9月1日��,阿里云再次出現(xiàn)故障���,有多位用戶(hù)在微博爆出運(yùn)行在阿里云上的系統(tǒng)命令及可執(zhí)行文件被刪除�����。之后阿里云負(fù)責(zé)人也對(duì)事件作出澄清和說(shuō)明��。連阿里這樣的巨頭都會(huì)接連出現(xiàn)云安全問(wèn)題����,我們的數(shù)據(jù)安全如何來(lái)保障?
9月1日,阿里云再次出現(xiàn)故障���,有多位用戶(hù)在微博爆出運(yùn)行在阿里云上的系統(tǒng)命令及可執(zhí)行文件被刪除����。之后阿里云負(fù)責(zé)人也對(duì)事件作出澄清和說(shuō)明���。連阿里這樣的巨頭都會(huì)接連出現(xiàn)云安全問(wèn)題��,我們的數(shù)據(jù)安全如何來(lái)保障?
如今互聯(lián)網(wǎng)與云計(jì)算邊界越來(lái)越模糊���,軟件與硬件,系統(tǒng)���,網(wǎng)絡(luò)���,應(yīng)用 因?yàn)樘摂M化的技術(shù)的進(jìn)步已完全融合,多類(lèi)型的應(yīng)用����,復(fù)雜的網(wǎng)絡(luò)環(huán)境���,不斷創(chuàng)新的云技術(shù)手段集合在一起,云安全問(wèn)題是一個(gè)復(fù)雜多變的大系統(tǒng)問(wèn)題�����。云環(huán)境對(duì)安全技術(shù)提出了新的挑戰(zhàn)����,另外因?yàn)檫吔绲哪:品?wù)廠商����,用戶(hù)與安全廠商之間 責(zé)權(quán)利也很難明確。
云安全已成為云計(jì)算行業(yè)發(fā)展的瓶頸�。今年各主流云服務(wù)廠商頻發(fā)的云安全事故,讓我們看到了云計(jì)算時(shí)代下�����,安全已經(jīng)成為整個(gè)行業(yè)發(fā)展的短板���。云計(jì)算時(shí)代����,眾云服務(wù)廠商把更多精力性能提升,架構(gòu)等技術(shù)創(chuàng)新�����,如OpenStack與Docker等其他技術(shù)的融合����,能提供越來(lái)越多的應(yīng)用場(chǎng)景���,事實(shí)上����,技術(shù)框架��,性能���,新的功能都能復(fù)制����,唯獨(dú)安全不可以����,沒(méi)有安全的保障平臺(tái)�、技術(shù)�����,性能一切都是空��,云環(huán)境的安全已經(jīng)成為整個(gè)行業(yè)發(fā)展的短板��。
目前來(lái)說(shuō)���,云計(jì)算廠商的安全主要還是從這幾方面來(lái)做的�,創(chuàng)新的也并不多�����,小邊界的安全問(wèn)題常常被忽略��。
1.網(wǎng)絡(luò)層
外圍基礎(chǔ)設(shè)施�,如交換機(jī),防火墻保證大邊界的安全加上虛擬化防墻�,用戶(hù)可自定義防火墻規(guī)則用于提升虛擬機(jī)的網(wǎng)絡(luò)安全性,硬件防火墻加上虛擬防火墻軟硬結(jié)合的方式現(xiàn)在實(shí)現(xiàn)外圍的安全的���。
2.應(yīng)用層
小邊界安全更多是云服廠商自已通過(guò)VPC等技術(shù)來(lái)實(shí)現(xiàn)��,虛擬機(jī)與虛擬機(jī)��,虛擬機(jī)與物理機(jī)之間進(jìn)行隔離�����,云主機(jī)都是軟件虛擬出來(lái)的���,黑客入侵一臺(tái)以后,逃逸出虛擬機(jī)����,就能毀掉整個(gè)云系統(tǒng),攻擊一般是從小邊界侵入的��,為每一臺(tái)新增云主機(jī)另外部屬第三方的企業(yè)級(jí)安全產(chǎn)品就更多了一層保障�。
3.系統(tǒng)層
大家都覺(jué)得給用戶(hù)最純凈的系統(tǒng)就OK,但是忽視了這是云時(shí)代�,用戶(hù)和云是緊緊連在一起的,操作系統(tǒng)的漏洞�,云主機(jī)及用戶(hù)簡(jiǎn)易的帳戶(hù)密碼都可能會(huì)導(dǎo)致整個(gè)系統(tǒng)的安全,這主要還是人的問(wèn)題����。注冊(cè)第三方的漏洞告警平臺(tái)�����,是一個(gè)很有效的方法��。
4.數(shù)據(jù)層
分存式存儲(chǔ)�����,每一份數(shù)據(jù)保留三份��,同時(shí)實(shí)現(xiàn)異地備份����,廣州機(jī)房云主機(jī)的數(shù)據(jù)�,深圳的機(jī)房有一份,深圳機(jī)房云主機(jī)的數(shù)據(jù)廣州有一份����。
令人爆腦DDOS攻擊和防不勝防的黑客攻擊:
DDOS這種破壞性的攻擊,可以在光纖上做分光�,旁路監(jiān)聽(tīng)通過(guò)清洗流量再返回,有兩個(gè)難點(diǎn) 1.判斷 2.清洗 原理上不難���,關(guān)健執(zhí)行起來(lái)有點(diǎn)困難�,這種資源消耗型攻擊,不是技術(shù)行不行��,是國(guó)內(nèi)的機(jī)房資源足夠與否��,允許你進(jìn)行清洗�����,流量阻擊�����。
黑客攻擊����,實(shí)際上黑客攻擊更多的是為了體現(xiàn)自已的技術(shù)��,更多的會(huì)選擇政府重要的系統(tǒng)���,如政府情報(bào)系統(tǒng)這類(lèi)����。
目前云計(jì)算行業(yè)安全存在的大問(wèn)題
1.各廠商各自為政,難協(xié)作����,難統(tǒng)一。雖然許多廠商都認(rèn)識(shí)到保護(hù)云計(jì)算安全的重要性���,但由于廠商各自經(jīng)營(yíng)范圍的不同以及各自理解的不同�,信息安全廠商���、虛擬化技術(shù)供應(yīng)商�、網(wǎng)絡(luò)基礎(chǔ)設(shè)備供應(yīng)商�、服務(wù)器供應(yīng)商、應(yīng)用系統(tǒng)供應(yīng)商����、操作系統(tǒng)廠商等在保護(hù)云計(jì)算安全方面各按各的方式來(lái)做,都不是完整的解決方案��,比較局限����。
2.用戶(hù),安全廠商���,云計(jì)算廠商 責(zé)權(quán)利邊界不明�。監(jiān)控是安全預(yù)警的前提,云計(jì)算廠商或安全廠商對(duì)用戶(hù)的監(jiān)控到什么程度是不損害用戶(hù)利益用戶(hù)可以接受的?安全與業(yè)務(wù)�,孰輕孰重,就像代表數(shù)值的阿拉伯?dāng)?shù)字的“1”和“0”哪個(gè)更大更重要?
因?yàn)橛脩?hù)的整體技術(shù)水平比較低����,發(fā)現(xiàn)安全問(wèn)題時(shí)又比較緊急,那么是告警用戶(hù)還是自動(dòng)處理���,處理時(shí)用何種手段���,處理后的結(jié)果誰(shuí)承擔(dān)?
3.整個(gè)云計(jì)算行業(yè)云安全技術(shù)水平低,重產(chǎn)品��,重運(yùn)營(yíng)��,輕安全����。
云計(jì)算行業(yè)安全新方向:
1.云安全大數(shù)據(jù)�,現(xiàn)在一些第三方的平臺(tái)實(shí)際上已經(jīng)類(lèi)似這種做法,像烏云漏洞平臺(tái)�,對(duì)注冊(cè)用戶(hù)�,系統(tǒng)系統(tǒng)漏洞�����,虛擬弱密碼�,包括如果云平臺(tái)上客戶(hù)的應(yīng)用存在漏洞也會(huì)報(bào)警。
2.學(xué)習(xí)國(guó)外的AWS, 與合作伙伴建立安全生態(tài)���,構(gòu)建在自已的云上的安全體系����。國(guó)內(nèi)阿里云試在這樣做���,但據(jù)說(shuō)阿里也推自已的安騎士安全產(chǎn)品����,面對(duì)諾大的云安全市場(chǎng)�,阿里是否甘心將這塊大蛋糕拱手讓給合作伙伴是個(gè)疑問(wèn)。
三分技術(shù)��,七分管理���,技術(shù)是手段���,技術(shù)手端也要被管理�,加強(qiáng)邊界管理���,區(qū)分好責(zé)權(quán)利的邊界���,就像政府職能部分,職權(quán)交界區(qū) 最容易被忽略一樣����。我認(rèn)為整個(gè)行業(yè)共同支持第三方云安全大數(shù)據(jù),豐富技術(shù)手段���,不然云安全就像黃帝的新衣�����,徒慰自已。
