《北大互联网法律通讯 》（三）云的风险: 云计算的技术风险分析

王正宏
趋势科技（Trend Micro Inc.）资深工程师

摘要:
云计算与其说是技术上的创新不如说是架构上的重整，云计算整合从上到下所有软硬件厂商进行一次计算资源的优化运用 。 在云计算的大架构下，计算资源可以根据使用者的需要做分配的动作，所有硬件管理的工作全部交由厂商统一控管，如此大量集中的管理方式无论是在稳定度、安全性、以及隐私上的维护都带来的新的挑战。对个人用户来说，智能型的电子装置可以透过云平台做统一化的管理，不仅降低装置本身的软硬件需求，也提供了一个简便的同步机制给同时拥有多个智能装置的用户。对于小型企业来说，云计算降低了硬件建置所产生的门坎，让小企业在合理的价格内一样可以获得具有竞争力的运算资源 。对于大企业来说，云平台提供了更省钱、更稳定、更有效率的机制 ，企业只需要针对自己实际使用的计算资源进行付费，少去了自行维护软硬件的麻烦，节省不必要的花费，同时也可视自己的需求转换到更具竞争力的云端厂商以提升企业本身的竞争力。对于提供云计算资源的厂商来说，云计算等于是对目前的IT产业重新洗牌，能够在这一波新的潮流下占到一席之地的厂商将会在接下来的新世纪具有相当的竞争优势 。对于政府来说，云计算的基础硬件建设可以带来地方上经济的成长、降低失业率。对于地球来说，更有效的利用计算资源是具有环保意义的 。然而在这些正面效应的背后，云计算事实上给使用者带来新的风险 。 本篇文章将会从使用者的角度，来解释云计算的背后究竟有哪些需要注意的风险。 在这里我用二维的方式简单的划分出两类型的风险，第一类型的风险是有权限的人因为某些原因无法取得他在云平台上的资源，在这里我简称为“服务中断”。 第二种是没有权限取得资源的人取得了该资源，在这里我用“数据外泄”来代表。

1．风险的增减:
在传统的客户端-服务器架构下，原本就存在着一些导致服务中断或是数据外泄的风险，那么在新的云计算架构下，使用者面临到的风险究竟是增加还是减少了呢？

1.1 既有的风险：
在云计算的架构下，使用云计算资源的使用者并不需要直接面对到系统维护的工作。 但是将数据与运算集中在云上并没有替既有的风险解套，只是将风险转嫁到了云计算服务的提供者。 更甚之，由于云计算无法避免的庞大数据量以及多租户的复杂架构，无论在维护或是防护的挑战上都会更加艰巨 。

1.2 新的风险：
在云计算的架构下，使用者将硬件的掌控权转移给云端的厂商，错误的回报与服务的监控牵扯到更多的单位之间的沟通，尤其与公司外部单位的沟通往往需要花上更长的反应时间，直接降低了使用者对问题的反应能力。 由于云所储存的数据以及云本身的计算能力都是攻击者眼中的一块大肥肉，庞大的利益会是黑客愿意建置复杂攻击手法的诱因，在以分析既有攻击手法来做防护的前提下，对这类攻击很难有效地去防护。 资料在云端平台上的隐私将是一个大考验，而且会是目前企业最关注的因素之一，在面临云计算厂商本身的企业利益或是政府的政策有限制的状况之下，使用者最好不要假设储存在数据中心的数据能仰赖厂商达到绝对的隐私性。　当云计算跨区域进行服务的时候，法律的权责又该如何界定，使用者的隐私权是否真的有所保障？这将高度仰赖云计算相关规范的制定以及各国政府是否愿意配合该规范做出政策上的调整。

1.2.1 服务中断的风险：
1.2.1.1 阻断式攻击：
在云计算的架构下，数据储存在云中，大量的计算发生在云上，用户必须透过网络和云沟通，这样的机制仰赖稳定的网络环境。 在2009年9月就发生Bitbucket 因为 Amazon 的云服务 EC2 遭受到阻断式攻击而停摆了超过 19 小时 。在这次事件中，事实上 Bitbucket 早在攻击初期就感受到网络的拥挤并赶紧通知　Amazon，但是Amazon相关人员认为这应当只是正常的网络拥挤现象，并未在第一时间着手调查，而事后的调查发现攻击并不完全来自于外部的网络，而是有可能来自于 Amazon 其他的客户导致瘫痪发生在Amazon 的内部而被忽略。 我们从这次事件中可以看到两个问题，其一是客户在缺乏对实体机器的掌控能力下，只能被动的要求厂商进行调查，视该客户的影响力以及厂商本身的反应能力，这有可能拖上好一阵子。 其二是，网络的威胁不只来自于外部网络，更有可能是使用同一服务的客户透过内部的网络进行攻击，当双方都存在于同一实体硬件的架构下，在实行类似阻断式攻击的时候破坏力更为强大，也更容易被忽略。
1.2.1.2 数据遗失：
相较于接下来我们要讲的案例，服务停摆19小时似乎不算是一个太大的问题。 云计算一个最为人所爱戴的功能，是用户的数据将会安全、隐密地被储存在云端中，但是实际发生的案例告诉我们，储存在云中的数据还是有遗失的风险。 2009年10月就发生了一次资料遗失在云中的遗憾，许多T-mobile的SideKick Mobile用户因此永久性的遗失他们的联络人、行事历、备忘录甚至是相片 。 SideKick 是 T-Mobile 与微软旗下子公司 Danger合作所推出的一款云端智能型手机，所有的个人资料都储存在微软的云端服务器上。 造成无法弥补的错误有以下几个原因，其一是SideKick 手机只有在维持开机的状况下会暂存个人资料，所以一旦手机没电或是关机以后就仰赖服务器的备份，在这种状况下服务器的稳定度直接的掌控整个服务的生死。 其二是微软的服务器并未将数据完整的备份到另一个独立的数据中心。 我们可以从这个例子得知，即使是国际知名的大公司都有可能因为作业疏失而导致数据遗失，对于数据在云中的不稳定性，使用者其实最好还是准备自救方案以供不时之需。
1.2.1.3 厂商的变动：
如何保证我们的服务能够顺利的在云端上永续的运作？ 这个问题的答案取决于服务能否顺利的被转移。 例如一家营运良好的云端厂商被其他公司并购，或是厂商经营不善倒闭了 ，抑或当用户需要更具规模的新厂商时，原本的厂商是否有提供良好的退场、转移机制？ 使用者本身是否在进入云计算时就有转移阵地的准备？ 在统一、开放的云架构出现前 ，转移阵地相信不会是一件容易的事情，当一个企业在考虑踏入云架构的第一要务，或许不是思考如何找一个最好的篮子放所有的鸡蛋，而是确保自己在必要的时候能够有能力换个篮子。

1.2.2 数据外泄的风险：
1.2.2.1 来自互连网的攻击：
目前网络上充斥的攻击方式主要还是以简单的攻击手法搭配大量的散布攻击为主流，大量散布所带来的效益更胜于花费心力建置复杂手法的攻击方式是主因。　而防御的一方只能尽可能的加快反应的速度，透过自动化的分析来保护比较晚被攻击到的对象。　在云计算的时代来临以后，在厂商统一化管理的状况下，简单的攻击手法势必达不到太好的效果，取而代之的很可能是精心策划的攻击。 　云计算的数据中心很可能会沦为新攻击手法的首批受害者，会更大量地承受零时攻击。　攻陷数据中心所带来的庞大利益，会是黑客愿意花费心力的最大诱因。
1.2.2.2 第三方软件的风险：
近年来由第三方开发运用软件服务，然后透过现有云端厂商进行分散的模式已经蓬勃发展。举凡苹果计算机的应用商店，Facebook的应用程序或是 Google Apps Marketplace 都是类似的概念 。 开放让第三方来开发应用软件其实有着相当大的潜力，而且对于使用者、开发商、云端厂商都是有益的。 从世界各地组成的第三方开发商，以相当惊人的速度满足了各式各样的软件需求，并且因为云端厂商的大量使用者数量而得到相当优厚的报酬。 然而，已经有不少人士开始对第三方开发的软件在缺乏彻底审核就能发布的状况透露出安全疑虑，像是Facebook的应用程序就有能力大量偷取使用者的个人资料 。 尽管不断有人提出警告，在庞大的利益面前，这样的牺牲看似难以避免，在云端厂商有能力对所有第三方软件进行测底审核之前，使用者似乎只能靠着其他人的经验还有软件开发商的信誉去辨别一个新的应用软件是否有安全疑虑。

1.3 实体机器共享的风险
云计算属于多租户架构，不同的用户同时在同一数据中心甚至是同一台实体机器上做运算。 实体机器的分享是云计算之所以能够有效率分配运算资源的根基，但是也带来了相对的风险。 云计算透过虚拟机的方式做软件面的切割，尽管已经有不少的研究在这方面有所加强，但是透過软件層次的防护想達到完善,要犧牲相對比較多的效能，加上比起硬件层面的切割，软件的分割对其系统实作面有相当程度了解的人，是很难防范的。　基于多租户所带来的风险，目前许多企业对于公开云的接受度还属于观望的态度 ，一些衍伸出来的新架构如私有云或是社群云 目前看来比较有可能被大企业采用作为重要数据的储存平台。

1.4 政治风险：
虽然云计算强调的是使用者不需要知道关于硬件层面的维护与管理，只需要专注于软件的开发。 然而数据中心实际上无法自外于当地的法律 ，因此在选择云端厂商时，实体机器位在哪一个国家，当地的法律是否对你的数据运用情形会有所限制都是必须考虑在内的 。 否则尽管你与厂商签订了保密协议，在面对政府与当地法律的压力下难保厂商无法抵抗当地的公权力介入 。

2. 结论
在本篇文章中我们看到很多关于风险的论述，的确云计算要成功并不是那么容易的一件事情，但是云计算的本质对于人类未来的生活是有正面帮助的。 无论是使用者、企业、厂商或者是政府，应当共同努力来促进一个这样的改变能够成功。 政府应该创造一个好的政策与环境来吸引数据中心的建置，厂商应该致力于降低技术方面的维护风险，企业必须好好思考如何转移到更有效率的云计算平台，使用者自然能够在新的架构下，并享受它低成本带来的便利。

《北大互联网法律通讯 》 物联网与自动化特辑（2012）：
（一）物联网与自动化：虚世界与实世界的整合 - 翁岳暄
（二）智能交通：ATM 的民事责任问题 - Giovanni Sartor与Giuseppe Contissa教授专访 - 翁岳暄
（三）智能电网：网络经济与信息安全之间的平衡 - 何娴博士专访 - 翁岳暄
（四）社会机器人：作为市民伙伴的机器人 - Paolo Dario 教授专访 - 翁岳暄

《北大互联网法律通讯 》 云计算特辑（2010）：
（一）云的技术: 云计算国际趋势介绍 - 陈建勋
（二）云的架构: 云计算定义及架构的规范分析 - 牟媛
（三）云的风险: 云计算的技术风险分析 - 王正宏
（四）云的管制: 迈向社会系统设计之云计算法律框架 - 翁岳暄