年之內應該還會看到採用多用途標準作業系統的殭屍網路/傀儡網路 Botnet感染電腦) 來讓雲端基礎架構上的主機超載而癱瘓。或者,駭客也可能「要求」業者必須給予小額「樂捐」才能讓已經癱瘓的雲端主機恢復營運。這些對網路犯罪者來說,想必 是利潤豐厚的生意。

這類攻擊手法事實上已經出現,只是規模不大而已,但是,一旦駭客目前的手法 (先讓桌上型電腦感染惡意程式然後再用於非法用途) 經濟誘因不再 (無法再找到足夠的受害者),自然會有另外一種取而代之的方法出現。

資料中心攻擊 

目 前遭到入侵的網站數量已經多到足以令人擔憂。這些網站不是用於散播惡意程式、漏洞攻擊,就是用於接收駭客所竊取的資訊。而相關的網頁代管服務供應商缺乏安 全管制,也讓這個問題無法妥善解決。不幸的是,這些遭到滲透的網站,還可能被用來當作攻擊資料中心內部其他伺服器的跳板。攻擊的方式包括:安裝惡意的 DHCP 伺服器、惡意路由器或網路竊聽器。這類資料中心攻擊將會是今日大規模網站入侵的進階翻版。 

不安全的管理系統 

Hypervisor 是負責讓多個虛擬機器在同一台電腦上執行的軟體元件。Hypervisor 不僅帶來了新的能力,也帶來新的運算風險。隨著虛擬化逐漸成為主流,尋找新的方法來發掘風險並且保護這些新的基礎架構,將越來越為重要。而處於所有虛擬化方法中心的 Hypervisor,就是一個核心風險領域。 

Hypervisor 可以完全掌控硬體上所執行的所有虛擬機器,因此,理所當然成為攻擊目標之一。Hypervisor 的保護極為重要,而且比表面上看來更加複雜。 

虛擬機器會透過幾種不同的方法對 Hypervisor 發出請求,通常的作法是呼叫應用程式開發介面 (API)。另外,還有一組 API 可以讓主機用來管理虛擬機器。這些 API 是惡意程式碼攻擊的首要目標,因此,所有虛擬化廠商都針對 API 的安全性下了不少功夫,僅接受真正來自虛擬機器 (也就是通過驗證與授權) 的請求。這項功能非常關鍵。但必須特別注意,速度是所有 Hypervisor 最重要的條件之一,不能因此而犧牲整體效能。 

針對這些管理系統的攻擊案例已經出現在 HyperVM/Lxlabs 事件,在該次事件當中,因為控制虛擬伺服器的管理系統出現漏洞而導致 30,000 個英國網站消失。 

  

  

 

以上節自http://tw.trendmicro.com/tw/support/tech-support/board/trend/article/200...

 

除了外來的惡意攻擊外,關於雲端安全性的考量,還有下列幾點:

(1)除了你或你允許的對象之外,誰會看到資料?

(2)如果忘記付款,資料是否會突然刪除?

(3)雲端運算是否備份你的資料? 如果是的話,備份資料會不會外洩?

(4)這個雲端運算的提供者,會不會哪天變成你的兢爭對手?

(5)雲端運算到底儲存在哪裡? 原本有法律保障資料安全,但是如果儲存地點的法律不同呢?

(6)雲端運算對你有何限制? 會不會因為某些條款而判定你的資料必須刪除或其他處理?

(7)存取控制權如何運作的? 如果帳號密碼被盜用,是否可能資料全部不保? 如何限制或取回員工的存取?

(8)如果使用雲端運算的郵件服務,是否能夠提供沒有廣告信的服務?

(9)是否有移轉策略? 如果對於雲端運算服務不滿意,是否能夠安全的移轉?

 

以上幾點問題,都還有待雲端的技術人員克服

 

今年的資安技術高峰會也將焦點放在雲端上(詳見http://tw.news.yahoo.com/article/url/d/a/101126/58/2hw0p.html)

 

 

從上文來看,雲端也並非百分之百安全,甚至可以說相當具有風險,因為你的資料都放在網路上

,一旦發生問題導致資料消失甚至外流,那真的是欲哭無淚了。然而,隨著網路的普及,雲端的發展已經是勢在必行了,對於這方面的知識和技術,應該會有高度的需求才是。