公共云在降低計(jì)算成本和增加適應(yīng)性這些優(yōu)勢(shì)方面有著極大的潛能，但是這個(gè)領(lǐng)域的陰暗勢(shì)力也一直準(zhǔn)備好要占云計(jì)算發(fā)布模塊如“平臺(tái)及服務(wù)”（PaaS）的便宜。Arbor Networks 最近監(jiān)測(cè)到一個(gè)Google AppEngine Paas應(yīng)用軟件被一個(gè)僵尸網(wǎng)絡(luò)指揮控制（CnC）。Google迅速卸下這個(gè)軟件，但這次事件還是引發(fā)一些有趣的話題。

在惡意軟件領(lǐng)域，這種事情不是什么新話題，之前也已經(jīng)被稱為“惡意軟件即服務(wù)（Malware as a Service）”。正如合法的公司因?yàn)橐陨咸岬降暮锰庍M(jìn)入云計(jì)算領(lǐng)域，網(wǎng)絡(luò)罪犯也將他們的一些惡意軟件移入“共享的基礎(chǔ)設(shè)施”站點(diǎn)以使它們更難被減弱、封鎖或卸載。稍微有些新意的是以Google應(yīng)用軟件（如Google Reader、Blogger、等等）為宿主惡意軟件的增加。

引起我注意的是那些壞人很快就學(xué)會(huì)了利用PaaS基礎(chǔ)設(shè)施為惡意軟件CnC服務(wù)。不需要豐富想象力就可以預(yù)見壞人們從利用PaaS控制他們的惡意軟件繼而轉(zhuǎn)向新目標(biāo)IaaS應(yīng)用軟件。公共云（SaaS/PaaS/IaaS）在成本方面有一個(gè)很能說服人的價(jià)值定位，但“盒子之外的”IaaS只提供了最基本的安全保護(hù)（外圍防火墻，負(fù)載均衡，等等），進(jìn)入公共云的應(yīng)用軟件需要來自主機(jī)的像Trend Micro Deep Security 7.0這樣的更高級(jí)別的防護(hù)。這些對(duì)策可以減少壞人攻擊IaaS主機(jī)或接管其作為僵尸網(wǎng)絡(luò)樞杻的可能性。

如果一個(gè)居心不良的人購買了IaaS的主機(jī)，我認(rèn)為服務(wù)供貨商應(yīng)該監(jiān)測(cè)并當(dāng)作對(duì)Service Provider Service Level Agreement（SLA）的違背阻止這一行為。不過，服務(wù)供貨商怎么能評(píng)估他們的IaaS/PaaS被怎樣使用而又不違反應(yīng)用軟件的保密條約？如果他們不監(jiān)測(cè)其用途，他們可能要驗(yàn)證客戶的身份？還有要是服務(wù)是用被盜的個(gè)人信息（PII）和信用卡號(hào)碼購買的呢？

惡意軟件威脅是老問題，但是云端運(yùn)算又提出了新挑戰(zhàn)。

標(biāo)簽： [db:TAGG]

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。