去年,信息安全顾问Context公司受聘于相当数量的客户进行信息安全调查,这些客户主要是银行和其他高端客户,他们严重关注安全问题,以确定云计算对于他们的计算需求是否是足够安全的。
Context公司研究了四家云服务提供商:亚马逊、Rackspace、VPS.net和Gige NET Cloud.在其中两家云服务供应商的服务中发现许多潜在的安全漏洞,即他们允许访问其他客户遗留的数据。
“我们关注的是未分配的磁盘部分。”Context公司研发部门经理迈克尔。乔丹说。“我们可以进入查看,一些数据。而这些存储在硬盘上的数据并不是我们自己企业的硬盘数据。”
遗留数据甚至包括个人身份信息
乔丹和他的研究团队发现的遗留数据,甚至包括一些个人识别信息,包括客户数据库和系统信息要素,如Linuxshadow文件(包含系统哈希密码)。
乔丹指出,这些信息云服务的典型用户不是很明显,必须努力寻求才能找到。此外,他还补充说,剩下的数据是随机分布的,不会允许恶意用户可以针对特定的客户进行破坏。但那些发现了这些未加密数据的恶意用户可能会使用这些数据进行牟利。
“在审查后一家供应商的全新置备硬盘之后,我们发现了一些有趣的和意想不到的情况。”乔丹和Context首席顾问杰姆斯。福肖在一篇博客中提到了他们的发现。“这涉及到一个安装WordPress和一个MySQL配置,即使没有安装虚拟服务器。”
预计这可能只是一个操作系统映像,创建了第二台虚拟服务器,并以同样的方式进行测试。令人惊讶的是,数据是完全不同的,在这种情况下暴露一个网站的用户数据库,并确定了服务器的数据是来自Apache的日志片段。这证实了数据不是来自我们配置的服务器。
管理程序配置不正确惹的祸
乔丹说,这个问题是与供应商供应新的虚拟服务器,以及他们如何分配新的存储空间的方式有关。在前端,当客户端创建新的虚拟服务器,他们使用的云服务供应商的网站选择操作系统和他们所需要的存储量。
在后端,供应商聚集磁盘空间来包含虚拟影像,然后用一个预配置的OS映像覆盖初始磁盘。
“这意味着,只有初始磁盘充满了初始化数据,其余的磁盘将永远不会被明确写入配置期间。”乔丹和福肖写道。“如果这种分配正在执行使用主机操作系统的文件API,这通常将不是一个问题。操作系统将确保任何未初始化的数据在返回到用户应用程序之前,被自动归零(或在这种情况下的虚拟机)。)显然,在这种情况下,其没有使用这些机制。
乔丹指出,因为这个问题本是配置管理程序的方法,它可能会影响主机托管提供商以及云服务提供商。
两家供应商Rackspace和VPS.net均报告说他们已经针对上述漏洞打了补丁。据说Rackspace公司已经开始与Context公司展开密切合作,以解决这一问题,他们邀请了Context调查人员到其总部,并为他们提供了研究工程师、管理人员和流程执行人员的权限。VPS.net使用了OnApp的技术,OnApp的技术也至少被其他250云服务提供商使用。VPS.net告诉Context说,他们推出了一款补丁解决这个问题。
乔丹指出,如果有企业有强大的业务需求,这个问题不应该妨碍企业使用IaaS.但他建议客户按照最佳实践方案利用云。
“如果您是一家新的客户,您有很多选择。”他说。“您可以确保您的数据在硬盘上是加密的,这样一来,就算有人获得磁盘的某一部分的访问权限,他们也无法看到加密的数据。”
乔丹还建议您多问问您的服务供应商关于他们的流程的问题,包括如何管理程序置备和取消置备的问题。此外,他指出,强化由服务提供商提供的虚拟服务器,包括检查出任何供应商使用管理服务器的后门是客户自己的责任。