不管人們是否喜歡美國前國防部長唐納德·拉姆斯菲爾德���,在聽到他那段著名的"未知的未知"發(fā)言時還是肯定會忍俊不禁:
有些事情屬于已知的已知;這些事情我們知道我們知道了�����。我們還知道已知的未知是存在的;也就是說����,我們知道有些事情我們不知道。但未知的未知也是存在的——那些就屬于我們不知道我們不知道的事情����。”
盡管拉姆斯菲爾德因?yàn)檫@段發(fā)言而受到公眾的嘲笑,但它確實(shí)屬于一個政治家在不小心下說出實(shí)話的典例;實(shí)際上�����,我覺得任何了解計算機(jī)安全的人都會很快就明白他到底是在說什么���。畢竟,我們就經(jīng)常面臨著三種類型的風(fēng)險:已知的已知����、已知的未知、未知的未知���。
對于公共云計算應(yīng)用部署工作來說����,最大的障礙之一就是所有未知、已知等方面額外風(fēng)險的計算�。在過去幾年的時間里,作為一名公共云供應(yīng)商以及客戶���,我己經(jīng)對這些問題進(jìn)行過大量深入思考���。文章下面所列出的五項(xiàng)風(fēng)險,就是所有企業(yè)客戶在選擇采用公共云服務(wù)時都會面臨到的問題�。
頭號云風(fēng)險:共享訪問模式
在公共云計算中,重要原則之一就是多重租賃����。這就意味著,盡管不同客戶之間通常都屬于毫無關(guān)聯(lián)的情況�,但依然會共享相同的計算資源:CPU、存儲���、內(nèi)存�����、命名空間以及物理建筑���。
對于我們中的絕大多數(shù)人來說���,多重租賃就屬于一種巨大的已知的未知。它并不僅僅意味著我們的機(jī)密數(shù)據(jù)面臨著意外泄露給其它租戶的威脅�����,而且還造成了資源共享方面的額外風(fēng)險��。由于只要一處漏洞出現(xiàn)就能夠?qū)е缕渌饪突蛘吖粽呖吹剿衅渌鼣?shù)據(jù)或者掌握其它客戶的真實(shí)身份����,因而多重租賃所面臨的嚴(yán)峻風(fēng)險確實(shí)會令人非常不安。
實(shí)際上�,安全漏洞方面新出現(xiàn)的幾種類別就源自于云的共享性質(zhì)。現(xiàn)在���,已經(jīng)有研究人員可以做到從本來應(yīng)該是新存儲空間的地方恢復(fù)出其它租戶的數(shù)據(jù)來���。其它研究人員則實(shí)現(xiàn)了查看其它租戶的內(nèi)存與IP地址空間���。還有幾位甚至能夠通過對IP或者M(jìn)AC地址的分配情況進(jìn)行簡單預(yù)測來達(dá)到控制其它租戶整體計算資源的目標(biāo)��。
對于我們中的絕大多數(shù)人來說���,多重租賃所帶來的安全問題正變得越來越嚴(yán)峻��,其中存在的薄弱環(huán)節(jié)需要立即加以探討��。從實(shí)際上�����,如果從歷史上的情況來看��,最好的例子就是一個與其它數(shù)百甚至幾千個毫無關(guān)聯(lián)的網(wǎng)站放在相同網(wǎng)絡(luò)服務(wù)器上的站點(diǎn)���。如果歷史能夠作為指導(dǎo)經(jīng)驗(yàn)的話——通常情況下,確實(shí)是這樣——從長遠(yuǎn)來看����,多重租賃將會變成為一個很大的問題。
二號云風(fēng)險:虛擬技術(shù)導(dǎo)致的漏洞
如果從虛擬化技術(shù)角度來看的話�,所有大型云供應(yīng)商本身就屬于一名超級用戶。當(dāng)然����,這就意味著除了物理設(shè)備上已經(jīng)存在的所有風(fēng)險外,它還有自身面臨的獨(dú)有威脅需要加上����。這其中就包括了針對虛擬服務(wù)器主機(jī)以及客戶的攻擊����。換句話說�,我們經(jīng)常面對的風(fēng)險中,有四種主要是虛擬漏洞帶來的:這就是��,僅僅針對服務(wù)器主機(jī)�����、客戶對客戶����、主機(jī)對客戶以及客戶對主機(jī)等情況。在絕大多數(shù)人的風(fēng)險模型中���,這些風(fēng)險在很大程度上都屬于未知類型�����,因而也沒有進(jìn)行過精確計算。
當(dāng)我向公司相關(guān)高層提及虛擬技術(shù)導(dǎo)致的風(fēng)險問題時��,他們總是會顯得毫無興趣。很多人都對我說����,所謂的風(fēng)險是被夸大了,甚或認(rèn)為這樣的攻擊屬于聞所未聞的情況��。而我通常就會告訴他們?nèi)タ匆幌伦约禾摂M化軟件供應(yīng)商的修補(bǔ)程序列表����。那里的實(shí)際情況可是一點(diǎn)也不輕松。
為了營造出足夠的氣氛來�����,我再透露一點(diǎn)嚴(yán)峻的現(xiàn)實(shí):通常情況下���,云客戶對于所選虛擬化產(chǎn)品的實(shí)際型號或供應(yīng)商正在運(yùn)行的管理工具是什么一無所知�����。大家如果不相信其中的風(fēng)險會這么大�,也可以選擇向自己的供應(yīng)商提出下面的幾個問題:公司目前使用的虛擬化軟件是什么類型?當(dāng)前的版本是什么?何人負(fù)責(zé)虛擬主機(jī)的補(bǔ)丁安裝工作��,更新頻率如何?哪些人可以擁有登錄進(jìn)每臺虛擬主機(jī)或者以用戶身份進(jìn)行瀏覽的權(quán)限?
三號云風(fēng)險:身份認(rèn)證、授權(quán)以及訪問控制
顯而易見�����,云供應(yīng)商對于使用的身份認(rèn)證��、授權(quán)以及訪問控制機(jī)制的選擇是非常重要的�,但它的實(shí)際效果在很大程度上往往要依賴于具體實(shí)施過程。他們搜索并刪除過時賬戶的具體間隔是多長時間?有多少特權(quán)賬戶可以訪問他們的系統(tǒng)——以及用戶的數(shù)據(jù)?特權(quán)賬戶采用了什么類型的身份驗(yàn)證措施?我們是否與供應(yīng)商或者間接地與其它租戶共享了一個公共命名空間?畢竟�����,如果單從生產(chǎn)力的角度來看�,共享命名空間以及身份驗(yàn)證措施的單一登錄(SSO)模式效率會非常高;但與此同時,這也會導(dǎo)致數(shù)據(jù)面臨的風(fēng)險程度大幅上升��。
數(shù)據(jù)保護(hù)則是另一項(xiàng)非常受關(guān)注的功能����。如果供應(yīng)商部署并使用了數(shù)據(jù)加密措施的話,租戶之間是否需要共享私人密鑰?在云供應(yīng)商的團(tuán)隊(duì)中�,有多少人能夠看到我們的數(shù)據(jù),他們都是誰?我們的數(shù)據(jù)存儲在哪里的物理設(shè)備之上?一旦實(shí)際需求消失����,它們會被如何處理?當(dāng)然,我并不知道有多少云供應(yīng)商愿意給出這些問題的詳細(xì)答案;但是,如果我們希望找出已知與未知的情況都有哪些的話�,就必須向他們提出問題。
四號云風(fēng)險:可用性
如果我們選擇成為云供應(yīng)商的客戶���,冗余以及容錯方面的問題就再也不受到自己控制了。糟糕的是�,通常情況下,這些要求具體如何實(shí)現(xiàn)以及達(dá)到多高等級等情況都屬于語焉不明的問題���。實(shí)際上��,這就屬于完全不透明的項(xiàng)目����。盡管所有云供應(yīng)商都聲稱自己擁有夢幻般的容錯性以及可用性���,但經(jīng)年累月之后��,我們會發(fā)現(xiàn)即便是最大最好的服務(wù)也出現(xiàn)過中斷數(shù)小時甚至數(shù)天的故障�。
此外����,我們需要更加關(guān)注的問題就是:極少數(shù)情況下或許會出現(xiàn)的客戶數(shù)據(jù)丟失。實(shí)際上,導(dǎo)致如此后果出現(xiàn)的原因可能屬于云供應(yīng)商自身出現(xiàn)錯誤�,也許是惡意攻擊者造成破壞。通常情況下����,云供應(yīng)商采取的數(shù)據(jù)備份方式是極為出色的三重保護(hù)模式。但即便在供應(yīng)商聲稱備份數(shù)據(jù)安全堅(jiān)如磐石的情況����,依然會出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象——而且是完全徹底無法找回的情況。因此��,如果有可能的話����,公司應(yīng)該堅(jiān)持對通過云共享的數(shù)據(jù)進(jìn)行備份,或者至少堅(jiān)持保留在數(shù)據(jù)出現(xiàn)徹底丟失事故時提出起訴以獲得必要賠償?shù)臋?quán)利�。
五號云風(fēng)險:所有權(quán)
對于很多云客戶來說,這條風(fēng)險可能有些出乎意料;但是��,現(xiàn)實(shí)中確實(shí)經(jīng)常會出現(xiàn)客戶往往不是數(shù)據(jù)唯一擁有者的情況����。包括最大最有名在內(nèi)的很多公共云服務(wù)供應(yīng)商都會在合同中用專門條款明確指出,存儲的數(shù)據(jù)屬于供應(yīng)商——而不是客戶的�。
云供應(yīng)商之所以喜歡擁有這些數(shù)據(jù)���,是因?yàn)檫@樣在出現(xiàn)問題的時候就能夠獲得法律的更多保護(hù)。此外�����,他們還可以對客戶數(shù)據(jù)進(jìn)行搜索與挖掘等處理���,為自身創(chuàng)造出帶來額外收入的機(jī)會。我甚至還看到過這樣的情況�����,一家云供應(yīng)商倒閉了��,客戶的機(jī)密數(shù)據(jù)被作為其資產(chǎn)的一部分賣給了接手的買家�����。這樣的現(xiàn)實(shí)情況的確令人非常震驚��。因此�,我們在作出選擇之前,就應(yīng)該確保明確了已知的未知問題:誰擁有我們的數(shù)據(jù)�����,以及云服務(wù)供應(yīng)商到底都可以用它來做些什么?
云可見性
即便云計算中所面臨的風(fēng)險都屬于眾所周知的類型,它們依然非常難于進(jìn)行真正的精確計算�����。目前����,我們根本無法提供足夠的歷史經(jīng)驗(yàn)與現(xiàn)實(shí)根據(jù)來確定出安全性或可用性故障的概率;尤其是在面對一家具體供應(yīng)商的時間,以及這樣的風(fēng)險是否會導(dǎo)致客戶出現(xiàn)大量流失的結(jié)果����。實(shí)際上,我們目前能做到的最好程度就是學(xué)習(xí)拉姆斯菲爾德�,至少做到對已知的未知部分進(jìn)行親自管理。
當(dāng)然�����,這里的第一步工作就是努力減少未知的未知的數(shù)量��。我們必須確保供應(yīng)商的透明度能夠變得盡可能高;如果沒有什么意外的話���,就應(yīng)該獲得至少一次相關(guān)成功審計報告的副本�����。在供應(yīng)商介紹相關(guān)策略的時間����,我們就應(yīng)當(dāng)詢問上一位數(shù)據(jù)出現(xiàn)問題的租戶都遭遇了哪些損失,以及最終是如何獲得解決的��。盡一切可能將云供應(yīng)商需要承擔(dān)的具體責(zé)任控制下來��。畢竟�,只通過詢問難以回答的問題�,我們才能開始認(rèn)識到公共云計算會面臨到的總體風(fēng)險情況。
盡管從表面上來看�����,我好象是在對公共云計算進(jìn)行極力貶低;但實(shí)際上�,我就屬于這項(xiàng)服務(wù)的一名鐵桿支持者。我相信��,相比起自己的客戶�,絕大部分公共云供應(yīng)商在數(shù)據(jù)安全方面的工作都更為出色。但是�,相比自身可以獨(dú)立實(shí)現(xiàn)的效果�,我們依然需要掌握云供應(yīng)商的具體標(biāo)準(zhǔn)以及為降低風(fēng)險而采取的實(shí)際措施�����。
