未来云计算服务安全的五大漏洞盘点
第一 、用户接入门户
这里最容易遭到的攻击如下:
1 密码攻击:云计算对于PaaS/IaaS来说,用户远程管理自己的平台是常见的,攻击管理者密码更具有诱惑力;
2 伪造“证件”:在终端上收集了用户有关信息后,仿造还是相对容易的,如银行卡、身份证等;
3 钓鱼网站:这是传统的攻击方式,目标是用户的有关私密信息Ø 信息窃听:窃听用户的通讯,如破译用户邮箱后,可以复制用户的来往邮件,监控用户的业务往来。
第二、业务应用软件(SaaS、PaaS服务)
入侵者不仅可以通过攻击应用软件,获得用户信息,而且可以作为下一步占领“主机”的跳板。攻击方式多样,主要的如下
1 病毒与蠕虫:利用应用软件的漏洞传播病毒;
2 挂马:云计算的服务多为BS架构,通过Web挂马,是目前传播木马的主要途径。
第三、虚拟机(IaaS服务)
对黑客来说,这是个大资源,除了利用,还可以突破它,入侵到服务商的后台管理
1 虚拟机“溢出”;
2 资源滥用。
第四、云计算管理平台
云计算管理平台是云计算服务的核心这里发生“故障”,常常对服务是致命的。
1 黑客入侵:入侵到这里,就成为整个云计算服务的“主人”,不仅可以掌握该服务商所有的用户资料,还有用户的计费信息等。
2内部人员:严密的防护,必然导致攻击转向“内部实施”,如2011年4月的亚马逊Web服务中断是因为系统的升级造成的。
第五、数据中心
云计算服务在用户看来是虚拟的,但对于云计算服务商来说,物理安全同样重要
1 设备故障:机房内设备故障、自然灾难等对用户服务都有非常大的影响;
2 数据泄密:盗取物理介质,或人为拷贝复制。
云计算的成功是取决于多因素的。虽然诸如价格和数据地理位置很重要,但真正体现云计算供应商能力的还在于它能够成为其客户可信赖的伙伴。