分享

作者为北京山石网科信息技术有限公司虚拟化产品线总监，本文仅代表个人观点。本文是云计算安全系列文章第二篇。

      云计算中心要特别重视内部的安全！为什么？因为云计算中心不仅会成为安全攻击的目标，由于云计算本身的技术特质，它还会成为网络犯罪分子的法外非地，甚至会成为网络犯罪分子的老巢、他们手中的“核武器”！

     原子弹发明的时候，都说它既会给世界带来和平与正义，也有可能带来灾难！由于原子弹/核武器制造难度大、成本高，通常只会掌握在少数的政府手中，虽然也有人担心、各种影视剧中也有原子武器被恐怖分子夺去的桥段，但是现实社会中，获取原子武器对恐怖分子来说还太难。但是，在信息社会里，云计算给正派人士带来的所有优点，都可能成为犯罪分子、恐怖分子手中犯罪利器，让犯罪手段、恐怖手段升级跨入到“云计算”时代！成本还很低！

     1、巨大的计算容量=巨大的安全攻击力量！即使是企业的私有云，至少都有几十个物理计算节点、几百个虚拟机。大型的公有云，动辄上千台服务器，几万个虚拟机！如此巨大的计算资源，简单的搞个DDoS攻击，面对复杂的密码，搞个穷举……试问谁能抵抗？

       记得比特币火的时候，有个朋友跟我讲，他有天加班发现服务器过了12点就极慢，后来一查是被员工偷着用来挖矿了，深夜上班，早上再释放掉……要在云计算环境里干点类似的事情，一是计算资源丰富、二是成本低，三是不易被发觉。

     2、按需付费=犯罪成本低，更灵活！云计算的优势就是按需付费，计费灵活，现在有的服务商推出了按照分钟/秒计费的模式……多年前，当亚马逊刚对公众提供云计算服务的时候，有朋友就说，这下子搞DDoS容易了，在亚马逊上申请一批主机，装上软件，攻击完了就释放，花钱少，比到处种肉机简单！

     3、迁移容易，业务持续性好=攻击持续性高！说上面那个例子的人当时对云计算还没那么了解。现在云计算技术多完善啊，又是虚机迁移，又是快照、镜像的。黑客持续性攻击的成本低啊！申请个虚机，攻击一会儿，然后整个快照，把虚机释放了，待会儿再申请，复制一下，再攻击一会儿……既攻击了，还省钱，还不容易被追溯，利器啊！

     4、虚拟化=无边界、不可视、不好定位。云计算的基础是计算、存储、网络虚拟化，就是要打破盒子、线缆这些物理的条条框框，给计算资源、应用以自由！最早接触云计算的时候，提到云计算中心的新思路时候，总是在提大广播域、网络扁平化，而不是早先哪种VLAN，广播域尽早终结的概念。每每想到这里我就赞叹当年电影《黑客帝国（Matrix）》编剧的前瞻性，对于网络犯罪分子来说，云计算中无边界、不可视、不好定位，真是最佳的游猎场所。（在命名为云计算之前，记得还提过网格等等名词，比起好莱坞的编剧，我们汗颜啊！）

     5、虚机聚集=APT攻击更隐蔽！现在的攻击手段多种多样，我学到的一个新名词是APT（高级持续性攻击），黑客会很小心把攻击伪装到正常应用中，还会在多个主机之间多次跳转，伪装攻击源。过去，主机没有这么密集，可能要经过多个防火墙最后达成目的，还是会留下不少蛛丝马迹。今天，成千上万台虚拟机聚集在一个大的防火墙后面，分属不同的业主，各有各的管理思路、安全能力又不同，犯罪分子在多个虚机之间来回跳，把狐狸的尾巴藏起来……云计算中心可能成为犯罪分子的温床并不过分！

     6、入门门槛低，普及性高！最后还要再说成本。云计算不论是IaaS、PaaS、SaaS，核心目标就是降低用户使用成本啊，提高易用性。现在都说互联网+，就是让很多不具备太强IT能力的公司也上互联网。但是很多企业不具备IT能力，更没有什么安全意识，也就是说网站多了、计算资源多了，安全防护的整体水平却可能低了，这在犯罪圈子里难道不是喜大普奔的好消息吗？

       过去我们谈安全，总是考虑内外有别，外部是盗匪横行，内部是净土一块。但在云计算、虚拟化计算环境下，内部安全不早着手，极易成为滋生安全问题的温床。全世界都在加强信息安全的立法和管控的条件下，个人认为别光惦记着如何防别人攻你，很有可能有天警察找上门来，说你攻击了别人，追究你的法律责任！

     不论是私有云还是公有云，都要把云计算中心内部的安全问题仔仔细细想想清楚！云计算给你了幸福，也可能给你带来灾难！我们后续会展开讨论云计算内部的安全问题。

       我们云计算安全系列文章的第三篇是谈谈云计算中心的异构问题。

分享