- 论坛徽章:
- 0
|
错综复杂的租用关系可能带来新的威胁
有可能发生利用旁门左道的攻击 (side-channel attack) 或者信息外泄的风险,例如,如果使用者所分配到的存储设备或磁盘,在上一位使用者用完之后没有将内容抹除归零。
资料中心攻击
目前遭到入侵的网站数量已经多到足以令人担忧。这些网站不是用于散播恶意程序、漏洞攻击,就是用于接收黑客所窃取的信息。而相关的网页代管服务供应商缺乏安全管制,也让这个问题无法妥善解决。不幸的是,这些遭到渗透的网站,还可能被用来当作攻击资料中心内部其他服务器的跳板。攻击的方式包括:安装恶意的 DHCP 服务器、恶意路由器或网络窃听器。这类资料中心攻击将会是今日大规模网站入侵的进阶翻版。
不安全的管理系统
Hypervisor 是负责让多个虚拟机器在同一台电脑上执行的软件元件。Hypervisor 不仅带来了新的能力,也带来新的计算风险。随着虚拟化逐渐成为主流,寻找新的方法来发掘风险并且保护这些新的基础架构,将越来越为重要。而处于所有虚拟化方法中心的 Hypervisor,就是一个核心风险领域。
Hypervisor 可以完全掌控硬件上所执行的所有虚拟机器,因此,理所当然成为攻击目标之一。Hypervisor 的保护极为重要,而且比表面上看来更加复杂。
虚拟机器会透过几种不同的方法对 Hypervisor 发出请求,通常的作法是呼叫应用程序开发介面 (API)。另外,还有一组 API 可以让主机用来管理虚拟机器。这些 API 是恶意程序码攻击的首要目标,因此,所有虚拟化厂商都针对 API 的安全性下了不少功夫,仅接受真正来自虚拟机器 (也就是通过验证与授权) 的请求。这项功能非常关键。但必须特别注意,速度是所有 Hypervisor 最重要的条件之一,不能因此而牺牲整体效能。
针对这些管理系统的攻击案例已经出现在 HyperVM/Lxlabs 事件,在该次事件当中,因为控制虚拟服务器的管理系统出现漏洞而导致 30,000 个英国网站消失。
某些虚拟化厂商已经将其 API 公开,例如 Amazon Web Services,这当然会成为网络犯罪者有兴趣的攻击目标。至于尚未将 API 公开的厂商 (如 vSphere),虽然通常不会暴露在外,但还是可能成为边界内恶意程序的攻击目标。
从 API 的修改速度以及目前厂商争相上市的情况来看,这些管理系统未来有可能出现安全问题。
阻断服务
当企业采用云计算时,不论采用公共云或者采用从私人云延伸至公共云的 cloudburst 模式来处理工作负载,都存在着所谓的阻断服务 (DoS) 风险,也就是无法区分恶意 DDoS 流量与正常流量,企业若要应付这类负载激增的状况就必须花费成本。
更高的抽象化与脆弱的技术
边界闸道协定 (Border Gateway Protocol,简称 BGP)、DNS 以及安全连接口层 (Secure Sockets Layer,SSL) 等等都是一些层层重叠的技术。这些技术都是在安全还不成问题的时代开发出来的,但现在却被迫必须在当时从未预料的更大负载下运作。如果资料中心以及公共/私人云执行的复杂应用程序没有将漏洞修补完整,这些技术可能有一天会出现危险。
(注) Cloud Computing Standards, Dream Vs. Reality (云计算标准:梦想与现实) (http://cloudsecurity.trendmicro. ... s-dream-vs-reality/)
新的边界闸道协定攻击技巧
全球路由基础架构的稳定性与安全性疑虑将持续到 2010 年及未来。2008 年 2 月,我们看到由国家在背后支持的 IP Prefix 挟持事件17 。之后,在 2009 年 2 月,捷克的一家小型网际网络厂商在网络上散播很长的 ASpath (路由器自治系统路径),因而引发邻近的路由器当机,造成大规模网络中断。虽然目前很少有蓄意性的攻击,但路由器组态设定错误和路由器软件潜伏的错误,将在 2010 年以及未来将可能会造成风险。
虽然目前很少有蓄意性的攻击,但路由器组态设定错误和路由器软件潜伏的错误,将在 2010 年以及未来将可能会造成风险。 |
|