最近的云問題表明安全性可能會嚴(yán)重失敗

典型的企業(yè)云服務(wù)具有自己的安全部門，因此，與大多數(shù)公司可以在內(nèi)部實施的安全性相比，總體上可以提供更好的安全性。與云相關(guān)的安全事件被認(rèn)為是“黑天鵝”，盡管這些事件可能會影響大量用戶，但這種事件很少見。

但是，依賴于任何特定云服務(wù)的用戶數(shù)量如此之大，以至于該服務(wù)會引發(fā)攻擊，而罕見的軟件漏洞可能會導(dǎo)致大量漏洞。

以最近的“ CloudBleed”事件為例。單個字符的編碼錯誤導(dǎo)致流行的Cloudflare內(nèi)容交付服務(wù)的服務(wù)器覆蓋其緩沖區(qū)， 從而將敏感信息泄漏到Internet。盡管只有0.00003%的可能性潛在地觸發(fā)該漏洞，從而使數(shù)據(jù)泄漏很少發(fā)生，但安全問題的觸發(fā)頻率足以使Google研究人員Tavis Ormandy注意到損壞的網(wǎng)頁被緩存到搜索提供商的服務(wù)器中。

安全公司Synopsys的安全策略師羅伯特·瓦莫西(Robert Vamosi)告訴eWEEK稱，此類違規(guī)行為可能導(dǎo)致長時間處于公共領(lǐng)域的數(shù)據(jù)暴露在外 。

我們將像處理Heartbleed一樣經(jīng)歷一個過程，公司將挺身而出，說出他們是否受到[CloudBleed]的影響，” Vamosi說。“ [這表明，審查作為您業(yè)務(wù)核心部分的任何軟件或服務(wù)總是很有益的。”

該事件以及過去偶發(fā)的大問題表明，重大的云問題可能很少見，但似乎每年都在發(fā)生。而且，當(dāng)它們發(fā)生時，它們很大。

2014年4月，發(fā)現(xiàn)Heartbleed(OpenSSL心跳擴展中的一個缺陷)影響了600,000多臺服務(wù)器。2016年10月，一次大規(guī)模的拒絕服務(wù)攻擊 中斷了對Dyn的服務(wù)，該公司向許多互聯(lián)網(wǎng)企業(yè)提供DNS服務(wù)，從而破壞了一些主要品牌的服務(wù)， 例如CNN，Netflix和Twitter。

最近，CloudBleed漏洞以及被稱為TicketBleed的 F5服務(wù)器中如何實現(xiàn)傳輸層安全性(TLS)的另一個問題 ，強調(diào)了支撐Internet的核心服務(wù)，軟件和硬件的問題可能會產(chǎn)生重大后果。

“我們正在尋找實現(xiàn)錯誤，” Vamosi說。“是的，您正在使用SSL。是的，您使用的是TLS，但您使用的是某人的TLS版本，問題是，他們是否正確實現(xiàn)了所有功能?因此，不要只是相信外面的東西，而要進(jìn)行驗證。”

這樣的黑天鵝可能會破壞對云服務(wù)的信心。

在接受ITX Interop調(diào)查的公司中，超過一半(51%) 認(rèn)為，采用云服務(wù)時，安全性是最大的挑戰(zhàn)。另一項調(diào)查發(fā)現(xiàn)，根據(jù)云安全公司CloudPassage發(fā)布的一份報告，2016年有91%的受訪者非?；蛑械鹊仃P(guān)注云安全 。但是，調(diào)查發(fā)現(xiàn)，只有9%的人發(fā)生了與云相關(guān)的安全事件。

總體而言，CloudPassage調(diào)查發(fā)現(xiàn)，對云安全性的擔(dān)憂似乎是平衡的，有22%的受訪者認(rèn)為云的安全漏洞風(fēng)險較低，而21%的受訪者認(rèn)為云的風(fēng)險較高。絕大多數(shù)人沒有意見，要么回應(yīng)“不確定”，要么回應(yīng)“大致相同”。