云計(jì)算引安全危機(jī) 如何破局成謎團(tuán)

　　2014年7月10日消息，當(dāng)企業(yè)不斷加快云技術(shù)的落地步伐，采用基礎(chǔ)設(shè)施即服務(wù)（IaaS）或軟件即服務(wù)（SaaS）等新技術(shù)時(shí)，它們尋找解決方案在云架構(gòu)當(dāng)中實(shí)現(xiàn)安全訪問(wèn)和可靠操作的需求也日益凸顯。目前看來(lái)，由于企業(yè)數(shù)據(jù)保存在不同的設(shè)備當(dāng)中，這些設(shè)備是由不同的提供商或合作伙伴提供，因此企業(yè)必須監(jiān)控和保護(hù)全新的“安全邊界”。同樣，仔細(xì)權(quán)衡如何保護(hù)基于云計(jì)算的數(shù)據(jù)也應(yīng)該作為企業(yè)整體安全策略的一部分納入到企業(yè)的考慮范圍。而保護(hù)應(yīng)用免受分布式拒絕服務(wù)（DDoS）攻擊的影響則是最值得關(guān)注的事。

　　在不久前發(fā)生的針對(duì)源代碼托管供應(yīng)商Code Spaces的真實(shí)攻擊案例中，攻擊者利用組合工具入侵了Code Spaces基于亞馬遜Web服務(wù)（AWS）的整體架構(gòu)。該威脅始于攻擊者嘗試?yán)账鰿ode Spaces，并以此作為停止對(duì)其發(fā)起的多載體DDoS攻擊的交換條件。最后，攻擊者控制了Code Spaces AWS控制臺(tái)，幾乎刪除了所有存儲(chǔ)在云中的數(shù)據(jù)。由此產(chǎn)生的因數(shù)據(jù)丟失和為SLA補(bǔ)救措施而付出的代價(jià)將使Code Spaces公司無(wú)法再運(yùn)營(yíng)下去。

　　這樣的結(jié)果雖不太常見(jiàn)，但是說(shuō)明了一個(gè)重要問(wèn)題：如果企業(yè)計(jì)劃遷移至云中，其中一步要做的就是制訂嚴(yán)密的計(jì)劃來(lái)應(yīng)對(duì)DDoS攻擊的泛濫及其不斷增加的威脅。多數(shù)企業(yè)都不相信自己會(huì)成為DDoS攻擊的受害者，因此在制定IT預(yù)算時(shí)，部署適當(dāng)?shù)姆烙�措施總是被放在預(yù)算優(yōu)先表項(xiàng)的末尾。事實(shí)上，多數(shù)企業(yè)都缺乏檢測(cè)工具，因而不清楚有多少攻擊已經(jīng)成功入侵了自己的數(shù)字資產(chǎn)。IaaS和SaaS提供商應(yīng)該可以創(chuàng)建堅(jiān)固的安全防御機(jī)制，以幫助企業(yè)應(yīng)對(duì)DDoS攻擊。

　　客戶在主動(dòng)采取相應(yīng)防御措施的同時(shí)還應(yīng)該對(duì)云提供商DDoS緩解能力的進(jìn)行評(píng)估。Radware云服務(wù)總監(jiān)Bill Lowry長(zhǎng)期以來(lái)都致力于云計(jì)算的研究，他在其發(fā)表的文章中指出了在基于云的解決方案中應(yīng)用DDoS緩解策略時(shí)會(huì)遇到的問(wèn)題，也闡述了云計(jì)算的五大亟待解決的安全問(wèn)題。

　　防護(hù)新的企業(yè)邊界

　　過(guò)去，企業(yè)只需將安全重心放在保護(hù)數(shù)據(jù)中心的出口上。采用云技術(shù)就意味著企業(yè)數(shù)據(jù)和應(yīng)用會(huì)分發(fā)到多個(gè)數(shù)據(jù)中心，這就為企業(yè)創(chuàng)建了新的安全邊界，企業(yè)要在更多的地方實(shí)施防護(hù)。那么企業(yè)該如何在所有保存企業(yè)數(shù)據(jù)的地方防御攻擊呢？

　　技術(shù)實(shí)現(xiàn)方式：許多云服務(wù)提供商測(cè)試或部署了可以檢測(cè)分布式拒絕服務(wù)攻擊的技術(shù)，但是多數(shù)技術(shù)都是基于網(wǎng)絡(luò)采樣數(shù)據(jù)實(shí)現(xiàn)的。內(nèi)聯(lián)部署可以檢測(cè)所有的入站和出站流量，提供最全面的檢測(cè)和DDoS攻擊緩解措施。用戶在評(píng)估云服務(wù)提供商時(shí)，還要了解他們使用何種工具進(jìn)行DDoS檢測(cè)。

　　維護(hù)可用性

　　就定義來(lái)看，云技術(shù)是一種遠(yuǎn)程訪問(wèn)技術(shù)。如果企業(yè)的云服務(wù)提供商遭遇了嚴(yán)重的DDoS攻擊，對(duì)服務(wù)的網(wǎng)絡(luò)訪問(wèn)遭到禁止，這等同于企業(yè)應(yīng)用被“宕機(jī)”了。企業(yè)的云服務(wù)提供商又要采取什么措施來(lái)防止這種情況發(fā)生在企業(yè)身上呢？

　　技術(shù)實(shí)現(xiàn)方式：云服務(wù)提供商應(yīng)該部署云端和本地DDoS組合緩解工具。這種混合方法可以提供最佳的可用防護(hù)：本地部署的硬件可以檢測(cè)并緩解攻擊，同時(shí)還能自動(dòng)將攻擊流量轉(zhuǎn)移至云端清洗中心。清洗中心必須可以處理幾百Gb大小的攻擊，從而改善云服務(wù)提供商保護(hù)企業(yè)資源和業(yè)務(wù)運(yùn)行的能力。