2010-11-09 12:17:11 来源:机房360
在恶意软件领域,这种事情不是什么新话题,之前也已经被称为“恶意软件即服务(MalwareasaService)”。正如合法的公司因为以 上提到的好处进入云计算领域,网络罪犯也将他们的一些恶意软件移入“共享的基础设施”站点以使它们更难被减弱、封锁或卸载。稍微有些新意的是以 Google应用软件(如GoogleReader、Blogger、等等)为宿主恶意软件的增加。
引起我注意的是那些坏人很快就学会了利用PaaS基础设施为恶意软件CnC服务。不需要丰富想象力就可以预见坏人们从利用PaaS控制他们的恶意软件继而转向新目标IaaS应用软件。公共云(SaaS/PaaS/IaaS)在成本方面有一个很能说服人的价值定位,但“盒子之外的”IaaS只提供了最基本的安全保护(外围防火墙,负载均衡,等等),进入公共云的应用软件需要来自主机的像TrendMicroDeepSecurity7.0这样的更高级别的防护。这些对策可以减少坏人攻击IaaS主机或接管其作为僵尸网络枢杻的可能性。
如果一个居心不良的人购买了IaaS的主机,我认为服务供货商应该监测并当作对 ServiceProviderServiceLevelAgreement(SLA)的违背阻止这一行为。不过,服务供货商怎么能评估他们的 IaaS/PaaS被怎样使用而又不违反应用软件的保密条约?如果他们不监测其用途,他们可能要验证客户的身份?还有要是服务是用被盗的个人信息 (PII)和信用卡号码购买的呢?
恶意软件威胁是老问题,但是云端运算又提出了新挑战。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。