從索尼洩密看雲端計算安全

導讀：近期最大的安全事件莫過於全球皆知的索尼洩密門，索尼伺服器接連遭遇黑客攻擊，大量使用者資料被盜。人們真切地感受到了雲端計算所面臨的安全威脅。

索尼洩密事件時間表

事件開始於美國當地時間2011年4月17日，索尼旗下Playstation網站遭遇黑客入侵，黑客侵入索尼公司位於美國聖迭戈市的資料伺服器，竊取了索尼PS3和音樂、動畫雲服務網路Qriocity使用者登入的個人資訊，包括姓名、住址、生日、登入名和密碼等，受影響使用者多達7700萬人，涉及57個國家和地區。同時，索尼旗下另一組負責計算機線上遊戲服務的索尼網路娛樂 (Sony Online Entertainment)也傳遭到入侵，可能將有高達2460萬筆使用者資料也遭外洩。

4月19日，索尼宣佈關閉網站服務。

4月26日，索尼對外公佈網站遭遇黑客入侵，使用者信用卡等個人資訊或遭洩漏。當日索尼公司在其官方部落格上表示，“我們通知您，您的信用卡號（不包括安全碼）和截止日期可能已經被掌握，請保持高度警惕。我們正在調查事件細節，相信一些非法人士已經掌握您提供的如下資訊：姓名，住址（城市、州和郵編）、國家、電子郵件、生日。還可能包括你的個人資料、採購歷史和賬單地址（城市、州和郵編），以及您的Play Station網路/Qriocity密碼安全答案。”

5月1日，索尼公司高層正式向公眾道歉並承諾儘快恢復網站服務。

5月2日，僅事隔一天，索尼伺服器再遭黑客攻擊，該公司的另外一款遊戲“Qriocity”服務也有近2500萬使用者被黑客竊取了姓名、地址和密碼。這兩次洩密事件使得索尼資料遭竊案受影響的使用者可能超過1億人，成為迄今規模最大的使用者資料外洩案。

5月9日，據國外媒體報導，索尼第三次遭遇網路黑客攻擊，一臺儲存了2011年索尼“sweepstakes”比賽選手資料的伺服器被黑客攻陷。

從索尼洩密看雲端計算安全

本次的索尼洩密事件最為直觀的向人們展示了當雲端計算遭遇攻擊後所將帶來的破壞性損失。此前，普渡大學電腦安全專家吉尼•斯塔福德(Gene Stafford)教授在美國國會作證時稱，索尼使用了過時的Apache Web伺服器軟體，同時也沒有安裝防火牆。但索尼方面斷然否認了斯塔福德的說法。

去年，中國雲端計算聯盟列出了雲端計算安全七宗罪：資料丟失/洩漏、共享技術漏洞、內奸、不安全的應用程式介面、沒有正確運用雲端計算、未知的風險。索尼洩密事件的真實原因尚不得而知，但從中我們可以發現一些雲端計算服務端的安全問題。

雲端應用潛藏未知威脅

索尼的PlayStation網路用於PlayStation3的線上遊戲，並向PlayStation等遊戲機提供軟體下載服務。Qriocity服務也執行在相同的網路基礎設施上，給索尼的消費類電子產品提供音訊和視訊服務。可以說，這是索尼向其廣大使用者提供服務的公有云平臺。

從索尼目前公佈的資料來看，黑客可能是通過索尼的某臺應用伺服器為跳板實施的入侵。可以肯定的是，索尼雲平臺存在未能及時發現的安全漏洞才讓黑客尋得入侵的機會。比對雲端計算安全七宗罪來看，“不安全的應用程式介面”與“共享技術漏洞”很可能是罪魁禍首之一。

現在是一個應用為王的時代，網際網路上儲存著海量的應用程式隨時供人們獲取，而每時每刻又有新的應用程式被不斷上傳到網路。海量的應用在給人們的生活帶來便利的同時，也帶來了無盡的安全隱患。因為應用程式的編寫者，更多所注重的是使用者的使用體驗，程式自身的安全性很少被人們所關注，而編寫應用程式所使用的語言、連線的資料庫、呼叫的外掛、執行的作業系統等都可能存在著尚未被發現的安全漏洞。這一個個的漏洞疊加使得應用程式成為了惡意攻擊者眼中的誘人蛋糕，應用程式自身的價值，成為了惡意攻擊者選取“蛋糕”的標準。

雲端計算的伺服器端正儲存著這海量的應用，同時伺服器自身也是依賴於各類應用才能得以順暢運轉，為使用者隨時提供服務。對於惡意攻擊者而言，他們或者可以通過安全等級更低的使用者終端裡的應用程式漏洞，逆向潛伏進入雲端計算的伺服器端；或者直接利用雲端計算伺服器端應用程式的隱藏漏洞直接實施入侵。

可以說，應用安全問題在新網際網路時代裡至關重要，特別是對於新網際網路環境下的雲端計算，提供應用服務是其核心目的。而這個核心地帶，正在成為安全關注的新焦點。索尼通過PSN等公有云平臺為其廣大使用者隨時隨地的提供應用服務，而云端應用所潛藏的各類未知安全威脅，也將索尼公有云平臺置於了危險之中。

全球傳統行業裡的一些大型巨頭(如：金融巨頭)就是出於安全問題的考慮，尚不敢採用公有云模式，而是在其內部搭建了私有云系統。藉助其現有安全防護體系，確保私有云的安全性。

雲端資料需加強防護

惡意攻擊者實現成功地入侵併不是其最終目的，在當今網際網路時代，網路犯罪集團的本質目的是為了最大化的獲取經濟利益。惡意攻擊者成功入侵後還需要找尋有價值的資料資訊，並將這些資訊竊取到惡意攻擊者的老巢裡。如果這些資料已經被加密保護，那麼惡意攻擊者還需要進行反向解密操作，獲取真實的資料。最後將這些資料販賣或者公佈出去，惡意攻擊者才最終實現了自己的目的。

如果索尼采取了嚴密的資料丟失防護，那麼哪怕惡意攻擊者成功入侵了索尼的雲端伺服器，也依然難以獲得有效的資料資訊。但就在索尼被入侵不久，就有黑客在論壇上掛牌銷售220萬個來自索尼PSN網路資料洩漏受害者的個人資訊，雖然之前索尼曾表示信用卡資訊已經得到加密，但事實上資料庫裡的內容已經被讀出。目前看來，索尼對其雲端資料的安全防護並不嚴密。也正因此，才又一次給惡意攻擊者開啟了方便之門。

整個網際網路世界的本質，就是由“0”、“1”所組成的各類資料。可以說，網際網路的安全問題，本質上就是資料的安全問題。如果能夠實現對資料的嚴密防護，那麼所有的惡意入侵都將變為無效的攻擊。

要相對雲端的資料進行有效的防護，至少要做到三點：對資料的儲存容器資料庫做好嚴密防護；對資料自身進行加密保護；設定嚴謹的操作許可權，使得惡意攻擊者找不到資料、拿不走資料、看不到資料。

從本次洩密事件來看，索尼在其雲端平臺的資料安全防護方面似乎很薄弱，甚至可能是根本就沒有建立一個嚴謹的資料丟失防護體系。

雲端安全管理至關重要

這次的索尼洩密門裡最引人注目的一點是，在索尼方面發現遭遇入侵後的半個月時間裡，索尼又接連遭遇黑客入侵卻束手無策，只能聽任惡意攻擊者隨意入侵其雲端伺服器，竊取各類使用者資料資訊。這恰恰暴露了索尼對其雲端計算平臺的安全管理中，存在著致命的缺陷。實際上，正是在入侵事件暴露後，索尼才宣佈新設立首席資訊保安官一職，負責監管PSN網路安全。

安全防護中最為重要的一個環節就是安全管理，一個企業即便購買並部署了眾多的安全防護裝置，可如果沒有一個有效的安全管理體系，那麼一切安全裝置就都只是擺設。如果缺少了有效的安全管理，那麼就不能實現有效的監督與制衡機制，無法及時發現潛在的安全威脅。

特別是對於雲端計算，大資料量聚集在雲端計算服務端，其背後所蘊藏的安全問題也極為驚人，網路管理、安全管理缺一不可。但現在，雲端計算平臺的網路管理已經被深入實施，而安全管理雖然已經被人們所認識，但依然缺乏具體的實施，索尼洩密門就是一件典型的代表事件。雲端計算平臺裡的資料需要管理、雲端計算平臺裡的應用需要管理、雲端計算平臺裡的人員需要管理，安全管理涉及到雲端計算體系的每個部分。正是由於安全管理的缺失，使得惡意入侵者可以從容的、一次又一次的侵入索尼雲端平臺，肆意竊取使用者資料。

雲端計算的未來要“杞人憂天”不要“因噎廢食”

索尼洩密門事件，折射了新網際網路時代下雲端計算的諸多安全問題。實際上，本次惡意攻擊者對索尼雲平臺發起的入侵及資料的竊取還僅僅算是小試牛刀，惡意攻擊者所能造成的破壞還可以更大。比如：將惡意程式嵌入索尼雲端平臺的各類應用程式裡，藉助索尼雲服務平臺，進行更為廣泛的傳播，讓破壞力更加深入。

但是，雲端計算是未來發展的主流，雲端計算給人們帶來的便利遠大於其安全問題所帶來的損失，我們不能由於各類雲端計算安全事件的發生就因噎廢食。索尼洩密事件給了人們很好的警醒，讓人們更加清晰的發現了雲端計算的安全缺陷。為了保障雲端計算能更好的服務於人類，我們鼓勵在對待雲端計算安全問題上持“杞人憂天”的態度，從最壞的角度去思考、去預防，在保證使用者使用體驗的前提下，為雲端計算提供最為嚴密的安全防護。

原文連結：http://news.ccidnet.com/art/1032/20110513/2389169_1.html