有些事情屬于已知的已知;這些事情我們知道我們知道了。我們還知道已知的未知是存在的;也就是說，我們知道有些事情我們不知道。但未知的未知也是存在的——那些就屬于我們不知道我們不知道的事情。”

      盡管拉姆斯菲爾德因為這段發(fā)言而受到公眾的嘲笑，但它確實屬于一個政治家在不小心下說出實話的典例;實際上，我覺得任何了解計算機(jī)安全的人都會很快就明白他到底是在說什么。畢竟，我們就經(jīng)常面臨著三種類型的風(fēng)險：已知的已知、已知的未知、未知的未知。

      對于公共云計算應(yīng)用部署工作來說，最大的障礙之一就是所有未知、已知等方面額外風(fēng)險的計算。在過去幾年的時間里，作為一名公共云供應(yīng)商以及客戶，我己經(jīng)對這些問題進(jìn)行過大量深入思考。文章下面所列出的五項風(fēng)險，就是所有企業(yè)客戶在選擇采用公共云服務(wù)時都會面臨到的問題。

頭號云風(fēng)險：共享訪問模式

      在公共云計算中，重要原則之一就是多重租賃。這就意味著，盡管不同客戶之間通常都屬于毫無關(guān)聯(lián)的情況，但依然會共享相同的計算資源：CPU、存儲、內(nèi)存、命名空間以及物理建筑。

      對于我們中的絕大多數(shù)人來說，多重租賃就屬于一種巨大的已知的未知。它并不僅僅意味著我們的機(jī)密數(shù)據(jù)面臨著意外泄露給其它租戶的威脅，而且還造成了資源共享方面的額外風(fēng)險。由于只要一處漏洞出現(xiàn)就能夠?qū)е缕渌饪突蛘吖粽呖吹剿衅渌鼣?shù)據(jù)或者掌握其它客戶的真實身份，因而多重租賃所面臨的嚴(yán)峻風(fēng)險確實會令人非常不安。

      實際上，安全漏洞方面新出現(xiàn)的幾種類別就源自于云的共享性質(zhì)。現(xiàn)在，已經(jīng)有研究人員可以做到從本來應(yīng)該是新存儲空間的地方恢復(fù)出其它租戶的數(shù)據(jù)來。其它研究人員則實現(xiàn)了查看其它租戶的內(nèi)存與IP地址空間。還有幾位甚至能夠通過對IP或者M(jìn)AC地址的分配情況進(jìn)行簡單預(yù)測來達(dá)到控制其它租戶整體計算資源的目標(biāo)。

      對于我們中的絕大多數(shù)人來說，多重租賃所帶來的安全問題正變得越來越嚴(yán)峻，其中存在的薄弱環(huán)節(jié)需要立即加以探討。從實際上，如果從歷史上的情況來看，最好的例子就是一個與其它數(shù)百甚至幾千個毫無關(guān)聯(lián)的網(wǎng)站放在相同網(wǎng)絡(luò)服務(wù)器上的站點。如果歷史能夠作為指導(dǎo)經(jīng)驗的話——通常情況下，確實是這樣——從長遠(yuǎn)來看，多重租賃將會變成為一個很大的問題。

二號云風(fēng)險：虛擬技術(shù)導(dǎo)致的漏洞

      如果從虛擬化技術(shù)角度來看的話，所有大型云供應(yīng)商本身就屬于一名超級用戶。當(dāng)然，這就意味著除了物理設(shè)備上已經(jīng)存在的所有風(fēng)險外，它還有自身面臨的獨有威脅需要加上。這其中就包括了針對虛擬服務(wù)器主機(jī)以及客戶的攻擊。換句話說，我們經(jīng)常面對的風(fēng)險中，有四種主要是虛擬漏洞帶來的：這就是，僅僅針對服務(wù)器主機(jī)、客戶對客戶、主機(jī)對客戶以及客戶對主機(jī)等情況。在絕大多數(shù)人的風(fēng)險模型中，這些風(fēng)險在很大程度上都屬于未知類型，因而也沒有進(jìn)行過精確計算。

      當(dāng)我向公司相關(guān)高層提及虛擬技術(shù)導(dǎo)致的風(fēng)險問題時，他們總是會顯得毫無興趣。很多人都對我說，所謂的風(fēng)險是被夸大了，甚或認(rèn)為這樣的攻擊屬于聞所未聞的情況。而我通常就會告訴他們?nèi)タ匆幌伦约禾摂M化軟件供應(yīng)商的修補(bǔ)程序列表。那里的實際情況可是一點也不輕松。

      為了營造出足夠的氣氛來，我再透露一點嚴(yán)峻的現(xiàn)實：通常情況下，云客戶對于所選虛擬化產(chǎn)品的實際型號或供應(yīng)商正在運行的管理工具是什么一無所知。大家如果不相信其中的風(fēng)險會這么大，也可以選擇向自己的供應(yīng)商提出下面的幾個問題：公司目前使用的虛擬化軟件是什么類型?當(dāng)前的版本是什么?何人負(fù)責(zé)虛擬主機(jī)的補(bǔ)丁安裝工作，更新頻率如何?哪些人可以擁有登錄進(jìn)每臺虛擬主機(jī)或者以用戶身份進(jìn)行瀏覽的權(quán)限?

三號云風(fēng)險：身份認(rèn)證、授權(quán)以及訪問控制

      顯而易見，云供應(yīng)商對于使用的身份認(rèn)證、授權(quán)以及訪問控制機(jī)制的選擇是非常重要的，但它的實際效果在很大程度上往往要依賴于具體實施過程。他們搜索并刪除過時賬戶的具體間隔是多長時間?有多少特權(quán)賬戶可以訪問他們的系統(tǒng)——以及用戶的數(shù)據(jù)?特權(quán)賬戶采用了什么類型的身份驗證措施?我們是否與供應(yīng)商或者間接地與其它租戶共享了一個公共命名空間?畢竟，如果單從生產(chǎn)力的角度來看，共享命名空間以及身份驗證措施的單一登錄(SSO)模式效率會非常高;但與此同時，這也會導(dǎo)致數(shù)據(jù)面臨的風(fēng)險程度大幅上升。

      數(shù)據(jù)保護(hù)則是另一項非常受關(guān)注的功能。如果供應(yīng)商部署并使用了數(shù)據(jù)加密措施的話，租戶之間是否需要共享私人密鑰?在云供應(yīng)商的團(tuán)隊中，有多少人能夠看到我們的數(shù)據(jù)，他們都是誰?我們的數(shù)據(jù)存儲在哪里的物理設(shè)備之上?一旦實際需求消失，它們會被如何處理?當(dāng)然，我并不知道有多少云供應(yīng)商愿意給出這些問題的詳細(xì)答案;但是，如果我們希望找出已知與未知的情況都有哪些的話，就必須向他們提出問題。

四號云風(fēng)險：可用性

      如果我們選擇成為云供應(yīng)商的客戶，冗余以及容錯方面的問題就再也不受到自己控制了。糟糕的是，通常情況下，這些要求具體如何實現(xiàn)以及達(dá)到多高等級等情況都屬于語焉不明的問題。實際上，這就屬于完全不透明的項目。盡管所有云供應(yīng)商都聲稱自己擁有夢幻般的容錯性以及可用性，但經(jīng)年累月之后，我們會發(fā)現(xiàn)即便是最大最好的服務(wù)也出現(xiàn)過中斷數(shù)小時甚至數(shù)天的故障。

      此外，我們需要更加關(guān)注的問題就是：極少數(shù)情況下或許會出現(xiàn)的客戶數(shù)據(jù)丟失。實際上，導(dǎo)致如此后果出現(xiàn)的原因可能屬于云供應(yīng)商自身出現(xiàn)錯誤，也許是惡意攻擊者造成破壞。通常情況下，云供應(yīng)商采取的數(shù)據(jù)備份方式是極為出色的三重保護(hù)模式。但即便在供應(yīng)商聲稱備份數(shù)據(jù)安全堅如磐石的情況，依然會出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象——而且是完全徹底無法找回的情況。因此，如果有可能的話，公司應(yīng)該堅持對通過云共享的數(shù)據(jù)進(jìn)行備份，或者至少堅持保留在數(shù)據(jù)出現(xiàn)徹底丟失事故時提出起訴以獲得必要賠償?shù)臋?quán)利。

五號云風(fēng)險：所有權(quán)

      對于很多云客戶來說，這條風(fēng)險可能有些出乎意料;但是，現(xiàn)實中確實經(jīng)常會出現(xiàn)客戶往往不是數(shù)據(jù)唯一擁有者的情況。包括最大最有名在內(nèi)的很多公共云服務(wù)供應(yīng)商都會在合同中用專門條款明確指出，存儲的數(shù)據(jù)屬于供應(yīng)商——而不是客戶的。

      云供應(yīng)商之所以喜歡擁有這些數(shù)據(jù)，是因為這樣在出現(xiàn)問題的時候就能夠獲得法律的更多保護(hù)。此外，他們還可以對客戶數(shù)據(jù)進(jìn)行搜索與挖掘等處理，為自身創(chuàng)造出帶來額外收入的機(jī)會。我甚至還看到過這樣的情況，一家云供應(yīng)商倒閉了，客戶的機(jī)密數(shù)據(jù)被作為其資產(chǎn)的一部分賣給了接手的買家。這樣的現(xiàn)實情況的確令人非常震驚。因此，我們在作出選擇之前，就應(yīng)該確保明確了已知的未知問題：誰擁有我們的數(shù)據(jù)，以及云服務(wù)供應(yīng)商到底都可以用它來做些什么?

云可見性

      即便云計算中所面臨的風(fēng)險都屬于眾所周知的類型，它們依然非常難于進(jìn)行真正的精確計算。目前，我們根本無法提供足夠的歷史經(jīng)驗與現(xiàn)實根據(jù)來確定出安全性或可用性故障的概率;尤其是在面對一家具體供應(yīng)商的時間，以及這樣的風(fēng)險是否會導(dǎo)致客戶出現(xiàn)大量流失的結(jié)果。實際上，我們目前能做到的最好程度就是學(xué)習(xí)拉姆斯菲爾德，至少做到對已知的未知部分進(jìn)行親自管理。

      當(dāng)然，這里的第一步工作就是努力減少未知的未知的數(shù)量。我們必須確保供應(yīng)商的透明度能夠變得盡可能高;如果沒有什么意外的話，就應(yīng)該獲得至少一次相關(guān)成功審計報告的副本。在供應(yīng)商介紹相關(guān)策略的時間，我們就應(yīng)當(dāng)詢問上一位數(shù)據(jù)出現(xiàn)問題的租戶都遭遇了哪些損失，以及最終是如何獲得解決的。盡一切可能將云供應(yīng)商需要承擔(dān)的具體責(zé)任控制下來。畢竟，只通過詢問難以回答的問題，我們才能開始認(rèn)識到公共云計算會面臨到的總體風(fēng)險情況。

      盡管從表面上來看，我好象是在對公共云計算進(jìn)行極力貶低;但實際上，我就屬于這項服務(wù)的一名鐵桿支持者。我相信，相比起自己的客戶，絕大部分公共云供應(yīng)商在數(shù)據(jù)安全方面的工作都更為出色。但是，相比自身可以獨立實現(xiàn)的效果，我們依然需要掌握云供應(yīng)商的具體標(biāo)準(zhǔn)以及為降低風(fēng)險而采取的實際措施。