3.2.7共享技術(shù)存在漏洞

云計算具有資源池化的特點，云服務(wù)提供商要交付規(guī)模化的服務(wù)，就要共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序，因此多租戶與資源共享是其重要特征。管理程序、共享平臺組件、共享應(yīng)用程序等共享技術(shù)所存在的安全漏洞遠比用戶行為更危險，因為這種問題可能將整個系統(tǒng)的弱點暴露給攻擊者，這些風(fēng)險可能會使整個云計算系統(tǒng)瞬間癱瘓。組成這些基礎(chǔ)設(shè)施的組件設(shè)計，如果沒有針對多租戶架構(gòu)(IaaS)、重部署平臺(PaaS)或多客戶應(yīng)用程序(SaaS)的有效隔離機制，那么所有的服務(wù)模式都將面臨威脅。例如，云計算中使用的硬盤分區(qū)、CPU緩沖等機制，以及為了保證動態(tài)的可擴展性，云計算中的計算能力、存儲與網(wǎng)絡(luò)資源在多用戶間共享，這些都難以保證良好的隔離性。這種風(fēng)險會導(dǎo)致云計算系統(tǒng)中非法用戶的惡意行為嚴重影響同環(huán)境下其他用戶的聲譽，或者攻擊者能對共享環(huán)境下其他用戶的數(shù)據(jù)進行非法操作。例如，2009年，由于發(fā)現(xiàn)有大量垃圾郵件發(fā)出，反垃圾郵件組織Spamhaus把亞馬遜整個美國的EC2平臺的IP地址均列入黑名單。

另外，云計算資源的虛擬池化使得傳統(tǒng)的安全策略無法管理到每個虛擬機及虛擬網(wǎng)絡(luò)，因而傳統(tǒng)的基于物理安全邊界的防護機制難以有效保護基于共享虛擬機環(huán)境下的用戶應(yīng)用及信息安全。虛擬化使得安全訪問控制、認證和授權(quán)更加困難，從而使得惡意代碼的傳播和感染變得相對容易。攻擊者可利用虛擬機管理系統(tǒng)自身的漏洞，入侵到宿主機或同個宿主機上的其他虛擬機。事實上，針對虛擬層Hypervisor的安全研究已經(jīng)被廣泛重視，從2007年開始，主流的虛擬層Hypervisor軟件屢有漏洞被報告。當(dāng)前已有攻擊者演示了基于虛擬機Hypervisor的rookit攻擊，即blue pill；2009年黑客大會上的Cloudburst也演示了其能利用VMware中顯示函數(shù)的漏洞實現(xiàn)對宿主操作系統(tǒng)的攻擊。