PaaS云計(jì)算服務(wù)中常見的威脅及處理方法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

作為云計(jì)算安全系列文章的第三部分，本文將關(guān)注在平臺(tái)即服務(wù)（PaaS）云計(jì)算服務(wù)模式中你可能會(huì)遇到得威脅因素。在軟件即服務(wù)（Saas)模式中，用戶往往依靠供應(yīng)商來保證應(yīng)用的安全。然而，在PaaS模式中，盡管說供應(yīng)商可以保障潛在云計(jì)算基礎(chǔ)架構(gòu)（防火墻、服務(wù)器、操作系統(tǒng)等等）的安全，但控制和保證應(yīng)用安全的任務(wù)還是需要用戶自己來承擔(dān)。因此，處理應(yīng)用配置不當(dāng)、保密插口層協(xié)議缺陷、以及數(shù)據(jù)不安全許可的工作對(duì)用戶而言顯得很有必要?！　?/P>

本文中提到的一系列威脅都是用戶可以靠自己的能力解決的，而不需要去向供應(yīng)商求助。

根據(jù)我的經(jīng)驗(yàn)，當(dāng)你在使用PaaS云服務(wù)時(shí)最有可能會(huì)遇到以下威脅：

應(yīng)用配置不當(dāng) SSL（保密曾插口協(xié)議）及部署缺陷 云數(shù)據(jù)中的非安全訪問許可　　盡管說PaaS云服務(wù)模式中還有其它很多風(fēng)險(xiǎn)和危險(xiǎn)因素存在，但以上這幾條絕對(duì)是最有可能影響你云服務(wù)部署工作的。需要記住的是，在SaaS服務(wù)模式中談到的那些威脅因素也還是可能存在，也必須得到解決。

應(yīng)用配置不當(dāng)

當(dāng)你在云基礎(chǔ)架構(gòu)中運(yùn)行應(yīng)用時(shí)，應(yīng)用在默認(rèn)配置下安全運(yùn)行的概率機(jī)會(huì)為零。因此，你最需要做的事就是改變應(yīng)用的默認(rèn)安裝配置。要熟悉一下應(yīng)用的安全配置流程，也就是說如果要使用它們，就要知道如何確保其安全，因?yàn)樗鼈冋紦?jù)了云架構(gòu)中所有應(yīng)用的80%之多。

LAMP：在LAMP（一種基于Linux、Apache、MySQL和PHP環(huán)境的通用配置）配置堆內(nèi)，你需要對(duì)Apache、MySQL和PHP給予更多的關(guān)注，掌握更多的技巧。 Windows：在Windows環(huán)境下，你需要具備確保Internet Information Services（IIS）、Microsoft SQL和.NET安全的能力，這也相當(dāng)于Windows LAMP環(huán)境?！　∫胱龅揭陨线@幾點(diǎn)，你最需要關(guān)注的是以下這些問題：

安裝后遺留下來的默認(rèn)和示例文件和目錄 提供的多余服務(wù)，比如說WebDAV、FrontPage、Lightweight Directory Access Protocol（輕量級(jí)目錄訪問協(xié)議LDAP）、 Simple Network Management Protocol（簡單網(wǎng)絡(luò)訪問協(xié)議SNMP）等等。 默認(rèn)的應(yīng)用管理用戶名和密碼（特別是在Web或SNMP下）　　如果你需要更多的信息，應(yīng)該去具體的供應(yīng)商網(wǎng)站來查看其安全配置建議。

SSL協(xié)議和部署缺陷

對(duì)PaaS用戶而言，第二個(gè)需要考慮的威脅是SSL攻擊。SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ)。目前，眾多黑客社區(qū)都在研究SSL，SSL在不久的將來將成為一個(gè)主要的病毒傳播媒介。因此，用戶必須明白當(dāng)前的形勢，并采取可能的辦法來緩解SSl攻擊，這樣做只是為了確保應(yīng)用不會(huì)被暴露在默認(rèn)攻擊之下。

為了解決這一問題，在2009年11月份，SSL協(xié)議Bug組織公布了許多人為攻擊行為。由于這是一個(gè)協(xié)議缺陷，任何基于此協(xié)議的部署都需要打補(bǔ)丁。另一個(gè)問題在去年初夏也暴露出來，有人可以在SSL認(rèn)證框內(nèi)添加一個(gè)空字符串來騙取SSL認(rèn)證，這對(duì)用戶是一種極大的愚弄，他們會(huì)以為自己訪問的是一臺(tái)真實(shí)的服務(wù)器。這只是最近相關(guān)部門研究揭示的一些SSL攻擊行為的一部分。類似的問題會(huì)越來越多，用戶們需要加把勁了。

只有這些威脅得到緩解，才會(huì)有具體的部署方案產(chǎn)生。你需要依靠應(yīng)用供應(yīng)商來提供正確應(yīng)用配置或配置補(bǔ)丁的具體步驟。這里最關(guān)鍵的問題是要及時(shí)，你必須要確保自己有一個(gè)變更管理項(xiàng)目，來確保SSl補(bǔ)丁和變更程序能夠迅速發(fā)揮作用。

云數(shù)據(jù)中的非安全訪問許可

對(duì)于PaaS用戶而言，第三個(gè)需要考慮的威脅是需要解決對(duì)云計(jì)算中數(shù)據(jù)的非安全訪問問題。盡管說這似乎是一個(gè)特定環(huán)境下的問題，但我經(jīng)過測試發(fā)現(xiàn)，許多應(yīng)用實(shí)際上存在嚴(yán)重的信息漏洞，數(shù)據(jù)的基本訪問許可往往設(shè)置不當(dāng)。從安全的角度講，這意味著系統(tǒng)批準(zhǔn)的訪問權(quán)限太多。

要解決這一問題，需要從兩方面來考慮。一方面需要對(duì)你的應(yīng)用進(jìn)行重新設(shè)計(jì)，把安全工作做得更細(xì)一點(diǎn)，來確保使用應(yīng)用的所有用戶都能被證明是真實(shí)可靠的。另一方面，通過這樣做，你可以應(yīng)用適當(dāng)?shù)臄?shù)據(jù)和應(yīng)用許可制度，來確保所有訪問控制決策都是基于用戶授權(quán)來制定的。

結(jié)語

這是PaaS公共云計(jì)算平臺(tái)中常見的三個(gè)問題。采取適當(dāng)?shù)膽?yīng)用安全措施、及時(shí)處理SSL問題、站在用戶的角度來設(shè)定用戶賬戶并采取適當(dāng)?shù)脑L問許可制度可以對(duì)你的PaaS安全工作起到積極的作用。

最后我要說的是，我并不想夸大我對(duì)SSL問題的擔(dān)憂，但是在未來一年的時(shí)間內(nèi)，這一問題將會(huì)逐漸浮出水面，大家切不可忽視它。