去年，信息安全顧問Context公司受聘于相當數(shù)量的客戶進行信息安全調(diào)查，這些客戶主要是銀行和其他高端客戶，他們嚴重關(guān)注安全問題，以確定云計算對于他們的計算需求是否是足夠安全的

Context公司研究了四家云服務(wù)提供商：亞馬遜、Rackspace、VPS.net和Gige NET Cloud.在其中兩家云服務(wù)供應(yīng)商的服務(wù)中發(fā)現(xiàn)許多潛在的安全漏洞，即他們允許訪問其他客戶遺留的數(shù)據(jù)。

"我們關(guān)注的是未分配的磁盤部分。"Context公司研發(fā)部門經(jīng)理邁克爾·喬丹說。"我們可以進入查看，一些數(shù)據(jù)。而這些存儲在硬盤上的數(shù)據(jù)并不是我們自己企業(yè)的硬盤數(shù)據(jù)。"

遺留數(shù)據(jù)甚至包括個人身份信息

喬丹和他的研究團隊發(fā)現(xiàn)的遺留數(shù)據(jù)，甚至包括一些個人識別信息，包括客戶數(shù)據(jù)庫和系統(tǒng)信息要素，如Linuxshadow文件（包含系統(tǒng)哈希密碼）。

喬丹指出，這些信息云服務(wù)的典型用戶不是很明顯，必須努力尋求才能找到。此外，他還補充說，剩下的數(shù)據(jù)是隨機分布的，不會允許惡意用戶可以針對特定的客戶進行破壞。但那些發(fā)現(xiàn)了這些未加密數(shù)據(jù)的惡意用戶可能會使用這些數(shù)據(jù)進行牟利。

"在審查后一家供應(yīng)商的全新置備硬盤之后，我們發(fā)現(xiàn)了一些有趣的和意想不到的情況。"喬丹和Context首席顧問杰姆斯·福肖在一篇博客中提到了他們的發(fā)現(xiàn)。"這涉及到一個安裝WordPress和一個MySQL配置，即使沒有安裝虛擬服務(wù)器。"

預(yù)計這可能只是一個操作系統(tǒng)映像，創(chuàng)建了第二臺虛擬服務(wù)器，并以同樣的方式進行測試。令人驚訝的是，數(shù)據(jù)是完全不同的，在這種情況下暴露一個網(wǎng)站的用戶數(shù)據(jù)庫，并確定了服務(wù)器的數(shù)據(jù)是來自Apache的日志片段。這證實了數(shù)據(jù)不是來自我們配置的服務(wù)器。

管理程序配置不正確惹的禍

喬丹說，這個問題是與供應(yīng)商供應(yīng)新的虛擬服務(wù)器，以及他們?nèi)绾畏峙湫碌拇鎯臻g的方式有關(guān)。在前端，當客戶端創(chuàng)建新的虛擬服務(wù)器，他們使用的云服務(wù)供應(yīng)商的網(wǎng)站選擇操作系統(tǒng)和他們所需要的存儲量。

在后端，供應(yīng)商聚集磁盤空間來包含虛擬影像，然后用一個預(yù)配置的OS映像覆蓋初始磁盤。

"這意味著，只有初始磁盤充滿了初始化數(shù)據(jù)，其余的磁盤將永遠不會被明確寫入配置期間。"喬丹和福肖寫道。"如果這種分配正在執(zhí)行使用主機操作系統(tǒng)的 文件API,這通常將不是一個問題。操作系統(tǒng)將確保任何未初始化的數(shù)據(jù)在返回到用戶應(yīng)用程序之前，被自動歸零（或在這種情況下的虛擬機）。）顯然，在這種 情況下，其沒有使用這些機制。

喬丹指出，因為這個問題本是配置管理程序的方法，它可能會影響主機托管提供商以及云服務(wù)提供商。

兩家供應(yīng)商Rackspace和VPS.net均報告說他們已經(jīng)針對上述漏洞打了補丁。據(jù)說Rackspace公司已經(jīng)開始與Context公司展開 密切合作，以解決這一問題，他們邀請了Context調(diào)查人員到其總部，并為他們提供了研究工程師、管理人員和流程執(zhí)行人員的權(quán)限。VPS.net使用了>