云安全分析之PaaS阴暗面

　　云计算的安全问题一直都引起各大供应商以及用户的关注，而公共云作为降低计算成本和增加适应性等方面具有极大的潜能，但这也造成了公共云的阴暗势利对 公共云的虎视眈眈。ArborNetworks最近监测到一GoogleAppEnginePaas应用软件被一个僵尸网络指挥控制（CnC）。 Google迅速卸下这个软件，但这次事件还是引发一些有趣的话题。

在恶意软件领域，这种事情不是什么新话题，之前也已经被称为“恶意软件即服务（MalwareasaService）”。正如合法的公司因为以上提到 的好处进入云计算领域，网络罪犯也将他们的一些恶意软件移入“共享的基础设施”站点以使它们更难被减弱、封锁或卸载。稍微有些新意的是以Google应用 软件（如GoogleReader、Blogger、等等）为宿主恶意软件的增加。

引起我注意的是那些坏人很快就学会了利用PaaS基础设施为恶意软件CnC服务。不需要丰富想象力就可以预见坏人们从利用PaaS控制他们的恶意软件 继而转向新目标IaaS应用软件。公共云（SaaS/PaaS/IaaS）在成本方面有一个很能说服人的价值定位，但“盒子之外的”IaaS只提供了最基 本的安全保护（外围防火墙，负载均衡，等等），进入公共云的应用软件需要来自主机的像TrendMicroDeepSecurity7.0这样的更高级别 的防护。这些对策可以减少坏人攻击IaaS主机或接管其作为僵尸网络枢杻的可能性。

如果一个居心不良的人购买了IaaS的主机，我认为服务供货商应该监测并当作对 ServiceProviderServiceLevelAgreement（SLA）的违背阻止这一行为。不过，服务供货商怎么能评估他们的 IaaS/PaaS被怎样使用而又不违反应用软件的保密条约？如果他们不监测其用途，他们可能要验证客户的身份？还有要是服务是用被盗的个人信息 （PII）和信用卡号码购买的呢？

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!