云计算的最大安全风险：安全责任不清

分析师表示，虚拟化和云计算不会影响到大多数公司的在线安全。但是由于IT服务客户想当然的认为他们的云计算提供商应当承担安全责任，这使得这些客户变得易于遭受攻击。与此同时，虚拟化和云计算也在其中起到推波助澜的作用。

科技商务研究公司负责服务器问题的分析师Ezra Gottheil称："安全和云托管是两个独立的事物，入门的花费很低，通常也十分简单。客户或许不会花很多心思考虑许应当为安全负责。"

在本周公布的报告中，市场研究公司Gartner认为云计算的安全责任并不明确。他们认为有必要获得云服务是如何工作的信息列表以及明确写明了客户的希望与要求的服务级协议。

在今年三月份，云安全联盟进行的研究列出了云计算存在的七个顶级安全风险，其中有一项就是客户忽视了安全实践，而服务提供商拒绝提供信息以解决这一安全风险。据云安全联盟的研究显示，云项目和它们面临的风险可能会受到云部署的事实而变得极为复杂。如今云所展示出来的优势以及一些团体正积极推动云部署。值得担忧的是这些团体可能并没能紧跟上安全形势的发展。

451集团分析师Josh Corman称，云计算业务的特性意味着许多客户或潜在客户并不清楚当他们将一个网站或是公司的应用放在其他人的硬件上时，他们是如何暴露在风险之中的。

负责托管和保护客户应用安全的云服务商FireHost公司的首席执行官Chris Drake称，即便不是如此，大多数云和网站托管客户也都想当然的认为他们的服务提供商负有保护他们网站安全的责任。

云计算客户是如何受害的

金融服务公司LawLeaf是FireHost最近才发展的一个客户，该公司主要业务是为那些筹资打官司的人提供贷款。在经历了一场几乎导致公司倒闭的攻击后，LawLeaf最终放弃了他们原先选择的网络托管服务商BlueHost。

LawLeaf公司的总经理Tim Burke称他在2007年以很少的资金开始运营这个公司，当时他的主要工作是向非营利公司出售成员管理软件，运营公司只是他的一个副业。他最初选择了 BlueHost托管LawLeaf.com，选择BlueHost的原因是该公司的名声和每月6.95美元的服务费用。Burke称，在今年年初 LawLeaf.com开始走下坡路之前，他对BlueHost的服务还中相当满意的。

在今年一月份，LawLeaf.com遭到了SQL注入式攻击。攻击导致网站频繁崩溃，更为糟糕的是网站还在没有任何防备的用户电脑中强行安装恶意插件。Burke称，到了二月份，网站每周都会崩溃两次，而到了三月份，网站的崩溃频率已经到了一天一次的地步。

恶意插件的下载使得LawLeaf受到了来自谷歌的警告。Burke称，如果LawLeaf不解决这一问题，那么谷歌将禁止他们的网站出现在搜索结果列表中。

由于LawLeaf的大多数业务来自自己的网站，频繁的崩溃导致公司的业务下滑，影响到了公司的信誉。

Burke称："由于网站问题，我们失去了许多业务，我们每天都会损失数千美元。我最为担心的是向客户推荐我们服务的律师。客户向我们提供了机密文件，律师向客户推荐我们进行融资。如果我们的网站每时每刻都在受到黑客攻击，那么客户根本不会信任我们。"

对于LawLeaf来说，幸运的是通过电子邮件发过来的客户文件并没有受到影响。Burke称，尽管如此，网站的每一次崩溃都对公司的声誉产生了严重的负面影响。

Burke指出，在网站崩溃时，BlueHost会对他进行提醒，并做出一些初步分析以确定问题并不在他们的服务器上。他称，BlueHost从来就没有采取进一步行动以解决这一问题。

Burke称："他们仅仅是不停的告诉我杀毒或是关闭我们的网页。我按他们的说法尝试了许多次，但是网站还是不断的崩溃。"

BlueHost公司的重点是为客户和规模较小的公司提供低廉的托管服务。除了每月收费只有6.95美元的基本服务外，他们并不提供更为高级的服务，也不会对客户多次反应的问题做出回应。

由于LawLeaf.com的问题一直没有解决，Burke将服务商换成为了FireHost。FireHost承诺将阻止今后的攻击或是在出现攻击后进行防范。Burke称，现在他们每月要支付400美元的服务费。在接管了LawLeaf.com后，FireHost就分离了基于PHP的页面，清除了问题代码。

FireHost的首席执行官Drake称："实际上，LawLeaf在关闭PHP页面方面采取了很好的措施。但是之所以还是不断的出现问题是因为数据库中存在有大量的SQL注入代码。"

Burke称为了得到更好的服务，他们曾经向BlueHost公司支付了不少钱。到目前为止，Burke仍然认为BlueHost应当负责网站的安全，有义务解决恶意插件问题。

尽管BlueHost的承诺中正常运行率和可靠性高达99.5%，但是公司并没有对LawLeaf.com的安全问题负起责任。科技商务研究公司分析师Gottheil称："在这个案例中，我并不能确定这是机制问题。但是由于SQL注入攻击经常会通过他们自己的网页进行攻击，无论客户知道与否，防范这类攻击应当是客户的责任。"

LawLeaf和BlueHost的案例向我们展示了为什么云计算客户需要搞清楚谁应当承担安全责任的原因。