『您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態』

跳到主要內容區塊

工業技術研究院

:::

工業技術與資訊月刊

出版日期:

正方形 Icon 觀念探索Trend

雲端中的安全

文/大衛‧陶伯特(David Talbot) 譯/羅耀宗

2006年,亞馬遜(Amazon)推出彈性運算雲端(Elastic Compute Cloud;EC2)服務。這是將運算化為有如電力那般無所不在的公用設施的分水嶺大事。突然之間,任何人都可以捲動線上選單、刷信用卡,需要多少就用多少運算馬力,並以固定費率付費:使用Linux起初的費率是每小時10美分(2008年起,使用Windows是每小時12.5美分)。那些系統將在「虛擬機器」上跑。虛擬機器可以在轉眼之間創造出來和加以架構,不需要的時候,也能同樣快速消失不見。隨著它們的需求增長,客戶只要投進更多的銅板就行。亞馬遜會負起打雜的工作,例如維護資料中心和網路。虛擬機器當然會放在真實的機器裡面跑:數以千計嗡嗡作響、閃閃發亮的伺服器,擠在亞馬遜設於全球各地的資料中心。這個雲端運算服務效率高、便宜,而且個人、公司、研究實驗室、政府機構,大家都能利用。

 但是它也隱藏著潛在的威脅。EC2把本來主要侷限在企業資訊科技系統裡面的東西,帶給廣大的群眾。稱做超級監督程式(hypervisors)的軟體,像《綠野仙蹤》童話故事中與世隔絕的歐茲王國(Oz)那般,會創造和控制虛擬處理器、網路與磁碟機。許多超級監督程式可能在同一台實體伺服器上運轉。可是電腦安全研究人員曾經秀了一手,讓我們看到當兩支程式同時在相同的作業系統上運轉時,攻擊者可以利用竊聽程式分析其他程式分享記憶體空間的方式,進而竊取資料。他們推斷,當不同的虛擬機器在相同的伺服器上跑,同樣的攻擊也能在雲端中得逞。

在廣袤的雲端環境裡,駭客能在特定的伺服器上找到想要攻擊的獵物,這樣的可能性似乎很小。不過,聖地牙哥加州大學的三位電腦科學家,以及麻省理工學院的一位電腦科學家今年著手辦到了。他們找上一些虛擬機器當做攻擊目標,其他的虛擬機器則當做攻擊者,並且試著將雙方都置於亞馬遜資料中心的相同伺服器。最後,他們只花了幾美元,十次裡面有四次,成功地將惡意虛擬機器放進和攻擊目標相同的伺服器。雖然研究工作者沒有真的竊取資料,卻表示理論上可以辦到。他們證明了雲端運算的好處——存取容易、便宜、集中、彈性,可能正是造成新的不安全出現的原因。雖然亞馬遜強調,沒人曾以這種方式成功攻擊EC2,而且他們已經採取防範措施,不致遭到那樣的攻擊(該公司當然不會明說到底是什麼樣的攻擊,這是可以理解的);但是亞馬遜並沒有解決——也還沒有人解決——雲端的規模和結構與生俱來的安全問題。

雲端運算,指的是透過網際網路供應程式和服務,正迅速改變我們使用電腦的方式。比方說,Gmail、Twitter和Facebook都是雲端應用。亞馬遜EC2之類的網路式基礎設施服務,以及Rackspace等供應商提供的版本,因為它們的效率和低成本,已經吸引了無數企業和機構顧客聞風而來。亞馬遜雲端服務的客戶群現在包括《紐約時報》和輝瑞(Pfizer)等公司。Google的瀏覽器和即將推出的作業系統(兩者都稱做Chrome),雲端應用的存取都很容易。

連動作遲緩的政府機構,也起而行動:洛杉磯市的電子郵件和其他的例行性應用程式,使用Google的應用服務(Google Apps service),白宮最近推出www.apps.gov,鼓勵聯邦機構利用雲端服務。哈佛大學經濟學家,以及研究資訊科技促進國家生產力的專家戴爾‧喬根森(Dale Jorgenson)說,航空公司、零售和金融業,都是可能受益於雲端運算的例子。「資訊科技創新的重心,已經從硬體轉移到軟體應用,」他說,「許多應用正以激烈的步調進行。雲端運算這種技術,對許多人將是一大助力。」

除非雲端服務保持安全,否則這些當然不會發生。它們不是不帶風險的。當成千上萬不同的客戶大量使用相同的硬體(這是雲端運算能夠提高效率的關鍵),任何故障或者遭駭,對許多人可能是一場災難。「今天有數百萬公司一起找上巨大的雲端供應商代管網站,」紐約州立大學石溪分校的電腦科學家拉杜‧席翁(Radu Sion)說。「如果大家不來用雲端,你就沒辦法提供便宜的服務。但當大家都來用雲端,突然之間就有這些安全問題必須解決。」

雲端危機

雲端運算確實承受幾個獨立但相關的安全風險。除了儲存的資料可能遭到駭客盜取,或者因為故障而喪失,雲端供應商也可能處理資料不當——或者因為法院送來傳票,而被迫交出資料。還有,我們看得很清楚,安全遭到侵犯不只是學術研究的題材。2008年,亞馬遜的簡單儲存服務(Simple Storage Service;S3;提供線上資料儲存服務,數量以十億位元計)所使用伺服器間傳送的訊息只損毀一個位元,便迫使整個系統關閉數小時之久。2009年初,一名駭客猜中Twitter一名員工的個人電子郵件安全問題答案,把這名員工使用的Google應用服務帳戶所有的文件抓走(那名駭客還得意洋洋地將一些文件寄給新聞媒體),之後有隻臭蟲把一些Google文件服務使用者的文件分享限制放寬。使用者設定的區分遭到消除;你設定分享文件的任何人,也能看到你和其他任何人分享的文件。2009年1月間,微軟(Microsoft)旗下提供儲存服務的子公司丹哲(Danger)有部伺服器故障,導致一百萬支T-Mobile Sidekick智慧型電話資料喪失(後來救回不少)。尤其是透過公共雲端供應的應用,「攻擊表面區域(surface area of attack)非常、非常高,」馬里蘭州蓋士堡(Gaithersburg)國家標準與技術研究院(National Institute of Standards and Technology;NIST)的雲端安全小組領導人彼得‧梅爾(Peter Mell)說。「每一位顧客都存取那個應用中的每一個按鈕和小工具。只要它們出了一點小漏洞,攻擊者就可能取用所有的資料。」

對於這些說法,雲端產業的一般說詞是:雲端比你現在使用的任何東西都要安全。Google應用服務的安全主任艾朗‧費根包(Eran Feigenbaum)說,雲端供應商應付安全威脅的效能,遠高於自行運轉電腦和伺服器室的數百萬個人和成千上萬公司。他指出,Google文件服務出問題,雖然被人大做文章,但Google代管的文件,受影響的百分率不到0.05%。「雲端的好處之一是,能以迅速、統一的方式,因應這些受到影響的人,」他說,「使用者不必安裝任何軟體,不必維護任何伺服器,所有的問題一次矯正。」他補充說,不妨想想傳統的環境中,安全可能打折扣的方式:一項調查有三分之二的受訪者承認,他們隨便亂放通用序列匯流排(USB)認證鑰,其中許多保有公司的私密資料;2008年美國至少失竊兩百萬台筆記型電腦;公司可能得花三到六個月的時間,安裝緊急的安全修補程式,原因往往出在它們擔心修補程式會引發新的問題。「你不能要求百分之百的安全,卻同時保有可用性,」他說,「如果你想要絕對安全的系統,那就得把電腦所有的外部來源拔掉,不要連上網路,遠離窗戶,鎖在保險箱裡。」

但不是每個人都那麼樂觀。思科系統(Cisco Systems)董事長約翰‧錢伯斯(John Chambers)2009年春天在一場電腦安全會議上,把雲端運算稱做「安全夢魘」,「沒辦法以傳統的方式處理」。普遍用於電子商務的RSA公鑰加密演算法發明人之一的麻省理工學院電腦科學家隆‧李維斯特(Ron Rivest)說,雲端運算一詞最好是以「泥沼運算」(swamp computing)來取代。他後來解釋說,他的意思是指消費者應該審視雲端產業在安全方面輕描淡寫帶過的說詞:「我不是要說雲端運算真的是『泥沼運算』,而是要點出用字遣詞會影響我們的認知和期望。因此,如果我們停止使用雲端運算一詞,開始改用泥沼運算,也許會發現我們對『泥沼運算供應商』提供的服務和安全保證,要挑剔得多。」

一個類似的觀點,雖然沒有被人講得那麼生動,卻很能說明為什麼NIST正重新努力,要定義雲端運算到底是什麼,以及可以如何評估它的安全。「這個主題,每個人都混淆不清,」梅爾說;NIST定義這個名詞的文件,已經出到第15個版本。「典型的雲端運算定義曖昧不明,把目前的現代資訊科技都包含了進來,」他說,「而試著將獨特的安全顧慮拉出來談,是有問題的。」NIST希望把這些顧慮確認得更清楚,將有助於這個產業形成共同的標準,提高資料的安全性。這個機構也要促使雲端能夠互通(interoperable),這樣,使用者從一個雲端移動資料到另一個雲端才會更容易,可望進而提高效率。

由於這個產業成長迅速、目前的安全標準渾沌不明,以及出狀況的消息時有所聞,許多公司對於將敏感的資料送進雲端,態度仍然保留,就不足為奇了。指導網際網路試驗台行星實驗室(PlanetLab Consortium)的普林斯頓大學電腦科學家雷利‧彼得森(Larry Peterson)說,雖然目前的安全狀況相當好,雲端供應商卻必須證明長期的可靠性。「雲端供應商可能有合適的安全機制,」彼得森說,「但我可以不只信賴他將保護我的資料不遭第三人盜用,也可以信賴他不會利用我的資料,而且資料會存在那裡五年或十年之久?沒錯,是有安全問題需要注意,但是技術本身還不夠。現在的技術可能不夠叫人放心和信賴。」

距波士頓不遠,明尼蘇達州桑莫維爾(Somerville)一座無以名之的資料中心裡面,看得到彼得森說的那種不信賴。這座中心是叫做2N+1的一家小公司所擁有的。這家公司提供冷硬的地面空間、安全警衛、電力和連線能力給企業界。一樓有十二具黑色櫃子,裡面裝滿伺服器。2N+1的共同創辦人文生‧波諾(Vincent Bono)表示,這些是他的第一位客戶,一家全國性銀行的財產。該行選擇擁有自己的伺服器,而不是租用雲端。為了安全,這家公司更選擇看得見的一種:鋼壁。

雲端加密

雲端供應商還沒辦法賣你虛擬鋼壁,但是最低限度,他們可以保證,比方說,設在美國或者歐洲聯盟的伺服器,依法令規定或者其他理由保存你的資料。它們也正致力建立虛擬圍牆:2009年8月間,亞馬遜宣布,計畫提供「專用雲端」服務,提高資料從企業網路送進亞馬遜伺服器的安全性。該公司表示,不是因為聖地牙哥和麻省理工學院研究小組所做的研究,才採取這項行動。亞馬遜網路服務的副總裁亞當‧賽里普斯基(Adam Selipsky)指出,這件事純粹只是因為「有一群顧客和一組應用需要的安全等級,比我們現有的服務提供者更高」。

在此同時,新的安全技術也正應運而生。例如微軟的一個小組提出一種方法,可以防止一部伺服器上某虛擬機器的使用者,藉監控同一部伺服器上另一虛擬機器使用共享快取記憶體的方式搜集資訊,而這是聖地牙哥和麻省理工學院的研究工作者表示有可能辦到的。IBM的研究人員也提出一種新的安全機制,說穿了就是在新的虛擬機器進入雲端時,對他們展開搜身動作。他們將設計軟體,監控每一台虛擬機器,看看它如何運作和確保它「品行端正」,部分做法是檢查它的程式碼。這種技術在兩三年內可望上市。

但是要完全確保雲端運算的安全,不可避免就要踏進加密的領域。雲端的使用者當然已經能夠把資料加密,保護它不致流漏、遭竊,或者——也許最重要的——雲端供應商面對傳票而交出。但是這種方法有它的問題。加密後的文件儲存在雲端,不容易搜尋或者檢索,而且很難對加密資料進行計算。現在使用者可以避開這些問題,方法是雲端中的資訊不加密(「無掛無礙」),或者把加密的資料叫回自己的電腦,在安全的環境中解密,加以處理。實務上,這限制了雲端的實用性。「如果每樣東西都需要下載,移回原來的地方,才能使用資料,以我們今天面對的規模來說,這是無法接受的,」領導微軟研究院(Microsoft Research)加密研究小組的克里斯丁‧勞特(Kristin Lauter)說。

不過,新興的加密技術可望在使用者搜尋、檢索和執行計算時,保護雲端中的資料。這可能使得雲端運算遠比從前更加吸引銀行和醫療保健等行業。這些行業敏感性高的客戶和病患資料,需要嚴密的安全保障。首先,有幾個研究團體已經開發出一些方法,利用階層式加密技術,對加密後的雲端資料設定不同的存取等級。比方說,病患可以持有一把總鑰匙,存取自己的電子醫療紀錄;醫生、保險公司和其他的人,或許可以拿到子鑰匙,存取那些資訊中的若干部分。

理想上,我們會使需要加密的敏感性資料(例如醫療紀錄)處理起來更切合實務需求,這樣,即使遇駭或者雲端供應商出狀況而曝光,未獲授權的人也看不到資料。「一般利用雲端運算的想法是,把所有煩人的操作問題外包出去,但隱私要緊緊握在手中——這需要多樣的加密技術才辦得到,」紐約州約克鎮的IBM華生研究中心(Watson Research Center)加密研究員克瑞格‧甘特里(Craig Gentry)說。「這需要用到比我們今天所用複雜的加密技術。」

為了尋找和檢索加密文件,卡內基美隆大學、加州大學柏克萊分校和其他地方的研究團隊,都在發展新的搜尋策略,先以加密的元資料(metadata),標記加密的雲端檔案。使用者執行搜尋時,利用數學函數把搜尋字串加密,好讓搜尋字串找到加密元資料相符之處。雲端中沒人能夠看到文件或甚至使用的搜尋字詞。微軟研究院最近推出一種理論性架構,把幾種加密技術結合起來,以提高加密後雲端的搜尋能力。

如何不必解密而處理加密資料的問題,研究人員苦思了數十年之久,直到甘特里在2006年初獲得突破。甘特里的技術雖然所用的數學有點笨重,卻是以一種稱做「理想格」(ideal lattice)的數學物件,協助執行加密資料的計算。依他的方法,任何種類的計算,都能在雲端中安全加密的資料上執行。雲端接著釋出計算好的答案——當然是以加密的形式——讓使用者在雲端外解碼。缺點是:這個過程會吃掉數量龐大的運算能力,對目前的雲端來說不可行。「我想,我們必須認清現狀,」IBM研究院(IBM Research)的資深安全經理喬席優拉‧勞(Josyula Rao)說,「這就像萊特兄弟展示第一次飛行。」但他表示,IBM和其他地方的研究人員正設法提高甘特里新演算法的效率。

風險與效益

即使雲端運算的安全性足夠,而能充分發揮它的潛力,卻還是可能有棘手的新問題冒出。比方說,共同創立哈佛大學柏克曼網際網路與社會中心(Berkman Center for Internet and Society),著有《網際網路的未來──以及如何阻止它》(The Future of the Internet—and How to Stop It)一書的喬納山‧齊特連(Jonathan Zittrain)警告,不必害怕一般駭客入侵的雲端,可能成為網際網路控制的中心點。他說,政府管理機關、法院,或者位高權重的政府官員,可能把它們視為管理和檢查的便利地點。

此外,舉例來說,如果著作權持有人施壓,要求停止使用檔案分享軟體,雲端供應商本身有可能轉而壓制客戶。「在我看來,」齊特連說,「雲端安全最大的問題,不是微軟損失Sidekick智慧型電話資料的那種狀況。」他覺得更叫人憂心的是,「政府愈來愈有能力取得你的東西,以及對抗這種事情的憲法保障減弱;政府的檢查能力增強;供應商或者政府愈來愈能控制創新和封殺真正具有破壞性的發展。」

齊特連也擔心,如果我們使用資訊科技遭到雲端主宰,它們可能演變成有如1990年代中期的網際網路那種「高牆內的花園」(walled gardens)。那時候,Compuserve、Prodigy和AOL等公司對一般人提供的新聞、電子商務和電子郵件等線上新奇事物相當有限。他說,一旦人們選了他們喜歡的某個雲端和應用,例如Google應用,他們可能發現,再也沒辦法使用其他雲端中的好應用,就像Facebook的使用者不能和MySpace的人交朋友那樣。

但是這種顧慮並沒有阻止雲端的崛起。而且,如果雲端安全無虞,效益可能十分驚人。「雲端運算顯然能夠處理數量極其龐大的運算和資料庫管理工作,」哈佛大學的喬根森說。不妨想像:假使今天正在興起的Google Health和Microsoft HealthVault等線上個人健康資料庫,能與數量日益增多的醫院電子紀錄系統連線,並且時時維持私密資料受到保護,因此產生的巨型醫療雲端,可望將目前的應用散布到醫療專業的各個角落,價格便宜,效率很高。比方說,醫生可以輕而易舉比較病患和全國各地其他病患的核磁共振造影(MRI)掃瞄結果,並且深入龐大的資料庫,分析治療的功效和預防措施。「那裡的潛力十分巨大,因為近期內醫療這塊領域,可望從龐大的醫療紀錄集合,發生兩三個重大的進展,」在阿岡國家實驗室(Argonne National Laboratory)和芝加哥大學領導電算研究所的電腦科學家伊安‧佛斯特(Ian Foster)說。他指出,個人現在要求能夠存取本身的醫療資訊,醫療機構則需要基因和其他資料的新來源。「大量分享資訊,可以促成兩者合而為一,」他說,「也許可以在雲端辦到。但是那裡的安全問題挑戰格外嚴峻。」

新資訊科技一方面能夠帶來既深且遠的效益,另一方面又可能產生難以忍受的安全風險,這已經不是第一次了。目前在倫敦大學皇家哈洛威學院(Royal Holloway College)擔任訪問教授的懷特菲爾德‧狄飛(Whitfield Diffie),是公鑰加密技術的開創者之一。他說,一個世紀前問世的無線電,就構成類似的問題。無線電遠比它取代的電報富有彈性和力量強大,不管是商場上,或者戰場上,都必須用它才能生存。但叫人為難的是,任何人都能收到無線電訊號。就無線電來說,由於自動加密和解密技術的速度很快,取代了動作緩慢的譯電員,所以在安全性無虞的情況下,兌現了它的承諾。雲端也會經歷類似的演變。「雲端是系統,」NIST的梅爾說,「而對於系統,你必須苦苦思索,知道如何處理那個環境中的問題。那裡的規模大出許多,也缺乏實體的控制權。但我們認為,人們應該對我們能在這裡做到的事,抱以樂觀的態度。如果我們非常清楚風險模式是什麼,然後用聰明的方法去部署雲端運算,也許真的能夠透過科技來救經濟。」

Copyright © 2010, David Talbot. All Rights Reserved.