主要云供应商都清楚这一点,他们都在努力采取措施避免事故的发生。Amazon网络服务发言人RenaLunak表示:“很早以前,网络就已经不再是物理孤岛,企业逐渐发现需要连接到其他企业,然后有了互联网,企业网络开始与公共基础设施相连接。”
为了减轻风险,很多企业正采取措施来隔离他们的流量,例如使用多协议标签交换(MPLS)链接和加密。“亚马逊在云环境对网络采取了相同的方法:我们保持数据包级的网络流量隔离,并采用行业标准的加密,”她表示,“因为亚马逊的虚拟私有云允许客户建立自己的IP地址空间,客户可以使用他们已经非常熟悉的工具和软件基础设施来监控和控制他们的云网络。”
这些听起来都很不错,但是一些常见错误(例如糟糕的身份验证方法或者开放管理端口)可能让供应商的安全保护措施付诸东流。
“迁移到云环境存在的一个问题是,你需要远程管理你的资源,”云安全供应商CloudPassage公司首席执行官CarsonSweet表示,“很多很多公司没有关闭管理端口,攻击者就是利用了这一点。”
Sweet指出,云环境中糟糕的安全做法可能会影响企业内部网络的安全。很多担心云威胁的企业根本不会将企业最重要的数据转移到云环境中。
在CompTIA调查的企业中,有82%的企业相信云供应商能够提供一个安全的环境,58%的企业不会将关键企业财务信息转移到云环境,56%的企业不会将信用卡数据放入云环境,将近一半的受访者拒绝将机密知识产权、商业机密或者人力资源信息放入云环境。
这里的逻辑很简单:将机密数据放在企业防火墙后面更加安全。然而,这个逻辑有一个致命的缺陷。
Sweet谈到曾经CloudPassage的一名客户(不愿意透露姓名)在云环境中部署了开发服务器,攻击者将一个工具包放到一台虚拟服务器中,当开发人员发现服务器中丢失了一些东西,于是他们将服务器带回企业环境来重新镜像,不幸的是,攻击者的攻击工具包感染了整个网络。Sweet表示:“如果你不注意的话,虚拟机可能会成为木马。”