不應被繼續忽視的云計算風險

佚名

對于公共云計算應用部署工作來說，最大的障礙之一就是所有未知、已知等方面的額外風險的計算。

在過去幾年的時間里，作為一名公共云供應商以及客戶，筆者己經對這些問題進行過大量的深入思考。文章下面所列出的五項風險，就是所有企業客戶在選擇采用公共云服務時都會面臨到的問題。

頭號云風險：共享訪問模式

在公共云計算中，重要原則之一就是多重租賃。這就意味著，通常情況下，盡管不同客戶之間都毫無聯系，但依然會共享相同的計算資源：CPU、存儲、內存、命名空間以及物理建筑。

對于我們中的絕大多數人來說，多重租賃就屬于一種巨大的已知的未知。它并不僅僅意味著我們的機密數據面臨著意外泄露給其它租戶的威脅，而且還造成了資源共享方面的額外風險。由于只要一處漏洞出現就能夠導致其它租客或者攻擊者看到所有其它數據或者掌握其它客戶的真實身份，因而多重租賃所面臨的嚴峻風險確實會令人非常不安。

實際上，安全漏洞方面新出現的幾種類別就源自于云的共享性質?，F在，已經有研究人員可以做到從本來應該是新存儲空間的地方恢復出其它租戶的數據來。其它研究人員則實現了查看其它租戶的內存與IP地址空間。也有研究人員甚至能夠通過對IP或者MAC地址的分配情況進行簡單預測來達到控制其它租戶整體計算資源的目標。

對于我們中的絕大多數人來說，多重租賃所帶來的安全問題正變得越來越嚴峻，其中存在的薄弱環節需要立即加以探討。實際上，如果從歷史上的情況來看，最好的例子就是一個與其它數百甚至幾千個毫無關聯的網站放在相同網絡服務器上的站點。如果歷史能夠作為指導經驗的話——通常情況下，確實是這樣——從長遠來看，多重租賃將會變成一個很大的問題。

二號云風險：虛擬技術導致的漏洞

如果從虛擬化技術角度來看，所有大型云供應商本身就屬于一名超級用戶。當然，這就意味著除了物理設備上已經存在的所有風險外，它還有自身面臨的獨有威脅需要加上。這其中就包括針對虛擬服務器主機以及客戶的攻擊。換句話說，我們經常面對的風險中，有四種主要是虛擬漏洞帶來的：這就是，僅僅針對服務器主機、客戶對客戶、主機對客戶以及客戶對主機等情況。在絕大多數人的風險模型中，這些風險在很大程度上都屬于未知類型，因而也沒有進行過精確計算。

當技術人員向公司相關高層提及虛擬技術導致的風險問題時，他們總是會顯得毫無興趣。很多人都表示，所謂的風險是被夸大了，甚至認為這樣的攻擊屬于聞所未聞的情況。而有人通常就會告訴他們去看一下自己虛擬化軟件供應商的修補程序列表。那里的實際情況可是一點也不輕松。

為了營造出足夠的氣氛來，再透露一點嚴峻的現實：通常情況下，云客戶對于所選虛擬化產品的實際型號或供應商正在運行的管理工具是什么一無所知。大家如果不相信其中的風險會這么大，也可以選擇向自己的供應商提出下面的幾個問題：公司目前使用的虛擬化軟件是什么類型？當前的版本是什么？何人負責虛擬主機的補丁安裝工作，更新頻率如何？哪些人可以擁有登錄每臺虛擬主機或者以用戶身份進行瀏覽的權限？

三號云風險：身份認證、授權以及訪問控制

顯而易見，云供應商對于使用的身份認證、授權以及訪問控制機制的選擇是非常重要的，但它的實際效果在很大程度上往往要依賴于具體實施過程。他們搜索并刪除過時賬戶的具體間隔是多長時間？有多少特權賬戶可以訪問他們的系統——以及用戶的數據？特權賬戶采用了什么類型的身份驗證措施？我們是否與供應商或者間接地與其它租戶共享了一個公共命名空間？畢竟，如果單從生產力的角度來看，共享命名空間以及身份驗證措施的單一登錄（SSO）模式效率會非常高；但與此同時，這也會導致數據面臨的風險程度大幅上升。

數據保護則是另一項非常受關注的功能。如果供應商部署并使用了數據加密措施的話，租戶之間是否需要共享私人密鑰？在云供應商的團隊中，有多少人能夠看到我們的數據，他們都是誰？我們的數據存儲在哪里的物理設備之上？一旦實際需求消失，它們會被如何處理？當然，我并不知道有多少云供應商愿意給出這些問題的詳細答案；但是，如果我們希望找出已知與未知的情況都有哪些的話，就必須向他們提出問題。

四號云風險：可用性

如果我們選擇成為云供應商的客戶，冗余以及容錯方面的問題就再也不受到自己控制了。糟糕的是，通常情況下，這些要求具體如何實現以及達到多高等級等情況都屬于語焉不明的問題。實際上，這就屬于完全不透明的項目。盡管所有云供應商都聲稱自己擁有夢幻般的容錯性以及可用性，但經年累月之后，我們會發現即便是最大最好的服務也出現過中斷數小時甚至數天的故障。

此外，我們需要更加關注的問題就是：極少數情況下或許會出現的客戶數據丟失。實際上，導致如此后果出現的原因可能屬于云供應商自身出現錯誤，也許是惡意攻擊者造成破壞。通常情況下，云供應商采取的數據備份方式是極為出色的三重保護模式。但即便在供應商聲稱備份數據安全堅如磐石的情況，依然會出現數據丟失的現象——而且是完全徹底無法找回的情況。因此，如果有可能的話，公司應該堅持對通過云共享的數據進行備份，或者至少堅持保留在數據出現徹底丟失事故時提出起訴以獲得必要賠償的權利。

五號云風險：所有權

對于很多云客戶來說，這條風險可能有些出乎意料，但是，現實中確實經常會出現客戶不是數據唯一擁有者的情況。包括在業界頗有名氣的幾家公共云服務供應商都會在合同中用專門條款明確指出，存儲的數據屬于供應商——而不是客戶的。

云供應商之所以喜歡擁有這些數據，是因為這樣在出現問題的時候就能夠獲得法律的更多保護。

此外，他們還可以對客戶數據進行搜索與挖掘等處理，為自身創造出帶來額外收入的機會。筆者甚至還看到過這樣的情況：一家云供應商倒閉了，客戶的機密數據被作為其資產的一部分賣給了接手的買家。這樣的現實情況的確令人非常震驚。因此，我們在作出選擇之前，就應該確保明確了已知的未知問題：誰擁有我們的數據，以及云服務供應商到底都可以用它來做些什么？

即便云計算中所面臨的風險都屬于眾所周知的類型，它們依然非常難于進行真正的精確計算。目前，我們根本無法提供足夠的歷史經驗與現實根據來確定出安全性或可用性故障的概率；尤其是在面對一家具體供應商的時間，以及這樣的風險是否會導致客戶出現大量流失的結果。實際上，我們目前能做到的最好程度就是學習拉姆斯菲爾德，至少做到對已知的未知部分進行親自管理。

當然，這里的第一步工作就是努力減少未知的未知的數量。我們必須確保供應商的透明度能夠變得盡可能高；如果沒有什么意外的話，就應該獲得至少一次相關成功審計報告的副本。在供應商介紹相關策略的時間，我們就應當詢問上一位數據出現問題的租戶都遭遇了哪些損失，以及最終是如何獲得解決的。盡一切可能將云供應商需要承擔的具體責任控制下來。畢竟，只通過詢問難以回答的問題，我們才能開始認識到公共云計算會面臨到的總體風險情況。

盡管從表面上來看，筆者好像是在對公共云計算進行極力貶低；但實際上，卻絕對屬于這項服務的一名鐵桿支持者，因為相比我們的客戶，絕大部分公共云供應商在數據安全方面的工作都更為出色。

但是，相比自身可以獨立實現的效果，我們依然需要掌握云供應商的具體標準以及為降低風險而采取的實際措施。