中國IDC圈4月27日?qǐng)?bào)道:在云計(jì)算成為人們熱議的技術(shù)趨勢(shì)的同時(shí),其更多的安全黑洞也逐漸被曝光,這次曝光者是網(wǎng)絡(luò)安全專家Russ McRee����,他演示了某云計(jì)算服務(wù)提供商的一個(gè)安全缺陷是如何讓其眾多客戶處于風(fēng)險(xiǎn)之中的。
這次被曝光的廠商是軟件即服務(wù)(SaaS)提供商Baynote��,該廠商針對(duì)技術(shù)���、電子商務(wù)和其它類型的網(wǎng)站提供搜索和其它網(wǎng)絡(luò)服務(wù)�����。McRee發(fā)現(xiàn)在Baynote的社會(huì)搜索功能中存在一個(gè)XSS(跨站腳本)錯(cuò)誤�����,利用該缺陷可以實(shí)現(xiàn)對(duì)大量使用該功能的客戶的攻擊�����。
該漏洞可以被黑客輕松利用����,根據(jù)McRee公布的視頻(http://www.holisticinfosec.org/video/baynote/baynote.html)顯示,加利福尼亞州米爾皮塔斯的主機(jī)總線適配器廠商LSI Corporation和數(shù)據(jù)管理廠商N(yùn)etApp是兩家受該漏洞影響的Baynote客戶��。
McRee強(qiáng)調(diào)稱���,Baynote迅速回應(yīng)并修復(fù)了該問題���。但是他的發(fā)現(xiàn)指出了云計(jì)算的潛在致命弱點(diǎn):一個(gè)廠商存在的單點(diǎn)故障可以影響其眾多客戶的安全。
他表示�����,“即使SaaS廠商僅有一個(gè)漏洞�,可能是一個(gè)Web應(yīng)用缺陷�,也可能是網(wǎng)絡(luò)安全中的一個(gè)疏忽����,或物理安全的一個(gè)失誤�����,它的客戶全部會(huì)遭受安全風(fēng)險(xiǎn)���。企業(yè)安全性強(qiáng)度取決于其最薄弱環(huán)節(jié)�,如果讓其它人來為你管理這個(gè)環(huán)節(jié)��,在將你的企業(yè)與其聯(lián)姻前必須考慮到安全問題�������!
在此之前��,安全專家已經(jīng)多次警告企業(yè)“不要將所有雞蛋放在一個(gè)籃子中��������!苯衲1月份��,Salesforce.com的宕機(jī)曾致使其90多萬客戶無法訪問自己的關(guān)鍵數(shù)據(jù)��,也證明了依賴一個(gè)提供商的安全風(fēng)險(xiǎn)�����。
當(dāng)然�,這類安全問題并非只有云計(jì)算才會(huì)碰到,但是企業(yè)不能將SaaS看作萬能的�����,必須對(duì)提供商的安全性進(jìn)行適當(dāng)關(guān)注��,正如McRee所提到的�����,軟件即服務(wù)廠商至少應(yīng)該提供比傳統(tǒng)產(chǎn)品廠商更高的安全防護(hù)標(biāo)準(zhǔn)����。 |
