著名安全公司SensePost的技術主管Haroon Meer在黑帽大會上說：“云計算的低端用戶雖然可以節(jié)約金錢，危險的是高端用戶在沒有任何審核的情況下使用它”，他說他的團隊對Amazon的EC2進行了深入的研究。他們的實驗表明很多公司都不會掃描第三方提供的機器，惡意實例可以很容易地創(chuàng)建木馬訪問公司的內部網絡。

記住這些陷阱，下面的5個教訓來自黑帽大會上的演示。

1、云計算很少提供法律保護

使用云計算的公司需要認識到云中的數(shù)據需要服從法律法規(guī)，政府可能在沒有出具傳票的情況下對數(shù)據進行檢索和拷貝，iSec首席安全顧問Alex Stamos認為云提供商更關心的是如何保護自己而不是客戶，因此不要過分將希望寄托在服務協(xié)議上寫的法律保護條款。

Stamos說：“所有云服務商都有訓練有素的法律團隊，當你簽署了服務協(xié)議后，意味著你基本上一無所有，如果因為服務商的失誤導致用戶不能正常使用，用戶不能投訴服務商，如果因為數(shù)據中心的失誤導致數(shù)據丟失，服務商也不承擔任何責任”。看上去就是一個不平等條約。但他同時補充道，云服務商發(fā)現(xiàn)安全問題一般會即時補上，如果語言溝通沒有問題，也能得到一些幫助。

2、硬件不是你的

Stamos警告，如果想對服務商進行審核和進行測試，要記住硬件不屬于自己，如果要進行漏洞掃描和滲透測試，需要經過云服務商的明確許可，否則，客戶就會被認為是在攻擊系統(tǒng)。象亞馬遜的服務協(xié)議中就明確指出了，客戶可以在系統(tǒng)上進行測試，這一點很重要。因為有明確的協(xié)議許可使用那些機器進行測試是會受到法律保護的。

3、需要強有力的策略和用戶教育

由于云計算為企業(yè)帶來了巨大的好處，如允許從任何地方訪問數(shù)據，解決了IT維護人員的一大難題，永遠在線服務也意味著更容易遭受釣魚攻擊。因此對最終用戶進行風險教育顯得格外重要，不僅僅是為了他們自身，更是為了公司的需要。但要教育好那些非技術職員不上當釣魚攻擊的當很困難，在SaaS模式下，釣魚式攻擊不僅僅是個個人問題，還成為企業(yè)面對的一個大問題。

4、不要相信虛擬機實例

SensePost的Meer說“在使用服務商提供的虛擬機時，如第三方供應商在亞馬遜EC2平臺上創(chuàng)建的實例時，公司不應該相信這些系統(tǒng)”。

公司的研究人員掃描了大量的預配置實例，發(fā)現(xiàn)認證密鑰在緩存中，信用卡數(shù)據和惡意代碼被隱藏在系統(tǒng)中，但他們發(fā)現(xiàn)大部分用戶并不關心安全問題。

Meer建議公司應該建立自己的內部認證機制，要從技術上和法律上保護自己。

5、重新考慮你對云計算的假設

在考慮安全時，企業(yè)信息管理人員需要重新思考他們之前對云安全的假設。例如，當部署一個應用到虛擬數(shù)據中心的計算機實例上時，虛擬系統(tǒng)相比物理系統(tǒng)的平均可用資源要少得多，一般不會如你預期的那樣美好，因此可以猜測資源進行隨機分配時也是有限度的。

河南億恩科技股份有限公司(prubsntakaful.com)始創(chuàng)于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900