不管人們是否喜歡美國(guó)前國(guó)防部長(zhǎng)唐納德·拉姆斯菲爾德，在聽(tīng)到他那段著名的“未知的未知”發(fā)言時(shí)還是肯定會(huì)忍俊不禁：

“有些事情屬于已知的已知；這些事情我們知道我們知道了。我們還知道已知的未知是存在的；也就是說(shuō)，我們知道有些事情我們不知道。但未知的未知也是存在的——那些就屬于我們不知道我們不知道的事情?！?/p>

盡管拉姆斯菲爾德因?yàn)檫@段發(fā)言而受到公眾的嘲笑，但它確實(shí)屬于一個(gè)政治家在不小心下說(shuō)出實(shí)話(huà)的典例;實(shí)際上，我覺(jué)得任何了解計(jì)算機(jī)安全的人都會(huì)很快就明白他到底是在說(shuō)什么。畢竟，我們就經(jīng)常面臨著三種類(lèi)型的風(fēng)險(xiǎn)：已知的已知、已知的未知、未知的未知。

對(duì)于公共云計(jì)算應(yīng)用部署工作來(lái)說(shuō)，最大的障礙之一就是所有未知、已知等方面額外風(fēng)險(xiǎn)的計(jì)算。在過(guò)去幾年的時(shí)間里，作為一名公共云供應(yīng)商以及客戶(hù)，我己經(jīng)對(duì)這些問(wèn)題進(jìn)行過(guò)大量深入思考。文章下面所列出的五項(xiàng)風(fēng)險(xiǎn)，就是所有企業(yè)客戶(hù)在選擇采用公共云服務(wù)時(shí)都會(huì)面臨到的問(wèn)題。

頭號(hào)云風(fēng)險(xiǎn)：共享訪(fǎng)問(wèn)模式

在公共云計(jì)算中，重要原則之一就是多重租賃。這就意味著，盡管不同客戶(hù)之間通常都屬于毫無(wú)關(guān)聯(lián)的情況，但依然會(huì)共享相同的計(jì)算資源：CPU、存儲(chǔ)、內(nèi)存、命名空間以及物理建筑。

對(duì)于我們中的絕大多數(shù)人來(lái)說(shuō)，多重租賃就屬于一種巨大的已知的未知。它并不僅僅意味著我們的機(jī)密數(shù)據(jù)面臨著意外泄露給其他租戶(hù)的威脅，而且還造成了資源共享方面的額外風(fēng)險(xiǎn)。由于只要一處漏洞出現(xiàn)就能夠?qū)е缕渌饪突蛘吖粽呖吹剿衅渌麛?shù)據(jù)或者掌握其他客戶(hù)的真實(shí)身份，因而多重租賃所面臨的嚴(yán)峻風(fēng)險(xiǎn)確實(shí)會(huì)令人非常不安。

實(shí)際上，安全漏洞方面新出現(xiàn)的幾種類(lèi)別就源自于云的共享性質(zhì)?，F(xiàn)在，已經(jīng)有研究人員可以做到從本來(lái)應(yīng)該是新存儲(chǔ)空間的地方恢復(fù)出其他租戶(hù)的數(shù)據(jù)來(lái)。其他研究人員則實(shí)現(xiàn)了查看其他租戶(hù)的內(nèi)存與IP地址空間。還有幾位甚至能夠通過(guò)對(duì)IP或者M(jìn)AC地址的分配情況進(jìn)行簡(jiǎn)單預(yù)測(cè)來(lái)達(dá)到控制其他租戶(hù)整體計(jì)算資源的目標(biāo)。

對(duì)于我們中的絕大多數(shù)人來(lái)說(shuō)，多重租賃所帶來(lái)的安全問(wèn)題正變得越來(lái)越嚴(yán)峻，其中存在的薄弱環(huán)節(jié)需要立即加以探討。從實(shí)際上，如果從歷史上的情況來(lái)看，最好的例子就是一個(gè)與其他數(shù)百甚至幾千個(gè)毫無(wú)關(guān)聯(lián)的網(wǎng)站放在相同網(wǎng)絡(luò)服務(wù)器上的站點(diǎn)。如果歷史能夠作為指導(dǎo)經(jīng)驗(yàn)的話(huà)——通常情況下，確實(shí)是這樣——從長(zhǎng)遠(yuǎn)來(lái)看，多重租賃將會(huì)變成為一個(gè)很大的問(wèn)題。

二號(hào)云風(fēng)險(xiǎn)：虛擬技術(shù)導(dǎo)致的漏洞

如果從虛擬化技術(shù)角度來(lái)看的話(huà)，所有大型云供應(yīng)商本身就屬于一名超級(jí)用戶(hù)。當(dāng)然，這就意味著除了物理設(shè)備上已經(jīng)存在的所有風(fēng)險(xiǎn)外，它還有自身面臨的獨(dú)有威脅需要加上。這其中就包括了針對(duì)虛擬服務(wù)器主機(jī)以及客戶(hù)的攻擊。換句話(huà)說(shuō)，我們經(jīng)常面對(duì)的風(fēng)險(xiǎn)中，有四種主要是虛擬漏洞帶來(lái)的：這就是，僅僅針對(duì)服務(wù)器主機(jī)、客戶(hù)對(duì)客戶(hù)、主機(jī)對(duì)客戶(hù)以及客戶(hù)對(duì)主機(jī)等情況。在絕大多數(shù)人的風(fēng)險(xiǎn)模型中，這些風(fēng)險(xiǎn)在很大程度上都屬于未知類(lèi)型，因而也沒(méi)有進(jìn)行過(guò)精確計(jì)算。

當(dāng)我向公司相關(guān)高層提及虛擬技術(shù)導(dǎo)致的風(fēng)險(xiǎn)問(wèn)題時(shí)，他們總是會(huì)顯得毫無(wú)興趣。很多人都對(duì)我說(shuō)，所謂的風(fēng)險(xiǎn)是被夸大了，甚或認(rèn)為這樣的攻擊屬于聞所未聞的情況。而我通常就會(huì)告訴他們?nèi)タ匆幌伦约禾摂M化軟件供應(yīng)商的修補(bǔ)程序列表。那里的實(shí)際情況可是一點(diǎn)也不輕松。

為了營(yíng)造出足夠的氣氛來(lái)，我再透露一點(diǎn)嚴(yán)峻的現(xiàn)實(shí)：通常情況下，云客戶(hù)對(duì)于所選虛擬化產(chǎn)品的實(shí)際型號(hào)或供應(yīng)商正在運(yùn)行的管理工具是什么一無(wú)所知。大家如果不相信其中的風(fēng)險(xiǎn)會(huì)這么大，也可以選擇向自己的供應(yīng)商提出下面的幾個(gè)問(wèn)題：公司目前使用的虛擬化軟件是什么類(lèi)型?當(dāng)前的版本是什么?何人負(fù)責(zé)虛擬主機(jī)的補(bǔ)丁安裝工作，更新頻率如何?哪些人可以擁有登錄進(jìn)每臺(tái)虛擬主機(jī)或者以用戶(hù)身份進(jìn)行瀏覽的權(quán)限?

三號(hào)云風(fēng)險(xiǎn)：身份認(rèn)證、授權(quán)以及訪(fǎng)問(wèn)控制

顯而易見(jiàn)，云供應(yīng)商對(duì)于使用的身份認(rèn)證、授權(quán)以及訪(fǎng)問(wèn)控制機(jī)制的選擇是非常重要的，但它的實(shí)際效果在很大程度上往往要依賴(lài)于具體實(shí)施過(guò)程。他們搜索并刪除過(guò)時(shí)賬戶(hù)的具體間隔是多長(zhǎng)時(shí)間?有多少特權(quán)賬戶(hù)可以訪(fǎng)問(wèn)他們的系統(tǒng)——以及用戶(hù)的數(shù)據(jù)?特權(quán)賬戶(hù)采用了什么類(lèi)型的身份驗(yàn)證措施?我們是否與供應(yīng)商或者間接地與其他租戶(hù)共享了一個(gè)公共命名空間?畢竟，如果單從生產(chǎn)力的角度來(lái)看，共享命名空間以及身份驗(yàn)證措施的單一登錄(SSO)模式效率會(huì)非常高;但與此同時(shí)，這也會(huì)導(dǎo)致數(shù)據(jù)面臨的風(fēng)險(xiǎn)程度大幅上升。

數(shù)據(jù)保護(hù)則是另一項(xiàng)非常受關(guān)注的功能。如果供應(yīng)商部署并使用了數(shù)據(jù)加密措施的話(huà)，租戶(hù)之間是否需要共享私人密鑰?在云供應(yīng)商的團(tuán)隊(duì)中，有多少人能夠看到我們的數(shù)據(jù)，他們都是誰(shuí)?我們的數(shù)據(jù)存儲(chǔ)在哪里的物理設(shè)備之上?一旦實(shí)際需求消失，它們會(huì)被如何處理?當(dāng)然，我并不知道有多少云供應(yīng)商愿意給出這些問(wèn)題的詳細(xì)答案;但是，如果我們希望找出已知與未知的情況都有哪些的話(huà)，就必須向他們提出問(wèn)題。

四號(hào)云風(fēng)險(xiǎn)：可用性

如果我們選擇成為云供應(yīng)商的客戶(hù)，冗余以及容錯(cuò)方面的問(wèn)題就再也不受到自己控制了。糟糕的是，通常情況下，這些要求具體如何實(shí)現(xiàn)以及達(dá)到多高等級(jí)等情況都屬于語(yǔ)焉不明的問(wèn)題。實(shí)際上，這就屬于完全不透明的項(xiàng)目。盡管所有云供應(yīng)商都聲稱(chēng)自己擁有夢(mèng)幻般的容錯(cuò)性以及可用性，但經(jīng)年累月之后，我們會(huì)發(fā)現(xiàn)即便是最大最好的服務(wù)也出現(xiàn)過(guò)中斷數(shù)小時(shí)甚至數(shù)天的故障。

此外，我們需要更加關(guān)注的問(wèn)題就是：極少數(shù)情況下或許會(huì)出現(xiàn)的客戶(hù)數(shù)據(jù)丟失。實(shí)際上，導(dǎo)致如此后果出現(xiàn)的原因可能屬于云供應(yīng)商自身出現(xiàn)錯(cuò)誤，也許是惡意攻擊者造成破壞。通常情況下，云供應(yīng)商采取的數(shù)據(jù)備份方式是極為出色的三重保護(hù)模式。但即便在供應(yīng)商聲稱(chēng)備份數(shù)據(jù)安全堅(jiān)如磐石的情況，依然會(huì)出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象——而且是完全徹底無(wú)法找回的情況。因此，如果有可能的話(huà)，公司應(yīng)該堅(jiān)持對(duì)通過(guò)云共享的數(shù)據(jù)進(jìn)行備份，或者至少堅(jiān)持保留在數(shù)據(jù)出現(xiàn)徹底丟失事故時(shí)提出起訴以獲得必要賠償?shù)臋?quán)利。

五號(hào)云風(fēng)險(xiǎn)：所有權(quán)

對(duì)于很多云客戶(hù)來(lái)說(shuō)，這條風(fēng)險(xiǎn)可能有些出乎意料;但是，現(xiàn)實(shí)中確實(shí)經(jīng)常會(huì)出現(xiàn)客戶(hù)往往不是數(shù)據(jù)唯一擁有者的情況。包括最大最有名在內(nèi)的很多公共云服務(wù)供應(yīng)商都會(huì)在合同中用專(zhuān)門(mén)條款明確指出，存儲(chǔ)的數(shù)據(jù)屬于供應(yīng)商——而不是客戶(hù)的。

云供應(yīng)商之所以喜歡擁有這些數(shù)據(jù)，是因?yàn)檫@樣在出現(xiàn)問(wèn)題的時(shí)候就能夠獲得法律的更多保護(hù)。此外，他們還可以對(duì)客戶(hù)數(shù)據(jù)進(jìn)行搜索與挖掘等處理，為自身創(chuàng)造出帶來(lái)額外收入的機(jī)會(huì)。我甚至還看到過(guò)這樣的情況，一家云供應(yīng)商倒閉了，客戶(hù)的機(jī)密數(shù)據(jù)被作為其資產(chǎn)的一部分賣(mài)給了接手的買(mǎi)家。這樣的現(xiàn)實(shí)情況的確令人非常震驚。因此，我們?cè)谧鞒鲞x擇之前，就應(yīng)該確保明確了已知的未知問(wèn)題：誰(shuí)擁有我們的數(shù)據(jù)，以及云服務(wù)供應(yīng)商到底都可以用它來(lái)做些什么?

云可見(jiàn)性

即便云計(jì)算中所面臨的風(fēng)險(xiǎn)都屬于眾所周知的類(lèi)型，它們依然非常難于進(jìn)行真正的精確計(jì)算。目前，我們根本無(wú)法提供足夠的歷史經(jīng)驗(yàn)與現(xiàn)實(shí)根據(jù)來(lái)確定出安全性或可用性故障的概率;尤其是在面對(duì)一家具體供應(yīng)商的時(shí)間，以及這樣的風(fēng)險(xiǎn)是否會(huì)導(dǎo)致客戶(hù)出現(xiàn)大量流失的結(jié)果。實(shí)際上，我們目前能做到的最好程度就是學(xué)習(xí)拉姆斯菲爾德，至少做到對(duì)已知的未知部分進(jìn)行親自管理。

當(dāng)然，這里的第一步工作就是努力減少未知的未知的數(shù)量。我們必須確保供應(yīng)商的透明度能夠變得盡可能高;如果沒(méi)有什么意外的話(huà)，就應(yīng)該獲得至少一次相關(guān)成功審計(jì)報(bào)告的副本。在供應(yīng)商介紹相關(guān)策略的時(shí)間，我們就應(yīng)當(dāng)詢(xún)問(wèn)上一位數(shù)據(jù)出現(xiàn)問(wèn)題的租戶(hù)都遭遇了哪些損失，以及最終是如何獲得解決的。盡一切可能將云供應(yīng)商需要承擔(dān)的具體責(zé)任控制下來(lái)。畢竟，只通過(guò)詢(xún)問(wèn)難以回答的問(wèn)題，我們才能開(kāi)始認(rèn)識(shí)到公共云計(jì)算會(huì)面臨到的總體風(fēng)險(xiǎn)情況。

盡管從表面上來(lái)看，我好象是在對(duì)公共云計(jì)算進(jìn)行極力貶低;但實(shí)際上，我就屬于這項(xiàng)服務(wù)的一名鐵桿支持者。我相信，相比起自己的客戶(hù)，絕大部分公共云供應(yīng)商在數(shù)據(jù)安全方面的工作都更為出色。但是，相比自身可以獨(dú)立實(shí)現(xiàn)的效果，我們依然需要掌握云供應(yīng)商的具體標(biāo)準(zhǔn)以及為降低風(fēng)險(xiǎn)而采取的實(shí)際措施。