公共云在降低計算成本和增加適應(yīng)性這些優(yōu)勢方面有著極大的潛能，但是這個領(lǐng)域的陰暗勢力也一直準(zhǔn)備好要占云計算發(fā)布模塊如“平臺及服務(wù)”（PaaS）的便宜。Arbor Networks 最近監(jiān)測到一個Google AppEngine Paas應(yīng)用軟件被一個僵尸網(wǎng)絡(luò)指揮控制（CnC）。Google迅速卸下這個軟件，但這次事件還是引發(fā)一些有趣的話題。

在惡意軟件領(lǐng)域，這種事情不是什么新話題，之前也已經(jīng)被稱為“惡意軟件即服務(wù)（Malware as a Service）”。正如合法的公司因為以上提到的好處進(jìn)入云計算領(lǐng)域，網(wǎng)絡(luò)罪犯也將他們的一些惡意軟件移入“共享的基礎(chǔ)設(shè)施”站點以使它們更難被減弱、封鎖或卸載。稍微有些新意的是以Google應(yīng)用軟件（如Google Reader、Blogger、等等）為宿主惡意軟件的增加。

引起我注意的是那些壞人很快就學(xué)會了利用PaaS基礎(chǔ)設(shè)施為惡意軟件CnC服務(wù)。不需要豐富想象力就可以預(yù)見壞人們從利用PaaS控制他們的惡意軟件繼而轉(zhuǎn)向新目標(biāo)IaaS應(yīng)用軟件。公共云（SaaS/PaaS/IaaS）在成本方面有一個很能說服人的價值定位，但“盒子之外的”IaaS只提供了最基本的安全保護(hù)（外圍防火墻，負(fù)載均衡，等等），進(jìn)入公共云的應(yīng)用軟件需要來自主機(jī)的像Trend Micro Deep Security 7.0這樣的更高級別的防護(hù)。這些對策可以減少壞人攻擊IaaS主機(jī)或接管其作為僵尸網(wǎng)絡(luò)樞杻的可能性。

如果一個居心不良的人購買了IaaS的主機(jī)，我認(rèn)為服務(wù)供貨商應(yīng)該監(jiān)測并當(dāng)作對Service Provider Service Level Agreement（SLA）的違背阻止這一行為。不過，服務(wù)供貨商怎么能評估他們的IaaS/PaaS被怎樣使用而又不違反應(yīng)用軟件的保密條約？如果他們不監(jiān)測其用途，他們可能要驗證客戶的身份？還有要是服務(wù)是用被盜的個人信息（PII）和信用卡號碼購買的呢？

惡意軟件威脅是老問題，但是云端運算又提出了新挑戰(zhàn)。

標(biāo)簽： [db:TAGG]

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。