云計算的安全問題

　　1.  前言

　　云計算已經是非常火爆的概念了，涉及的服務也非常多，彈性計算服務、文件存儲服務、關系數據庫服務、key-value數據庫服務等等不勝枚舉。本文將簡要闡述一下彈性計算服務的安全問題，因為彈性計算是應用得最普遍的云服務，也是安全風險最大的云服務。

　　由于許多東西涉及公司機密，技術細節(jié)、實現或者新的方向，本文中不進行講解。有興趣的可以投一份簡歷過來，我們共同為云計算努力。

　　2.  云計算帶來的新風險

　　在云計算之前的時代，傳統(tǒng)IDC機房就面臨著許多的安全風險。然后這些問題毫無遺漏的傳遞到了云計算時代，不僅如此，云計算獨有的運作模式還帶來了更多新的問題。

　　2.1.  云內部的攻擊

　　l 安全域被打破

　　在對外提供云計算業(yè)務之前，互聯網公司使用獨立的IDC機房，由邊界防火墻隔離成內外兩塊。防火墻內部屬于可信區(qū)域，自己獨占，外部屬于不可信區(qū)域，所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全，也可以在這道墻之后建立更多的墻形成縱深防御。

　　但是在開始提供云計算業(yè)務之后，這種簡潔的內外隔離的安全方案已經行不通了。通過購買云服務器，攻擊者已經深入提供商網絡的腹地，穿越了邊界防火墻。另外一方面，云計算內部的資源不再是由某一家企業(yè)獨享，而是幾萬、幾十萬甚至更多的互相不認識的企業(yè)所共有，當然也包含一些懷有惡意的用戶。顯然，按照傳統(tǒng)的方式劃分安全域做隔離已經行不通了，安全域被打破。

　　l 新的攻擊方式

　　傳統(tǒng)IDC時代攻擊者處于邊界防火墻外部，和企業(yè)服務器、路由器之間只有IP協(xié)議可達，也就是說攻擊者所能發(fā)起的攻擊，只能位于三層之上。

　　但是對于云計算來說，情況發(fā)生了變化。在一個大二層網絡里面，攻擊者所控制的云服務器與云服務提供商的路由器二層相連，攻擊者可以在更低的層面對這些設備發(fā)動攻擊，如基于ARP協(xié)議的攻擊，比如說常見的ARP欺騙攻擊，甚至更底層的以太網頭部的偽造攻擊。

　　關于以太網頭部的偽造攻擊，我曾經遇到過一次。攻擊者發(fā)送的數據包非常小，僅僅包含以太網頭部共14個字節(jié)，源和目的物理地址都是偽造的，上層協(xié)議類型為2個字節(jié)的隨機數據，并非常見的IP協(xié)議或者ARP協(xié)議，對交換機造成了一些不良影響。

　　l  虛擬層穿透

　　云計算時代，一臺宿主機上可能運行著10臺虛擬機，這些虛擬機可能屬于10個不通的用戶。從某種意義上說，這臺物理機的功能與傳統(tǒng)IDC時代的交換機相當，它就是一臺交換機，承擔著這10臺虛擬機的所有流量交換。

　　入侵了一臺宿主機，其危害性與入侵了傳統(tǒng)時代的一個交換機新黨。但是與交換機相比，是這臺宿主機更容易被入侵還是交換機更容易被入侵?顯然是宿主機更容易入侵。

　　首先，攻擊者的VM直接運行在這臺宿主機的內存里面，僅僅是使用一個虛擬層隔離，一旦攻擊者掌握了可以穿透虛擬層的漏洞，毫不費力的就可以完成入侵，常見的虛擬化層軟件如xen、kvm都能找到類似的安全漏洞。

　　其次，交換機的系統(tǒng)比較簡單，開放的服務非常有限。而宿主機則是一臺標準的Linux服務器，運行著標準的Linux操作系統(tǒng)以及各種標準的服務，可被攻擊者使用的通道也多得多。

　　2.2.  大規(guī)模效應

　　l 傳統(tǒng)攻擊風險擴大

　　為了方便讓VM故障漂移以及其它原因，云計算網絡一般的都會基于大二層架構，甚至是跨越機房、跨越城市的大二層架構。一個VLAN不再是傳統(tǒng)時代的200來臺服務器，數量會多達幾百臺、幾千臺。在大二層網絡內部，二層數據交換依賴交換機的CAM表尋址。當MAC地址的規(guī)模達到一定規(guī)模之后，甚至可能導致CAM表被撐爆。

　　類似的，ARP欺騙、以太網端口欺騙、ARP風暴、NBNS風暴等等二層內部的攻擊手法，危害性都遠遠超過了它們在傳統(tǒng)時代的影響。

　　l 攻擊頻率急劇增大

　　由于用戶的多樣性以及規(guī)模巨大，遭受的攻擊頻率也是急劇增大。以阿里云現在的規(guī)模，平均每天遭受數百起起DDoS攻擊，其中50%的攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計算。

　　這種頻度的攻擊，給安全運維帶來巨大的挑戰(zhàn)。

　　2.3.  安全的責任走向廣義