云計(jì)算太大而不能消失，但又不會(huì)太大而不能倒下。我們需要?jiǎng)?chuàng)建一個(gè)幾乎不可能被滲透的完全加密和經(jīng)過(guò)身份驗(yàn)證的基礎(chǔ)設(shè)施。

最近通過(guò)華碩實(shí)時(shí)更新功能對(duì)筆記本電腦用戶進(jìn)行的民族國(guó)家攻擊清楚地表明，“云”不是一個(gè)安全的計(jì)算平臺(tái)——它只是一種允許用戶將計(jì)算任務(wù)從一個(gè)物理位置轉(zhuǎn)移到另一個(gè)物理位置的經(jīng)濟(jì)模型以最小的工作量中斷并且無(wú)需構(gòu)建自己的數(shù)據(jù)中心的成本。然而，基礎(chǔ)設(shè)施投資的這種減少伴隨著安全方面的巨大成本。

私有企業(yè)數(shù)據(jù)中心現(xiàn)在與來(lái)自云提供商的額外計(jì)算能力相結(jié)合，創(chuàng)建了混合模型。這種做法從云提供商創(chuàng)建了大規(guī)模的多租戶數(shù)據(jù)中心，許多客戶端托管在一個(gè)數(shù)據(jù)中心中，各個(gè)客戶端之間沒有防火墻。這使得模型具有成本效益。它還使云提供商的所有客戶端都容易受到攻擊。

如果惡意軟件從一個(gè)客戶端泄露，那么所有客戶端都可能成為該惡意軟件的目標(biāo)，因?yàn)樗鼈冎g不存在防火墻。這種威脅變得更糟，因?yàn)槿魏稳硕伎梢詧?zhí)行固件更新，而無(wú)需對(duì)更新潛在惡意固件或更新本身的人進(jìn)行身份驗(yàn)證。

硬盤、RAID 控制器、LAN 控制器、GPU、BMC 和服務(wù)器中的主機(jī)處理器的固件更新是不安全的，除非通過(guò)弱用戶名和密碼組合。它們布滿了漏洞和后門，很容易被攻破。因此，所有服務(wù)器都有可以被利用的巨大攻擊面。編寫良好的惡意軟件可以很容易地持久化，以便在重置、重新啟動(dòng)或重新安裝操作系統(tǒng)時(shí)仍然存在。

確實(shí)，受影響的系統(tǒng)可以脫機(jī)、重新刷機(jī)并重新投入使用，但情況會(huì)變得更糟。傳統(tǒng)的攻擊會(huì)留下某種痕跡，通過(guò)分析這些痕跡，我們通常可以找出發(fā)生了什么以及將來(lái)如何避免它們。正如 2019 年 2 月 26 日 EEWeb 專欄“ Cloudborne Punches Hole in Cloud Security ”中所報(bào)道的那樣，Eclypsium 的安全分析師確定了使用英特爾的軟件防護(hù)擴(kuò)展 （SGX） 來(lái)隱藏只有攻擊者才能看到的攻擊的潛力。 傳統(tǒng)的惡意軟件掃描程序和當(dāng)前的防火墻都無(wú)法檢測(cè)到這種攻擊。并且由于攻擊是不可檢測(cè)的，因此假設(shè)類似的攻擊已經(jīng)成功執(zhí)行并非沒有道理。

發(fā)現(xiàn)固件攻擊的唯一方法是事后，一旦服務(wù)器停止服務(wù)并且所有固件都已與出廠默認(rèn)設(shè)置以及此后任何已知良好的更新進(jìn)行比較。目前，這幾乎是不可能實(shí)現(xiàn)的，因?yàn)榇蠖鄶?shù)固件都沒有簽名以保證其真實(shí)性。我們無(wú)法驗(yàn)證當(dāng)前固件是否沒有惡意軟件并且是由制造商提供的。事實(shí)上，我們甚至不能保證從制造商網(wǎng)站下載的新版本固件沒有惡意軟件，因?yàn)樗緵]有簽名。華碩的違規(guī)行為表明，固件及其所有更新的真實(shí)性和完整性對(duì)于阻止犯罪者分發(fā)具有有效簽名的惡意固件更新至關(guān)重要。

那么如何在云中檢測(cè)和阻止惡意軟件的傳播呢？

為了過(guò)濾傳入和傳出的流量，我們必須從不基于易受攻擊的遺留處理器架構(gòu)的防火墻開始，而是基于硬件，因?yàn)橐呀?jīng)證明基于軟件的方法不能足夠安全。這些防火墻必須支持簽名和完全認(rèn)證的固件安裝和更新過(guò)程，并且它們絕不能向外界泄露私鑰，即使程序員或用戶犯了嚴(yán)重錯(cuò)誤。此外，它們必須對(duì) Meltdown、Spectre、Cloudborne 和任何其他硬件攻擊無(wú)懈可擊，它們必須能夠?qū)W習(xí)正常的流量模式并能夠防御攻擊，同時(shí)防止惡意軟件的入侵和滲出。

云提供商將需要安裝具有新穎且真正安全的網(wǎng)絡(luò)接口卡 （NIC） 的服務(wù)器，充當(dāng)本地防火墻。同時(shí)，分支機(jī)構(gòu)、公司、銀行及其最終用戶之間的所有寬帶連接——以及所有其他通信，由于流經(jīng)它們的流量的性質(zhì)，需要安全——應(yīng)該通過(guò)為每一端配備真正安全的防火墻來(lái)保護(hù)。

多租戶公共云需要通過(guò)部署防火墻來(lái)隔離所有客戶端，這些防火墻 （1） 不使用不安全的處理器，（2） 不使用行業(yè)標(biāo)準(zhǔn)的硬盤或 SSD，以及 （3） 不支持未經(jīng)身份驗(yàn)證的固件更新與未簽名的固件。這些防火墻必須部署在連接到互聯(lián)網(wǎng)的每個(gè)入口和出口點(diǎn)的外圍，并且——對(duì)于防火墻來(lái)說(shuō)是新穎的——必須同時(shí)過(guò)濾兩個(gè)方向的流量（雙向、全雙工）以檢測(cè)惡意軟件的滲漏。

云計(jì)算太大而不能消失，但又不會(huì)太大而不能倒下。但是，我們可以通過(guò)首先保護(hù)外圍，然后是端點(diǎn)和網(wǎng)關(guān)（或聚合器）來(lái)實(shí)現(xiàn)任意兩個(gè)端點(diǎn)之間的非常高級(jí)別的安全性。此外，需要硬件來(lái)確保通信安全以及對(duì)設(shè)備和用戶進(jìn)行身份驗(yàn)證。完全加密和經(jīng)過(guò)身份驗(yàn)證的基礎(chǔ)設(shè)施幾乎不可能被滲透。在此基礎(chǔ)上進(jìn)行改進(jìn)，使用強(qiáng)大的生物識(shí)別措施來(lái)阻止使用密碼將使基礎(chǔ)設(shè)施比現(xiàn)在更安全、更安全、甚至更方便。