【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。SecuRisk Solutions和Express Certification公司的创建者和CEO Manoranjan Paul为我们解读乌云中的一线光明：云计算安全概览。

▲Mano Paul演讲：乌云中的一线光明

　　Manoranjan Paul：早上好!我非常高兴来到中国，我在这里讲一个今年很重要的课题，关于云计算，我们在一个世界上有很多云计算的应用，在云计算里面，重要的是要记住我们绝对不能忽视云计算的安全问题。

　　Mano首先比喻到：“天空飘荡的每片乌云里都蕴含一丝希望之光。我们的希望就是“安全”，乌云变得很黑的时候，我们的安全是我们的希望。希望是什么?希望就是在我和你们一起来考虑安全问题，把安全问题做到应用里面去，怎么开发、设计、部署安全的云计算软件。如果你对云计算不是很熟悉的话，基本云计算可以总结为“3—4—5”，三种最基本的部署模式，LaaS基础作为服务，PaaS平台作为服务;SaaS软件作为服务。我们大家多数都是做第三种软件服务，服务软件需要平台服务和技术服务。”

　　Mano谈到，目前有四种云：

　　　• Private私有云。大部分公司在私有云里面，有比较严格的限制；
　　　• Community共有云。任何人都可以用云；
　　　• Public社团云。你有多个用户，但是总是限制在某些社团里面的应用，社团基本上是一个混合云；
　　　• Hybrid混合云。

　　五个特征：

　　　• ON—Demand Self Service;按需服务，用多少付多少；
　　　• Broad network Access;广泛的网络接入；
　　　• Measured Service;规范化服务；
　　　• Sapid Elasticity;快速弹性；
　　　• Resource Pooling;资源池。

　　云计算使IT成为标准化的服务，这是我们云计算的定义。我们希望以后在标准化的前面加“安全标准化”服务。

　　除了“早上好”，我也知道另外一个词叫做“危机”，有两层含义：第一个是危险，第二个是机会。发展会非常快，会产生以百万计美元的服务。我们到底能做什么来把危机变成真正的机会?

　　今天我们要讲的事情“乌云中的希望之光”，两个研究结果，对于云计算，数据控制，云安全，除了这两个之外，还有别的威胁。API的问题、滥用或非法使用/共用技术的问题，恶意内部用户等问题。

　　我最喜欢的电影之一是“THE Shawhank Redemption”，一个人被错判入狱15年，最终他逃了出来，“希望”是一件好事情，可能是最好的事情，好事情不会永远消失，所以即使云计算乌云存在，“希望”也还是好事情，不会消失。

　　怎么看到这个“希望”是我今天看到的事情。

　　第一个威胁，数据流失(数据泄漏)。有人抢劫银行，为什么抢劫呢?需要钱他们必须抢劫银行才行。但是云计算跟银行不一样，他不需要来你的房间，只要去你的云里面去偷你的数据。

　　我们要保护我们的数据，基本的事情要进行数据加密，保护数据，根据你需要什么，我会应用这些技术保护我的数据。我的软件需不需要能够快速更新?不要让你的算法或者钥匙在程序里面。把你的软件重写，我们要保证你的密码数重新改变。安全的清除数据，我们现在只能用重写，或者物理上消除这些数据，但是不幸在云计算里面，我们只能用一个办法使这个数据不会传承或者重写，别的办法不能用，因为资源要留给下一个用户用，不能消除介质。唯一能做的事情就是重写。 保护数据泄漏，我们应该使用数据泄漏保护技术。

　　第二个威胁，未授权的存储和中间人的攻击。这里的应用软件基于用户的决策，有一个“中国桥模式”，如果你有一个用户，可以访问多个数据库，如果提供商还有别的数据，让别的用户使用的话，要保证数据不能被有利益冲突的用户接触或者使用，“中国桥”是非常重要的办法，保护数据的隐私和数据的分离。当你用云计算的时候，你应该向你的提供商查询，他们有没有、怎么样完成他们“中国桥”的保护。会话管理非常重要，会话应该是随机产生，不能被别人劫持。

　　第三个威胁，应用软件容易接受网络攻击。一些不安全的API，如有些提供商的API不安全，有些云计算的API不是很安全，我们要处理这样的API。我们要确信这些不安全的API被清除掉。大部分的API是私有提供商提供的，我们不能把它清除掉。在我们的云计算的安全要进行投资、回收、研究利用别人的API的时候，不应该锁定到某一个提供商的API。不幸的是云计算的API的标准刚出现，我们还得使用私有API软件。要做一些投资去研究私有API，希望五年以后API标准化，我们会用到标准的API。

　　第四个威胁，恶意使用或者滥用。云计算基本上是用虚拟机实现的，同样的威胁对虚拟机的威胁也会影响到云计算。当我内部云资源不够的时候，我会用到共有云资源，当你公司发展快的时候，你的私有云不够，会用外部云。问题是我们常用的IP或者内部的云，如果转换成外部云IP或者外部的话，就不会有被IP地址伪造的危险，你做这个事情就要非常小心。强化“沙盒化”系统设施非常重要。

　　最后我要讲的是网络取证问题。以前我们知道谁会攻击我们的网络，当我的软件在云里面，现在我就不知道谁会用这些资源。在云计算的环境下，我们不能够知道到底袭击者从哪里过来的。提供商的内部用户也有访问我们的数据，在防火墙以内的敌人也是非常危险的。我们写云计算软件时，控制记录审计非常重要，这样会帮助我们发现有问题的活动。我们要相信服务的提供者，但是我们要验证他们是如何运作和控制的。关于网络取证，当我们把应用软件放到云里头的时候，提供商可以把我的软件给别人用，当那个人把环境改变以后，那个基础给别人用得时候，如果我想做任何取证工作的话，基本上不可能让法律相信这个证据。这就会打开很多问题，我们需要到底做什么。

　　如果你不懂得身份管理的话，就会造成内部用户恶意使用的问题，不能够确认到底提供者的控制系统如何工作的。操作云端不仅要尽职而且要尽责。

　　最后我要说的是与人有关的事情，如果我们有很好的技术，如果人教育没有培训好的话，用这些技术会影响到所有的事情，最弱的环节是我们自己，教育和培训是任何云计算安全策略成功的关键，大家都知道需要做什么。

　　相关链接：

　　OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
　　OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html