CobiNet(寧波)推薦文章:
與陌生人共享內(nèi)存和磁盤空間,讓軟件來強化安全性 還有什么可能會出錯呢?雖然安全專業(yè)人士正在不斷地考慮這些問題�,但是當在平臺即服務與云安全這個環(huán)境中進行考慮時它們之間的相關性變得更高了。云繼續(xù)吸引大量人氣并受到多次審查�,這使得現(xiàn)在成為了檢查PaaS安全性的一次良機。
虛擬機管理程序仍然是攻擊云(包括PaaS和IaaS)最直接和最有效的載體��。所以��,黑客們?nèi)匀恢铝τ谄平夤芾沓绦蚧蚪俪种0压裘^針對管理程序的原因是云計算中的虛擬機管理程序相當于通用操作系統(tǒng)中的root或admin���。
就目前而言�����,一旦管理程序所使用的硬件和固件被破解����,那么攻擊者不僅能夠輕松地對它們進行訪問�����,而且檢查問題的能力也變得更加困難����。一個被破解的管理程序是很難被檢查出的,其部分原因是在這一層缺乏可用的監(jiān)控軟件����。這里有一個更明顯的檢測問題,能夠破解管理程序的黑客自然也能夠輕松地禁用日志記錄以及其他監(jiān)控服務��,或者更糟糕的是,它會向監(jiān)控系統(tǒng)發(fā)送虛假信息�。
在平臺即服務(PaaS)中所使用的虛擬環(huán)境需要防御針對物理和虛擬環(huán)境的攻擊。針對物理環(huán)境中諸多庫的標準漏洞在虛擬環(huán)境中仍然可被攻擊者利用����。畢竟,虛擬環(huán)境只是物理環(huán)境的另一個簡單實例��。此外�,諸如專為虛擬環(huán)境而開發(fā)的惡意軟件這樣的漏洞也是一個不幸的事實存在,正如2012年那次事件中所表現(xiàn)的那樣��。
在PaaS環(huán)境的下層中另外受到關注的是存儲器映射��。當虛擬環(huán)境被創(chuàng)建時��,會分配若干內(nèi)存和磁盤空間資源以供使用�。程序員開發(fā)出向內(nèi)存寫數(shù)據(jù)的軟件,而對象通常作為拆卸過程的一部分被釋放����,這是不能得到保證的�。如果一個被正確部署的持久對象被部署在正確的存儲器位置上,那么這個持久對象就可以充當排序的rootkit��,并且可以在每一個實例中持續(xù)影響環(huán)境。
跨租戶黑客則是另一個帶來安全性問題的來源��。其中�,配置錯誤在PaaS安全問題中占據(jù)了很大一部分比例。錯誤配置可能會無意中通過跨租戶黑客或授權用戶權限提升而造成數(shù)據(jù)丟失�����。
雖然我們對于hyperjacking攻擊還是束手無策����,但是還是有些步驟可以幫助我們最大限度降低或至少量化這些以及其他PaaS攻擊所造成的損害。當在PaaS云環(huán)境中運行時�,還是可以使用一些簡單規(guī)則的。雖然這些規(guī)則不是針對每一個攻擊載體的���,但是它們至少能夠讓風險是易于管理的����。
PaaS安全規(guī)則1:為數(shù)據(jù)分配數(shù)值�����。在進入云之前�,甚至在與供應商達成協(xié)議之前����,應確定用戶將在云存儲數(shù)據(jù)的數(shù)值���。簡單來說���,就是一些數(shù)據(jù)并不適合做共享環(huán)境中存儲。即便數(shù)據(jù)已經(jīng)過加密處理�����,這一點依然適用��,因為當進行密鑰交換時���,一些攻擊載體表現(xiàn)為中間人(MITM)攻擊�����。還要考慮其他數(shù)據(jù)的數(shù)值���,例如通常不會考慮雇員數(shù)據(jù)�。
PaaS安全規(guī)則2: 對數(shù)據(jù)進行加密處理��。雖然加密處理不能保證安全性��,但是它確實能夠保證隱私性��。但請記住�����,所部署的機制確實限制了訪問�。對那些針對管理程序的攻擊進行識別能夠抵消通過MITM攻擊的這種控制�����。原因可參考規(guī)則1�。
PaaS安全規(guī)則3:強制執(zhí)行最小權限規(guī)則。所有的用戶都應被授予確保系統(tǒng)正常運行的最低權限�����。這是重復的����,因為在歷史上當軟件開發(fā)人員在進行內(nèi)部軟件開發(fā)時,開發(fā)人員已經(jīng)被授予在隔離主機上的特權訪問���。當云模式創(chuàng)建和銷毀一個臨時環(huán)境時�,發(fā)生錯誤、出現(xiàn)漏洞以及創(chuàng)建永久對象的潛力都為限制訪問提供了足夠的理由�����。未能確保隔離將導致用戶需要理解規(guī)則1��。
PaaS安全規(guī)則4: 閱讀���、理解SLA并與供應商討價還價����。服務水平協(xié)議(SLA)的內(nèi)容范疇超出了可用性和性能����,它直接與數(shù)據(jù)數(shù)值相關。如果數(shù)據(jù)丟失或受損�,那么SLA規(guī)定了具體的賠償條款。為了進一步提高SLA的有效性�,云服務供應商(CSP)必須擁有足夠的資產(chǎn)來支付與規(guī)則1中數(shù)據(jù)相關的支出。
云服務供應商們必須證明他們已經(jīng)對云環(huán)境的安全性進行了盡職盡責的檢查���。問題是安全性審查沒有辦法檢查出復雜的零日漏洞攻擊;相反���,審查只會檢查出已知漏洞。如果用戶的站點安全性狀態(tài)比CSP的更嚴格�����,那么可再次考慮規(guī)則1�����。
了解用戶的特定威脅環(huán)境可以為企業(yè)提供在云使用上一般決策的必要周邊條件���,尤其是PaaS安全性����。在某些情況下���,遷移至云可為企業(yè)用戶提供一個保持或者甚至提高企業(yè)安全態(tài)勢的機會�。在其他情況下�����,云遷移會帶來新的問題�。無論是哪種情況�����,首先確定數(shù)據(jù)的數(shù)值并使用這一信息將有助于確定前進方向��。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領域產(chǎn)品研發(fā)生產(chǎn)超五類�,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊��,10G屏蔽模塊�����,屏蔽線生產(chǎn)廠家�����。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn���,網(wǎng)址www.10166888.com
