3.2.3不安全的接口
资源和能力开放是云计算的重要业务变革之一。云服务提供商需要提供大量的网络接口和应用程序编程接口整合相关资源,向业务合作伙伴开放能力,甚至直接提供业务。例如,在云计算环境中,云服务提供商通过软件接口或应用程序编程接口让用户与云计算平台进行交互,用户通过互联网访问云计算平台上的资源。这些接口能够控制大量的虚拟机,甚至包含云服务提供商用于控制整个云计算系统的操作接口。一些第三方企业基于这些接口为用户提供增值服务,这更增加了层次化的应用程序编程接口复杂性。远程访问机制及Web浏览器的使用也增加了这些接口存在漏洞并被利用的可能性。亚马逊2011年10月就修补了其EC2服务上的一个控制接口的加密漏洞,该漏洞能被攻击者用于创建、修改和删除镜像,并能修改管理员密码等。
另外,开发过程的安全测试、运行过程的渗透测试等安全实践,不管从测试工具还是测试方法上,对于网络接口和应用程序编程接口都不够成熟,一旦后台安全功能被开放,将引入额外的安全入侵入口。
大多数的云服务提供商都在努力加强其服务的安全性,而对于用户而言未必能理解其在使用、管理和监控云计算服务过程中可能涉及的安全问题。不安全的接口设置会让企业陷入许多安全问题,影响其机密性和可用性。