云计算的安全性有不少争议。有些人认为云比许多私有网络要安全,另一些人则认为云计算可能敞开了更多的安全漏洞。比如就有人说Amazon基于Web的AWS管理控制台为骇客创造了更多机会。
GNUCITIZEN认为云计算更安全:
依我之见,[Amazon的安全度]高得离谱,我敢保证你自己打造的方案,安全度不及Amazon的百分之一。
……云计算安全吗?我回答是,如果你知道自己在做什么。
Alistair Croll对为什么云更安全举出了一些理由:
人工参与更少——大多数计算机故障都是人为错误的结果;只有20%~40%源自技术故障。云的运营商为了有利可图,会尽可能排除人工操作。
工具更佳——云负担得起高端的数据保护和安全监控工具,也负担得起运作这些工具的专业人才。我信任Amazon的运维能力远胜过我自己。
流程严格——你也许有能力驱使一位同事去修改本公司的IT设施,但想在没有正当授权的情况下驱使云提供商,不可能。
不是你的员工——大多数安全缺口都是内部员工造成的。云运营商不是你的员工。商业间谍也多以员工为目标。
Alistair也提出了他的顾虑:
只要是新技术,肯定有我们未曾想到的弱点。不过弱点出现在云本身的机会不高,更可能出现在传输和修改云中数据所用的管理工具上,也很可能出现在用于访问云中应用的远程工具上。
再把数据放入云端之前,确实有一些需要谨慎考虑的理由。但请把忧虑放对地方,否则你不如把数据搁在枕头底下睡觉。
对于Amazon S3,x86Virtualization写道:
整个S3系统最薄弱的地方可能是Amazon自己的密码方案。该方案允许非常弱的密码,而且我相信利用一些巧妙的社交工程,有可能假称由于客户公司的邮件策略变化,让Amazon把重置密码发送到新的e-mail地址。比如找准下手的目标公司之后,注册一个含有该公司名的域名如“mail-公司名.com”,说不定就能让客服人员相信你是那家公司的员工。如有必要,还可以伪造一些假信头,弄一个相同号段的传真号码。很快你就会成为该公司最小部门的头头了。这种事情肯定发生得不少,因为Amazon专门设立了一个页面通告自最后一次订单以来哪些人的e-mail变更过。
那么,你所用的云有多安全呢?套用窃取域名的招数,有可能得到Amazon密码和帐号,下载保存在S3的全部内容,启动和关闭云,管理Amazon提供的任何Web服务。
继续这个话题,Krishnan Subramanian认为新增的AWS Management Console带来新一层的安全隐忧:
在这个控制台发布以前,窃贼窃得用户的Amazon密码,就可以登录进AWS帐户取得用户的公匙、私匙和证书。然后再用以上信息在EC2部署里为所欲为。而新的控制台帮骇客们省了一步,他们只需要用偷来的Amazon.com帐号密码登录进EC2管理控制台的Web界面,就能大肆破坏。完全不需要费劲去查找公匙、私匙、证书。从安全的角度看,无疑是危险的。
Krishnan提了几个增强AWS安全性的建议:
分离Amazon.com帐号与AWS帐号。事实上在Amazon.com用户中,同时使用AWS的比例微不足道,分离帐号不会有太大的影响。 强制用户选择极难破解的密码。很有必要设立一种策略去强制所有AWS帐号都使用强密码。
虽然有种种安全风险,用户很可能还是会继续使用AWS控制台,因为只需要几下鼠标点击,用户就可以方便地启动和管理EC2实例,查找和建立AMI(Amazon机器映像),管理EBS(弹性块存储)卷和弹性IP。
查看英文原文:The AWS Management Console Raises Security Concerns