典型的企业云服务具有自己的安全部门,因此,与大多数公司可以在内部实施的安全性相比,总体上可以提供更好的安全性。与云相关的安全事件被认为是“黑天鹅”,尽管这些事件可能会影响大量用户,但这种事件很少见。
但是,依赖于任何特定云服务的用户数量如此之大,以至于该服务会引发攻击,而罕见的软件漏洞可能会导致大量漏洞。
以最近的“ CloudBleed”事件为例。单个字符的编码错误导致流行的Cloudflare内容交付服务的服务器覆盖其缓冲区, 从而将敏感信息泄漏到Internet。尽管只有0.00003%的可能性潜在地触发该漏洞,从而使数据泄漏很少发生,但安全问题的触发频率足以使Google研究人员Tavis Ormandy注意到损坏的网页被缓存到搜索提供商的服务器中。
安全公司Synopsys的安全策略师罗伯特·瓦莫西(Robert Vamosi)告诉eWEEK称,此类违规行为可能导致长时间处于公共领域的数据暴露在外 。
我们将像处理Heartbleed一样经历一个过程,公司将挺身而出,说出他们是否受到[CloudBleed]的影响,” Vamosi说。“ [这表明,审查作为您业务核心部分的任何软件或服务总是很有益的。”
该事件以及过去偶发的大问题表明,重大的云问题可能很少见,但似乎每年都在发生。而且,当它们发生时,它们很大。
2014年4月,发现Heartbleed(OpenSSL心跳扩展中的一个缺陷)影响了600,000多台服务器。2016年10月,一次大规模的拒绝服务攻击 中断了对Dyn的服务,该公司向许多互联网企业提供DNS服务,从而破坏了一些主要品牌的服务, 例如CNN,Netflix和Twitter。
最近,CloudBleed漏洞以及被称为TicketBleed的 F5服务器中如何实现传输层安全性(TLS)的另一个问题 ,强调了支撑Internet的核心服务,软件和硬件的问题可能会产生重大后果。
“我们正在寻找实现错误,” Vamosi说。“是的,您正在使用SSL。是的,您使用的是TLS,但您使用的是某人的TLS版本,问题是,他们是否正确实现了所有功能?因此,不要只是相信外面的东西,而要进行验证。”
这样的黑天鹅可能会破坏对云服务的信心。
在接受ITX Interop调查的公司中,超过一半(51%) 认为,采用云服务时,安全性是最大的挑战。另一项调查发现,根据云安全公司CloudPassage发布的一份报告,2016年有91%的受访者非常或中等地关注云安全 。但是,调查发现,只有9%的人发生了与云相关的安全事件。
总体而言,CloudPassage调查发现,对云安全性的担忧似乎是平衡的,有22%的受访者认为云的安全漏洞风险较低,而21%的受访者认为云的风险较高。绝大多数人没有意见,要么回应“不确定”,要么回应“大致相同”。