从索尼泄密看云计算安全

云端应用潜藏未知威胁

索尼的PlayStation网络用于PlayStation3的在线游戏，并向PlayStation等游戏机提供软件下载服务。Qriocity服务也运行在相同的网络基础设施上，给索尼的消费类电子产品提供音频和视频服务。可以说，这是索尼向其广大用户提供服务的公有云平台。

从索尼目前公布的资料来看，黑客可能是通过索尼的某台应用服务器为跳板实施的入侵。可以肯定的是，索尼云平台存在未能及时发现的安全漏洞才让黑客寻得入侵的机会。比对云计算安全七宗罪来看，“不安全的应用程序接口”与“共享技术漏洞”很可能是罪魁祸首之一。

现在是一个应用为王的时代，互联网上存储着海量的应用程序随时供人们获取，而每时每刻又有新的应用程序被不断上传到网络。海量的应用在给人们的生活带来便利的同时，也带来了无尽的安全隐患。因为应用程序的编写者，更多所注重的是用户的使用体验，程序自身的安全性很少被人们所关注，而编写应用程序所使用的语言、连接的数据库、调用的插件、运行的操作系统等都可能存在着尚未被发现的安全漏洞。这一个个的漏洞叠加使得应用程序成为了恶意攻击者眼中的诱人蛋糕，应用程序自身的价值，成为了恶意攻击者选取“蛋糕”的标准。

云计算的服务器端正存储着这海量的应用，同时服务器自身也是依赖于各类应用才能得以顺畅运转，为用户随时提供服务。对于恶意攻击者而言，他们或者可以通过安全等级更低的用户终端里的应用程序漏洞，逆向潜伏进入云计算的服务器端；或者直接利用云计算服务器端应用程序的隐藏漏洞直接实施入侵。

可以说，应用安全问题在新互联网时代里至关重要，特别是对于新互联网环境下的云计算，提供应用服务是其核心目的。而这个核心地带，正在成为安全关注的新焦点。索尼通过PSN等公有云平台为其广大用户随时随地的提供应用服务，而云端应用所潜藏的各类未知安全威胁，也将索尼公有云平台置于了危险之中。

全球传统行业里的一些大型巨头(如：金融巨头)就是出于安全问题的考虑，尚不敢采用公有云模式，而是在其内部搭建了私有云系统。借助其现有安全防护体系，确保私有云的安全性。

云端数据需加强防护

恶意攻击者实现成功地入侵并不是其最终目的，在当今互联网时代，网络犯罪集团的本质目的是为了最大化的获取经济利益。恶意攻击者成功入侵后还需要找寻有价值的数据信息，并将这些信息窃取到恶意攻击者的老巢里。如果这些数据已经被加密保护，那么恶意攻击者还需要进行反向解密操作，获取真实的数据。最后将这些数据贩卖或者公布出去，恶意攻击者才最终实现了自己的目的。

如果索尼采取了严密的数据丢失防护，那么哪怕恶意攻击者成功入侵了索尼的云端服务器，也依然难以获得有效的数据信息。但就在索尼被入侵不久，就有黑客在论坛上挂牌销售220万个来自索尼PSN网络数据泄漏受害者的个人信息，虽然之前索尼曾表示信用卡信息已经得到加密，但事实上数据库里的内容已经被读出。目前看来，索尼对其云端数据的安全防护并不严密。也正因此，才又一次给恶意攻击者打开了方便之门。

整个互联网世界的本质，就是由“0”、“1”所组成的各类数据。可以说，互联网的安全问题，本质上就是数据的安全问题。如果能够实现对数据的严密防护，那么所有的恶意入侵都将变为无效的攻击。

要相对云端的数据进行有效的防护，至少要做到三点：对数据的存储容器数据库做好严密防护；对数据自身进行加密保护；设置严谨的操作权限，使得恶意攻击者找不到数据、拿不走数据、看不到数据。

从本次泄密事件来看，索尼在其云端平台的数据安全防护方面似乎很薄弱，甚至可能是根本就没有建立一个严谨的数据丢失防护体系。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友