五大云计算漏洞逐个数

当前的经济危机使云计算成为一个热门的话题，创业公司和小公司为了节约资金都使用的是互联网上的虚拟机，大公司一般都会将应用如客户关系管理系统放到如Salesforce.com这样的云服务提供商构建的云中，但专家说，在将基础架构迁移到云中时要小心安全陷阱。

著名安全公司SensePost的技术主管Haroon Meer在黑帽大会上说：“云计算的低端用户虽然可以节约金钱，危险的是高端用户在没有任何审核的情况下使用它”，他说他的团队对Amazon的EC2进行了深入的研究。他们的实验表明很多公司都不会扫描第三方提供的机器，恶意实例可以很容易地创建木马访问公司的内部网络。

记住这些陷阱，下面的5个教训来自黑帽大会上的演示。

1、云计算很少提供法律保护

使用云计算的公司需要认识到云中的数据需要服从法律法规，政府可能在没有出具传票的情况下对数据进行检索和拷贝，iSec首席安全顾问Alex Stamos认为云提供商更关心的是如何保护自己而不是客户，因此不要过分将希望寄托在服务协议上写的法律保护条款。

Stamos说：“所有云服务商都有训练有素的法律团队，当你签署了服务协议后，意味着你基本上一无所有，如果因为服务商的失误导致用户不能正常使用，用户不能投诉服务商，如果因为数据中心的失误导致数据丢失，服务商也不承担任何责任”。看上去就是一个不平等条约。但他同时补充道，云服务商发现安全问题一般会即时补上，如果语言沟通没有问题，也能得到一些帮助。

2、硬件不是你的

Stamos警告，如果想对服务商进行审核和进行测试，要记住硬件不属于自己，如果要进行漏洞扫描和渗透测试，需要经过云服务商的明确许可，否则，客户就会被认为是在攻击系统。象亚马逊的服务协议中就明确指出了，客户可以在系统上进行测试，这一点很重要。因为有明确的协议许可使用那些机器进行测试是会受到法律保护的。

3、需要强有力的策略和用户教育

由于云计算为企业带来了巨大的好处，如允许从任何地方访问数据，解决了IT维护人员的一大难题，永远在线服务也意味着更容易遭受钓鱼攻击。因此对最终用户进行风险教育显得格外重要，不仅仅是为了他们自身，更是为了公司的需要。但要教育好那些非技术职员不上当钓鱼攻击的当很困难，在SaaS模式下，钓鱼式攻击不仅仅是个个人问题，还成为企业面对的一个大问题。

4、不要相信虚拟机实例

SensePost的Meer说“在使用服务商提供的虚拟机时，如第三方供应商在亚马逊EC2平台上创建的实例时，公司不应该相信这些系统”。

公司的研究人员扫描了大量的预配置实例，发现认证密钥在缓存中，信用卡数据和恶意代码被隐藏在系统中，但他们发现大部分用户并不关心安全问题。

Meer建议公司应该建立自己的内部认证机制，要从技术上和法律上保护自己。

5、重新考虑你对云计算的假设

在考虑安全时，企业信息管理人员需要重新思考他们之前对云安全的假设。例如，当部署一个应用到虚拟数据中心的计算机实例上时，虚拟系统相比物理系统的平均可用资源要少得多，一般不会如你预期的那样美好，因此可以猜测资源进行随机分配时也是有限度的。