云計算太大而不能消失，但又不會太大而不能倒下。我們需要創建一個幾乎不可能被滲透的完全加密和經過身份驗證的基礎設施。

最近通過華碩實時更新功能對筆記本電腦用戶進行的民族國家攻擊清楚地表明，“云”不是一個安全的計算平臺——它只是一種允許用戶將計算任務從一個物理位置轉移到另一個物理位置的經濟模型以最小的工作量中斷并且無需構建自己的數據中心的成本。然而，基礎設施投資的這種減少伴隨著安全方面的巨大成本。

私有企業數據中心現在與來自云提供商的額外計算能力相結合，創建了混合模型。這種做法從云提供商創建了大規模的多租戶數據中心，許多客戶端托管在一個數據中心中，各個客戶端之間沒有防火墻。這使得模型具有成本效益。它還使云提供商的所有客戶端都容易受到攻擊。

如果惡意軟件從一個客戶端泄露，那么所有客戶端都可能成為該惡意軟件的目標，因為它們之間不存在防火墻。這種威脅變得更糟，因為任何人都可以執行固件更新，而無需對更新潛在惡意固件或更新本身的人進行身份驗證。

硬盤、RAID 控制器、LAN 控制器、GPU、BMC 和服務器中的主機處理器的固件更新是不安全的，除非通過弱用戶名和密碼組合。它們布滿了漏洞和后門，很容易被攻破。因此，所有服務器都有可以被利用的巨大攻擊面。編寫良好的惡意軟件可以很容易地持久化，以便在重置、重新啟動或重新安裝操作系統時仍然存在。

確實，受影響的系統可以脫機、重新刷機并重新投入使用，但情況會變得更糟。傳統的攻擊會留下某種痕跡，通過分析這些痕跡，我們通常可以找出發生了什么以及將來如何避免它們。正如 2019 年 2 月 26 日 EEWeb 專欄“ Cloudborne Punches Hole in Cloud Security ”中所報道的那樣，Eclypsium 的安全分析師確定了使用英特爾的軟件防護擴展 （SGX） 來隱藏只有攻擊者才能看到的攻擊的潛力。 傳統的惡意軟件掃描程序和當前的防火墻都無法檢測到這種攻擊。并且由于攻擊是不可檢測的，因此假設類似的攻擊已經成功執行并非沒有道理。

發現固件攻擊的唯一方法是事后，一旦服務器停止服務并且所有固件都已與出廠默認設置以及此后任何已知良好的更新進行比較。目前，這幾乎是不可能實現的，因為大多數固件都沒有簽名以保證其真實性。我們無法驗證當前固件是否沒有惡意軟件并且是由制造商提供的。事實上，我們甚至不能保證從制造商網站下載的新版本固件沒有惡意軟件，因為它根本沒有簽名。華碩的違規行為表明，固件及其所有更新的真實性和完整性對于阻止犯罪者分發具有有效簽名的惡意固件更新至關重要。

那么如何在云中檢測和阻止惡意軟件的傳播呢？

為了過濾傳入和傳出的流量，我們必須從不基于易受攻擊的遺留處理器架構的防火墻開始，而是基于硬件，因為已經證明基于軟件的方法不能足夠安全。這些防火墻必須支持簽名和完全認證的固件安裝和更新過程，并且它們絕不能向外界泄露私鑰，即使程序員或用戶犯了嚴重錯誤。此外，它們必須對 Meltdown、Spectre、Cloudborne 和任何其他硬件攻擊無懈可擊，它們必須能夠學習正常的流量模式并能夠防御攻擊，同時防止惡意軟件的入侵和滲出。

云提供商將需要安裝具有新穎且真正安全的網絡接口卡 （NIC） 的服務器，充當本地防火墻。同時，分支機構、公司、銀行及其最終用戶之間的所有寬帶連接——以及所有其他通信，由于流經它們的流量的性質，需要安全——應該通過為每一端配備真正安全的防火墻來保護。

多租戶公共云需要通過部署防火墻來隔離所有客戶端，這些防火墻 （1） 不使用不安全的處理器，（2） 不使用行業標準的硬盤或 SSD，以及 （3） 不支持未經身份驗證的固件更新與未簽名的固件。這些防火墻必須部署在連接到互聯網的每個入口和出口點的外圍，并且——對于防火墻來說是新穎的——必須同時過濾兩個方向的流量（雙向、全雙工）以檢測惡意軟件的滲漏。

云計算太大而不能消失，但又不會太大而不能倒下。但是，我們可以通過首先保護外圍，然后是端點和網關（或聚合器）來實現任意兩個端點之間的非常高級別的安全性。此外，需要硬件來確保通信安全以及對設備和用戶進行身份驗證。完全加密和經過身份驗證的基礎設施幾乎不可能被滲透。在此基礎上進行改進，使用強大的生物識別措施來阻止使用密碼將使基礎設施比現在更安全、更安全、甚至更方便。