趨勢科技資深工程師作者：Rik Ferguson

英國有四分之三的資訊長 (CIO) 認為資訊安全是雲端運算接納度不高的主要障礙，但是，如果您看看維基百科 (Wikipedia) 上有關雲端運算的文章，「安全性」卻是雲端式服務的主要特色之一，聽起來是不是有些矛盾？

之所以會出現這樣的矛盾，問題應該是出在語言本身，而非技術。眾所周知，講到技術，「雲端」一詞對每個人的意義都不盡相同。若講到天上的雲朵，那可就有無限的變化！不過，不管怎樣，「安全性」一詞的意義絕對是相同的。

當您的談話對象不同，例如：系統管理員、網路管理員、程式設計師、駭客、警衛、場地管理員，或者是三星級上將，每一個人對安全性的認知就會不同，此外，達到安全性的目標與方法也會有所差異。如果您的對象是企業 CXX 級的高階經理人，那麼他們對安全性的認知 (尤其是雲端安全)，鐵定又是截然不同。

雲端運算的時代終將來臨。雲端運算能讓企業簡化硬體與軟體，創造真正的價值，同時又能減輕 IT 預算上的負擔。此外，雲端運算徹底改變了 IT 基礎架構，也改變了資料保護的方式。

昨日的資訊安全威脅主要是破壞電腦與網路。今日的威脅則專門竊取資料和資訊 (信用卡卡號、身分證字號、金融資料等等)，不但如此，現在的企業和使用者還為資料氾濫所苦。今天，全球網路上流通的資料量已經以 PB (petabyte) 來計算。這些資料不僅龐大，而且行動性高。我們有各式各樣的用戶端裝置，例如：筆記型電腦、迷你筆記型電腦、平板電腦、智慧型手機等等，全都具備收發雲端資料以及使用雲端應用程式的能力。資料不再集中於單一伺服器或裝置。那麼，這麼龐大的資料，我們如何確保其安全性？尤其，向來以資料與資訊交換安全為己任的趨勢科技又有何對策？

IDC（國際數據資訊公司）的Frank Gens說2010年會是IT產業的轉變年（transformational year for IT），部份轉變來自雲端運算技術。雖然雲端運算是熱門話題，許多IT朋友對主機部份從供應商的選擇到對安全與順應性的控制，仍感迷失與不確定。我們整理出一份很讚的資源列表來助你在這些議題中導航。如果你發現其它值得分享的內容，請讓我們知道。

有數家企業機構和集團在協助瞭解雲端技術，提供了最佳的實行方式並促成標準化：

l          Cloud Security Alliance雲端安全聯盟是一個非營利性機構，宣導提供安全防護和一般教育的最佳雲端運算使用實行方式。他們設有Google Group和LinkedIn Group 可供提問或參考其他IT人員所面對的問題。可在Twitter推特@CloudSA.上進行跟隨。

l          Jericho ForumJericho討論區致力於全球公開網路環境安全事業的提升。

l          Cloud Computing Interoperability Forum雲端運算互通性討論區是一個非營利協會組織，在推動接納雲端服務。可加入他們的Google Group來瞭解更多相關資訊。

l          Open Cloud Computing Interface Working Group雲端運算公開介面工作小組正在進行雲端運算基礎架構中遠端管理的應用程式介面（Application Program Interface，簡稱API）。

l          Distributed Management Task Force:  Open Cloud Standards Incubator 分散管理工作小組：公開雲端標準化培育，處理雲端系統管理的互通性。

l          歐洲網路與資訊安全局（European Network and Information Security Agency，簡稱 ENISA）整理出一份雲端運算風險評估（Cloud Computing Risk Assessment）報告，審視雲端運算的安全優勢與風險。

發表者：Justin Foster

趨勢科技趨勢科技 Deep Security 及OfficeScan Intrusion Defense Firewall軟體架構工程師

隨著新的應用程式開始以雲端模型為開發基礎，開發人員也開始希望透過平台服務化 (Platform-as-a-Service，簡稱 PaaS) 來簡化應用程式的開發與部署。畢竟，要照顧應用程式底層的作業系統、資料儲存、訊息佇列以及應用程式容器，是一件複雜而耗費成本的工作。PaaS 的承諾，就是要提供一個應用程式基礎架構，由供應商負責照顧底層的堆疊。

聽起來的確不錯，不過，您得先仔細思考量一下您將放棄的安全控管能力：

可見度：在一個 PaaS 環境中，使用者只負責部署應用程式與資料。從終端使用者的角度來看，這並沒有一種標準的方法可以了解修補程式版本、收集系統/伺服器記錄檔，或者執行漏洞評估 (遠端測試通常是不允許的)。您如何知道自己的基礎是否穩固？

可攜性/互通性：PaaS 與 IaaS 不同之處在於，IaaS 上的虛擬機器通常可以在不同服務供應商之間互通，但 PaaS 卻會用到客製化 API、特殊應用程式容器，有時甚至是程式語言延伸功能。您是否能夠在必要時移轉您的應用程式？

安全性：大部分的 PaaS 方案都無法讓客戶部署網路式或主機式 WAF、DAM、IPS、FIM、AV 或 DLP 等方案。某些平台服務廠商會提供一些內建的安全服務，但終端使用者卻無法掌握，也無從選擇。您是否真的能讓應用程式「暴露在外」？

這些問題並非無解，但需要由平台供應商來做。

Chris Hoff 是一位知名的雲端運算熱愛者，他目前正與一個工作小組合作，共同開發一套通用的安全 API 來提供漏洞掃瞄、稽核、組態管理、修補程式管理等等所需的資訊。如果 PaaS 供應商採納了這套名為 A6 的 API (涵蓋了稽核、斷定、評估、確保)，將可提供迫切需要的手動與自動化驗證方法。

發表者：趨勢科技資料外洩防護小組資深協理 Todd Thiemann

當「Google 攻擊」(一般稱為 Aurora、Google 攻擊或 Hydraq) 和 Gmail 帳號遭到入侵的事件首次爆發時，某些觀察家認為這些新聞有可能將衝擊雲端運算。然而隨著事件的後續進展，大家發現原來只是單純的端點漏洞問題。此處並非要淡化這項攻擊的重要性，只是希望釐清這次的事件並非特殊的雲端安全問題，而是典型的端點安全問題。

趨勢科技已發表了一些實用而且可採取行動的資訊，還有關於 Google 攻擊的細節。我在趨勢科技 TrendLabs 威脅研究團隊的同事已經在其部落格中公佈了許多有關這項漏洞的詳細內容。Microsoft針對這項公開的漏洞以及其他七項私下通報的漏洞發佈了一份緊急修補程式。

如果您是一家企業，並且擔心自己是否正處於危險當中，建議您可以考慮看看趨勢科技提供的 Threat Management Services (TMS) 威脅管理服務。

不論您是否要採用趨勢科技的企業資訊安全產品，TMS 評估服務都能消除您心中的疑惑。如果您是一般消費者，並且擔心家中的個人電腦是否遭到感染，您可以免費下載完整功能的防毒軟體 PC-cillin 2010 試用版，請到這裡費下載，來檢查您的系統。

＊雲端運算安全趨勢＊ 參加Gartner Data Center Conference 資料中心大會感想

作者： 趨勢科技資料外洩防護小組資深協理Todd Thiemann 

我參加了 12 月份在美國拉斯維加斯舉行的 Gartner Data Center Conference (資料中心大會)，希望透過這項活的觀察深入了解企業 IT 專業人員對於虛擬化與雲端運算的看法。 雖然我個人並不喜歡拉斯維加斯，但我還是逛了一下彈珠台迷必到的旅遊勝地：Pinball Hall of Fame (彈珠台名人堂)。從資訊安全的角度來看，Gartner 分析師和與會人員對於雲端運算的態度給了我幾點啟示。

虛擬化正當道：VMware 的課程人數爆滿，大多數關於虛擬化與儲存交換網路的課程也是人潮洶湧。有關虛擬化安全的課程，倒提到了一個重點，那就是：負責應用程式與儲存的 IT 人員與負責資訊安全的 IT 人員彼此之間缺乏聯繫。虛擬化的列車目前正全速向前邁進，但資訊安全團隊卻在後面苦苦追趕，努力研究虛擬化可能帶來的安全問題。舊的邊界安全模型正受到嚴重挑戰，因為透過 VMotion 的技術，應用程式在 VMware 環境當中可以自由移動 (小心別讓一些敏感的應用程式意外掉入 DMZ 區域)。對資訊安全的影響：您最好小心架構您的虛擬化資料中心，並且考慮採用 VLAN 以及分散式虛擬交換器 (Distributed Virtual Switch)。

私人雲端運算是企業的短期因應之道：執行長們的要求是：「利用雲端來降低成本」，而資訊長們的回應則是：「是的，我們已經在做了，那就是所謂的私人雲端」。在 Gartner 這次的活動當中，廠商與 Gartner 分析師的重點大都圍繞在私人雲端運算。對於所謂的私人雲端，不論行銷人員或是正在利用雲端運算概念的企業 IT 人員，每一個人似乎都自己的一套定義。某些正統派雲端人士或許對這樣的情況感到不安，但企業 IT 與廠商正紛紛透過「私人雲端」的概念來趕搭雲端運算的列車。我在 Gartner Data Center Conference 大會上看到的整體趨勢是積極虛擬化的資料中心，不過，如果您跟人家說：「我們已經擁有自己的私人雲端」，那會讓您的企業聽起來似乎更先進一點。

作者：Maxim Goncharov （趨勢科技 高階威脅研究人員）

在 Dancho Danchev的一篇文章中，他提到Trend Micro趨勢科技 2009 資安威脅報告與 2010 預測 所預言（prediction）的，雲端主機服務如Amazon亞馬遜的EC2M很容易被殭屍網路/傀儡網路 Botnet路運用來做為其操控服務的應變來源。 依我們電子郵件信譽庫的處理程序，常態性發送垃圾郵件的IP位址會自動遭防堵。

主機服務很容易被當做惡意軟體的發送平台。不管是只有幾個硬體的小供應商，或是具備龐大架構及大量硬體以從雲端提供服務者皆是如此。

雲端中的合法IP位址共用讓網路犯罪份子可以利用惡意軟體服務來濫用免費主機。拿EC2為例，客戶可以預留共用的IP位址，然後輕而易舉地透過現有IP的虛擬請求或增加新IP址，來操縱這份位址目錄。

雲端主機的詐騙活動很難被追蹤到。這也難怪網路犯罪份子會利用聲譽良好的機構的雲端服務來隱藏其惡意事模式。也因為如此，在2010年我們將會看到雲端主機服務受濫用案件的大幅增加。

@原文來源：Cybercriminals Go to the Cloud?

＠延伸閱讀
*雲端運算安全趨勢* PaaS 和它的陰暗面
*雲端趨勢* 當資料在雲裏被攻破，誰來收拾殘局？
*雲端趨勢* 雲端運算標準，夢想vs. 現實
* 雲端趨勢 * 你相信他們說的“相信我們”嗎？談私人資料在公共雲端的安全
* 雲端趨勢* DDoS 和雲端運算：沮喪，但卻是真的

更多本系列文章，請<按這裡>

趨勢科技 2009 資安威脅報告與 2010 預測

趨勢科技的主動式雲端截毒服務Smart Protection Network)

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪

新的 Google Chrome 作業系統讓 IT 系統管理員對更安全的運算體驗燃起了一絲希望。許多系統管理員、IT 總監、資訊安全長 (CSO) 對日復一日的系統與軟體修補更新都已感到厭倦。Google Chrome 是否真能提供這樣的安全性，是個很難回答的問題。我們正在進行一場大規模的網路大戰，其中大多數威脅的主要目標都是竊盜。網路犯罪者正從惡意程式、破解入侵以及其他惡意活動當中獲取龐大利潤。

而網路犯罪者所利用的，就是桌上型電腦由 Microsoft 作業系統壟斷的情勢。對於專門攻擊 Microsoft 平台的駭客來說，他們有源源不絕的電腦讓他們賺取足夠的利潤。這完全是單純的經濟規模效應。隨著其他作業系統 (例如 Mac OS) 開始受到歡迎並且取得更大的市場佔有率，專門鎖定這些系統的攻擊數量就會自然增加，如同本文稍早所說。

不過 Google Chrome 是一個非常小而且開放原始碼的作業系統，其資料和應用程式都儲存在雲端。這表示，由於程式碼減少，軟體錯誤 (俗稱的臭蟲) 也應該會減少。此外，由於作業系統較小，而且不像現在這麼強大，所以，目前這種安裝在本機的多用途惡意程式很可能就無法生存。

儘管如此，大家都知道網路犯罪者非常容易適應，而且非常靈活，他們的攻擊技巧高明，經常改變策略，善於掌握最新的技術趨勢。所以，某些攻擊策略或許還是可行：

• 掌控到雲端的連線。網路犯罪者只要對作業系統動一點手腳，稍微修改一下 DNS 記錄， 就能讓使用者在連上網頁應用程式時，先轉往地下惡意網站，然後才到達自己的網頁應用程式頁面。只要是無法完全封鎖通訊管道，使用者的資料就可能完全曝光。即使有 IPv6、加密、憑證等保護措施，這還是一個可能的攻擊方式。

• 攻擊雲端本身。如果雲端式應用程式以及雲端式作業系統成為主流，那麼 99.99% 的可用性就是絕對必要。一部無法存取主機資訊和應用程式的電腦就等於廢物。攻擊者有可能利用標準的殭屍網路/傀儡網路 Botnet (未來十年之內應該還會看到採用多用途標準作業系統的殭屍網路/傀儡網路 Botnet感染電腦) 來讓雲端基礎架構上的主機超載而癱瘓。或者，駭客也可能「要求」業者必須給予小額「樂捐」才能讓已經癱瘓的雲端主機恢復營運。這些對網路犯罪者來說，想必是利潤豐厚的生意。

這類攻擊手法事實上已經出現，只是規模不大而已，但是，一旦駭客目前的手法 (先讓桌上型電腦感染惡意程式然後再用於非法用途) 經濟誘因不再 (無法再找到足夠的受害者)，自然會有另外一種取而代之的方法出現。

Raimund Genes 趨勢科技 CTO         (趨勢專家看雲端運算專欄每週一出刊）

文章來源：http://cloudsecurity.trendmicro.com/paas-and-the-dark-side/

公共雲在降低計算成本和增加適應性這些優勢方面有著極大的潛能，但是這個領域的陰暗勢力也一直準備好要占雲端運算發佈模組如“平臺及服務”（PaaS）的便宜。Arbor Networks 最近監測到一個Google AppEngine Paas應用軟體被一個僵屍網路指揮控制（CnC）（這裏即那則新聞）。Google迅速卸下這個軟體，但這次事件還是引發一些有趣的話題。

在惡意軟體領域，這種事情不是什麼新話題，之前也已經被稱為“惡意軟體即服務” “Malware as a Service”.。正如合法的公司因為以上提到的好處進入雲端運算領域，網路罪犯也將他們的一些惡意軟體移入“共用的基礎設施”站點以使它們更難被減弱、封鎖或卸載。稍微有些新意的是以Google應用軟體（如Google Reader, Blogger,等等）為宿主惡意軟體的增加。

引起我注意的是那些壞人很快就學會了利用PaaS基礎設施為惡意軟體CnC服務。不需要豐富想像力就可以預見壞人們從利用PaaS控制他們的惡意軟體繼而轉向新目標IaaS應用軟體。公共雲（SaaS/PaaS/IaaS）在成本方面有一個很能說服人的價值定位，但“盒子之外的”IaaS只提供了最基本的安全保護（週邊防火牆，負載均衡，等等），進入公共雲的應用軟體需要來自主機的像Trend Micro Deep Security 7.0這樣的更高級別的防護。這些對策可以減少壞人攻擊IaaS主機或接管其作為僵屍網路樞杻的可能性。

如果一個居心不良的人購買了IaaS的主機，我認為服務供應商應該監測並當作對Service Provider Service Level Agreement (SLA)的違背阻止這一行為。不過，服務供應商怎麼能評估他們的IaaS/PaaS被怎樣使用而又不違反應用軟體的保密條約？如果他們不監測其用途，他們可能要驗證客戶的身份？還有要是服務是用被盜的個人資訊（PII）和信用卡號碼購買的呢？

惡意軟體威脅是老問題，但是雲端運算又提出了新挑戰。

 更多本系列文章，請<按這裡>  

*雲端趨勢* 當資料在雲裏被攻破，誰來收拾殘局？
*雲端趨勢* 雲端運算標準，夢想vs. 現實
* 雲端趨勢 * 你相信他們說的“相信我們”嗎？談私人資料在公共雲端的安全 * 雲端趨勢* DDoS 和雲端運算：沮喪，但卻是真的

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪

發表者：趨勢科技資料外洩防護小組資深協理 Todd Thiemann

雲端運算 (Cloud Computing) 是目前電腦產業最夯的用語，但它的意義對許多人來說都不盡相同。不過，趨勢科技卻必須透過同一個詞彙來描述雲端運算的多種面向。有鑑於此，本文希望點出雲端運算的各種面貌，藉此讓大家在討論時能有所共識。本文從實用而非理論的角度出發，提出我們客戶在討論雲端運算與不同雲端形式時所用的詞彙。

很多聰明的人已經開始注意到雲端運算的安全問題，並且開始觀察人們消費雲端運算的方式。下圖顯示的供應模式以及雲端運算的實用定義，請參閱美國國家標準暨技術機構 (US National Institutes of Standards & Technology) 資訊科技實驗室 (Information Technology Lab) (http://www.nist.gov/) 兩位研究員 Peter Mell 與 Tim Grance 所著的簡報：http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2008-12/cloud-computing-standards_ISPAB-Dec2008_P-Mell.pdf。

軟體服務化 (SaaS)：透過網際網路存取雲端的應用程式 (例如：Salesforce.com、趨勢科技 HouseCall)。

平台服務化 (PaaS)：將客戶開發的應用程式部署到雲端的服務 (例如：Google AppEngine 與 Microsoft Azure)。

基礎架構服務化 (IaaS)：有時亦稱「公用運算」(Utility Computing)，意指處理器、儲存、網路以及其他資源的租用服務 (例如：Amazon 的 EC2、Rackspace 以及 GoGrid)。客戶不需管理底層的雲端基礎架構，但是能夠掌控作業系統、儲存、網路、所部署的應用程式，並且能夠選擇網路元件 (防火牆)。