最近的云問題表明安全性可能會(huì)嚴(yán)重失敗

2019-10-16 17:49:28    來源:    作者:

典型的企業(yè)云服務(wù)具有自己的安全部門,因此,與大多數(shù)公司可以在內(nèi)部實(shí)施的安全性相比,總體上可以提供更好的安全性。與云相關(guān)的安全事件被認(rèn)為是“黑天鵝”,盡管這些事件可能會(huì)影響大量用戶,但這種事件很少見。

但是,依賴于任何特定云服務(wù)的用戶數(shù)量如此之大,以至于該服務(wù)會(huì)引發(fā)攻擊,而罕見的軟件漏洞可能會(huì)導(dǎo)致大量漏洞。

以最近的“ CloudBleed”事件為例。單個(gè)字符的編碼錯(cuò)誤導(dǎo)致流行的Cloudflare內(nèi)容交付服務(wù)的服務(wù)器覆蓋其緩沖區(qū), 從而將敏感信息泄漏到Internet。盡管只有0.00003%的可能性潛在地觸發(fā)該漏洞,從而使數(shù)據(jù)泄漏很少發(fā)生,但安全問題的觸發(fā)頻率足以使Google研究人員Tavis Ormandy注意到損壞的網(wǎng)頁(yè)被緩存到搜索提供商的服務(wù)器中。

安全公司Synopsys的安全策略師羅伯特·瓦莫西(Robert Vamosi)告訴eWEEK稱,此類違規(guī)行為可能導(dǎo)致長(zhǎng)時(shí)間處于公共領(lǐng)域的數(shù)據(jù)暴露在外 。

我們將像處理Heartbleed一樣經(jīng)歷一個(gè)過程,公司將挺身而出,說出他們是否受到[CloudBleed]的影響,” Vamosi說。“ [這表明,審查作為您業(yè)務(wù)核心部分的任何軟件或服務(wù)總是很有益的。”

該事件以及過去偶發(fā)的大問題表明,重大的云問題可能很少見,但似乎每年都在發(fā)生。而且,當(dāng)它們發(fā)生時(shí),它們很大。

2014年4月,發(fā)現(xiàn)Heartbleed(OpenSSL心跳擴(kuò)展中的一個(gè)缺陷)影響了600,000多臺(tái)服務(wù)器。2016年10月,一次大規(guī)模的拒絕服務(wù)攻擊 中斷了對(duì)Dyn的服務(wù),該公司向許多互聯(lián)網(wǎng)企業(yè)提供DNS服務(wù),從而破壞了一些主要品牌的服務(wù), 例如CNN,Netflix和Twitter。

最近,CloudBleed漏洞以及被稱為TicketBleed的 F5服務(wù)器中如何實(shí)現(xiàn)傳輸層安全性(TLS)的另一個(gè)問題 ,強(qiáng)調(diào)了支撐Internet的核心服務(wù),軟件和硬件的問題可能會(huì)產(chǎn)生重大后果。

“我們正在尋找實(shí)現(xiàn)錯(cuò)誤,” Vamosi說。“是的,您正在使用SSL。是的,您使用的是TLS,但您使用的是某人的TLS版本,問題是,他們是否正確實(shí)現(xiàn)了所有功能?因此,不要只是相信外面的東西,而要進(jìn)行驗(yàn)證。”

這樣的黑天鵝可能會(huì)破壞對(duì)云服務(wù)的信心。

在接受ITX Interop調(diào)查的公司中,超過一半(51%) 認(rèn)為,采用云服務(wù)時(shí),安全性是最大的挑戰(zhàn)。另一項(xiàng)調(diào)查發(fā)現(xiàn),根據(jù)云安全公司CloudPassage發(fā)布的一份報(bào)告,2016年有91%的受訪者非?;蛑械鹊仃P(guān)注云安全 。但是,調(diào)查發(fā)現(xiàn),只有9%的人發(fā)生了與云相關(guān)的安全事件。

總體而言,CloudPassage調(diào)查發(fā)現(xiàn),對(duì)云安全性的擔(dān)憂似乎是平衡的,有22%的受訪者認(rèn)為云的安全漏洞風(fēng)險(xiǎn)較低,而21%的受訪者認(rèn)為云的風(fēng)險(xiǎn)較高。絕大多數(shù)人沒有意見,要么回應(yīng)“不確定”,要么回應(yīng)“大致相同”。

鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。