查看: 1540|回复: 1
收起左侧

[分享] [趋势科技高层博客] PaaS之暗面

[复制链接]
Sammi888
发表于 2009-12-7 18:09:53 | 显示全部楼层 |阅读模式

公共云在降低计算成本和增加适应性这些优势方面有着极大的潜能,但是这个领域的阴暗势力也一直准备好要占云计算发布模块如“平台及服务”(PaaS)的便宜。Arbor Networks最近监测到一个Google AppEngine Paas应用软件被一个僵尸网络指挥控制(CnC)(这里即那则新闻)。Google迅速卸下这个软件,但这次事件还是引发一些有趣的话题。

在恶意软件领域,这种事情不是什么新话题,之前也已经被称为“恶意软件即服务”。正如合法的公司因为以上提到的好处进入云计算领域,网络罪犯也将他们的一些恶意软件移入“共享的基础设施”站点以使它们更难被减弱、封锁或卸载。稍微有些新意的是以Google应用软件(如Google Reader, Blogger,等等)为宿主恶意软件的增加。

引起我注意的是那些坏人很快就学会了利用PaaS基础设施为恶意软件CnC服务。不需要丰富想象力就可以预见坏人们从利用PaaS控制他们的恶意软件继而转向新目标IaaS应用软件。公共云(SaaS/PaaS/IaaS)在成本方面有一个很能说服人的价值定位,但“盒子之外的”IaaS只提供了最基本的安全保护(外围防火墙,负载均衡,等等),进入公共云的应用软件需要来自主机的像Trend Micro Deep Security 7.0这样的更高级别的防护。这些对策可以减少坏人攻击IaaS主机或接管其作为僵尸网络枢杻的可能性。

如果一个居心不良的人购买了IaaS的主机,我认为服务供应商应该监测并当作对Service Provider Service Level Agreement (SLA)的违背阻止这一行为。不过,服务供应商怎么能评估他们的IaaS/PaaS被怎样使用而又不违反应用软件的保密条约?如果他们不监测其用途,他们可能要验证客户的身份?还有要是服务是用被盗的个人信息(PII)和信用卡号码购买的呢?

恶意软件威胁是老问题,但是云计算又提出了新挑战。

文章来源:http://cloudsecurity.trendmicro.com/paas-and-the-dark-side/

jmz
发表于 2009-12-7 22:17:05 | 显示全部楼层
为什么要发2边呢???
另一个帖子~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 03:07 , Processed in 0.126432 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表