【51CTO独家译稿】安全研究者们说:像亚马逊那样的云计算服务提供商们必须要防止它们强大的计算能力被非法的攻击所利用。那么,什么样安全措施可以防止云成为犯罪者的天堂呢?
想要攻击其他人的犯罪者可以租用已经被控制的计算机网络或僵尸网络,或其他犯罪者在地下的社区中提供的服务。在它们自己的领域中,这些资源也被当成了“云”,但是安全研究者们警告说:合法的云服务提供商也必须要防止它们强大的计算能力被非法的攻击者所利用。
在8月召开的DEFCON黑客大会上,在一个演示中,两个研究者做了这样的事情:Trustwave的David Bryan和NetSPI的Michael Anderson建立了几个虚拟服务器来攻击一个小型的财务公司——这个客户希望测试自己对这样的攻击的防御能力。这两个研究者并没有租用其他犯罪者提供的僵尸网络,而是使用亚马逊提供的Elastic Computing Cloud (EC2)租用了不到一打的虚拟服务器,通过流量来拥塞攻击目标的网络。
这两个研究者表示:并没有什么迹象表明亚马逊探测到了这次攻击。同时,他们呼吁所有的云服务提供商们,在监控资源的使用方式方面,要多加注意。
Trustwave的Bryan说:“在它变得一发不可收拾之前,让我们先解决掉它。”
虽然亚马逊并没有抓到那两个特定的安全研究者,但是亚马逊表示,在云中,要抓到那些坏家伙是很容易的。
在一份发送给CIO.com的声明中,亚马逊表示:“在云出现以前,通过互联网进行的违法犯罪活动就已经相当普遍了。那些非法使用者们选择在Amazon EC2环境中运行他们的软件,只会让我们更容易地访问和禁用他们的软件。对于整个互联网来说,这是一个重大的改进,在云环境中,非法使用的主机不能被访问,而且,这种情况会持续很长时间。”
然而,在这种情况下,公司必须要监控它们自己的云空间。
下面是亚马逊和其他的云服务提供商们提供的一些安全策略。
1,让客户更方便,就是让攻击者更方便
惠普(Hewlett-Packard)负责Secure Advantage与Cloud Security的首席技术官 Archie Reed说:“优秀的云服务应该让云资源更方便消费者和内部的客户使用。但是,这些优秀的特性也很容易被攻击者们利用。”
Reed说:“我们给云提供的所有优秀的特性,尤其是给公有云提供的所有优秀的特性——包括相对较低的成本,instant provisioning,以及在任何时间,任何地点都能访问云服务的能力。所有这些优秀的特性可以被任何一个人利用——只要他有相关的知识,并且他希望这样做。”
与其做出决定关闭那些信息不完整的潜在客户的账户,倒不如少做一些黑白分明的选择。与其阻止一个潜在的恶意用户,倒不如利用惠普的技术限制他们的带宽。这就是惠普的策略。
Reed说:“我们正在和客户们一起努力,来检测各种可疑的行为,为了让客户更快地做出反应,我们特意让一些事情慢了下来。你不要关闭客户们的账户,但是你也不要给各种恶意行为提供主机服务。”
2,从第一天起就把安全性考虑在内
来自于Trustwave和NetSPI的研究者的拒绝服务攻击,在最高峰的时候可以达到150MB/s。在两个多小时里,他们一共发送了大约10GB的数据,成本不到6美金。
他们认为,这样的恶意行为应该被探测到。
虽然亚马逊并没有对这次的事件做出任何的评论,但是亚马逊表示,给云提供必要的安全措施是很重要的——它的工程师一直在做这样的事情。
在一个声明中,亚马逊表示:“提供按需分配的基础设施,同时提供安全隔离,和在公司现有的私有环境下并没有什么本质性的不同。”
3,把所有事情都记录在日志里
现在,所有公司都应该投资的一种技术是日志管理。在最近的Data Breach Investigations Report中,Verizon公司发现:90%以上对企业的攻击都可以反映在日志数据里,但是只有不到5%的公司监控这些通常足以探测到各种攻击的数据。
相关阅读