“網(wǎng)絡(luò )就是計算機”,這是 Sun 公司聯(lián)合創(chuàng )始人 JohnGage 在1984年說(shuō)過(guò)的一句話(huà),預測了分布式計算技術(shù)變革即將帶來(lái)的新世界。而如今經(jīng)過(guò)基礎設施、資本、服務(wù)的比拼,云計算正在將這一理念變成現實(shí)。尤其近兩年國內的云計算市場(chǎng),除去BAT在云服務(wù)市場(chǎng)的大力布局,也誕生了諸如青云、UCloud、七牛云、青藤云等新崛起的專(zhuān)業(yè)云服務(wù)商跑馬圈地。
但是如今云服務(wù)的現狀卻備受挑戰,從速度到售后服務(wù)都飽受詬病,尤其是黑客攻擊引發(fā)的云端安全問(wèn)題,讓不少企業(yè)和用戶(hù)對云計算的使用抱有懷疑態(tài)度:
- 去年,蘋(píng)果iCloud泄露了眾多好萊塢女星的艷照,瞬間引起了針對蘋(píng)果 iCloud 的安全性問(wèn)題;
- 今年7月初,專(zhuān)業(yè)從事監視技術(shù)的意大利公司Hacking Team被攻擊,作為一家黑客公司竟然被竊400GB數據,自打自臉不說(shuō),被譽(yù)為全球最臭名昭著(zhù)的安全公司也不為過(guò)(查看鈦媒體前文《臭名昭著(zhù)的安全公司Hacking Team反被竊400GB數據》);
- 7月21日,在線(xiàn)婚外情網(wǎng)站 AshleyMadison。com 被黑客入侵,更遭到黑客要求關(guān)閉網(wǎng)站的威脅,否則將公布數百萬(wàn)用戶(hù)的真實(shí)名字和個(gè)人偏好;
- ……
不只是國外,國內發(fā)生的云端攻擊和安全事件也不勝枚舉,DNS大劫難、手機木馬“XX神器”、12306用戶(hù)信息大規模泄露就是最好的例證。
根據阿里云提供的數據顯示,旗下安全品牌云盾DDoS防護每天防御超過(guò)1000起DDoS攻擊事件。云盾應用防火墻每天攔截超過(guò)1000萬(wàn)次的Web攻擊,云盾安騎士每天還會(huì )攔截超過(guò)5億次的暴力破解攻擊...由此可見(jiàn),在我們熟知的網(wǎng)絡(luò )環(huán)境中,安全攻擊事件時(shí)刻都在上演,只不過(guò)大多被第一時(shí)間化解了。這也意味著(zhù),云計算廠(chǎng)商對黑客的打擊力度在潛移默化的加強,黑客們要小心了。
企業(yè)部署了安全設備,為何就是看不到黑客的入侵?
大量的例子證明,日益猖獗的黑客攻擊已成為互聯(lián)網(wǎng)企業(yè)成長(cháng)所面臨的重要問(wèn)題之一,那么為何會(huì )出現安全事件頻發(fā)的現象?
中國網(wǎng)絡(luò )安全圈最具影響力的人物之一、阿里巴巴安全部研究院吳翰清(網(wǎng)名道哥、刺)認為,云端安全是一個(gè)持續的過(guò)程,關(guān)鍵在于云服務(wù)提供商要有非常完善的應急響應機制。
在今年7月9日阿里巴巴天下無(wú)賊安全峰會(huì )上,吳翰清就著(zhù)重提到阿里云計劃推出的全新安全解決方案:態(tài)勢感知。這種方案欲解決的問(wèn)題是:企業(yè)部署了安全設備,為何就是看不到黑客的入侵?
答案是:安全防御沒(méi)有可視化。因為對于防護一方來(lái)說(shuō),安全就是一副圖,如果沒(méi)有看到整張圖的視野,就等于什么也看不到。
“完整的安全是需要體現縱身防御的,像BAT這樣走自主研發(fā)路線(xiàn)的互聯(lián)網(wǎng)公司,根據自身特點(diǎn)早就量身定制了整套安全架構,從網(wǎng)絡(luò )邊界,到應用框架,到主機安全Agent,最后到審計產(chǎn)品,實(shí)現了一個(gè)非常深的產(chǎn)品Stack”,吳翰清告訴鈦媒體。
事實(shí)上,在阿里云盾的產(chǎn)品體系里,位于網(wǎng)絡(luò )邊界的DDoS防護、應用防火墻和位于主機上的安全軟件安騎士,就形成了互補,儼然構成了一個(gè)體系。尤其是主機層面的安全軟件,它能有效彌補網(wǎng)絡(luò )邊界安全產(chǎn)品的短板。
青藤云創(chuàng )始人張福告訴鈦媒體,國內企業(yè)的安全問(wèn)題是整體性質(zhì)的落后,其中包括安全人才的嚴重匱乏和企業(yè)安全意識不足等等。
“國內企業(yè)普遍缺乏安全防護意識和能力,一方面傳統安全廠(chǎng)商不能滿(mǎn)足互聯(lián)網(wǎng)企業(yè)需求;其次是企業(yè)自建安全能力,有面臨投入高人才難尋的局面。”
事實(shí)還證明,黑客總是會(huì )從意想不到的地方入侵,很多看起來(lái)不起眼的小問(wèn)題最終會(huì )導致企業(yè)重要資產(chǎn)淪陷。消息顯示,意大利公司Hacking Team被黑就是黑客采用非常初級的“SQL注入”和“弱口令”攻入,這是令人難以置信的事實(shí),但同時(shí)也側面驗證了被攻擊方本身存在的薄弱點(diǎn)和漏洞。
傳統“邊界安全”要遭淘汰,自適應安全是趨勢
不僅是國內的云服務(wù)廠(chǎng)商,近幾年國外諸如亞馬遜,甚至安全專(zhuān)業(yè)公司卡巴斯基在安全防護上投入巨大,爆發(fā)的諸多黑客攻擊安全事件直接推動(dòng)了安全企業(yè)的集體反思,于是在2015年的RSA(安全屆的奧斯卡)大會(huì )上得出一個(gè)結論:傳統的“邊界安全”理念已證明不能滿(mǎn)足企業(yè)安全的需求。
然而安全行業(yè)在過(guò)去20年一直是在做“邊界安全”,阿里巴巴安全部研究院吳翰清告訴鈦媒體,“邊界安全”之所以這么熱,因為大多數的安全廠(chǎng)商在進(jìn)行產(chǎn)品銷(xiāo)售時(shí),遇到的布署挑戰不好解決,而把設備放到網(wǎng)絡(luò )邊界處對客戶(hù)來(lái)說(shuō)是最容易接受的,對整體環(huán)境的改動(dòng)最小,客戶(hù)不需要去修改代碼,也不需要去服務(wù)器上裝軟件。
“但其實(shí)這遠遠不是安全的全部,對很多客戶(hù)的運維來(lái)說(shuō)會(huì )帶來(lái)額外的風(fēng)險。”
對于傳統邊界安全為何不實(shí)用,張福的理由是,
“傳統邊界安全是在外圍造城墻進(jìn)行防御,不需要理解業(yè)務(wù),因此達不到很好的效果,現在互聯(lián)網(wǎng)企業(yè)需要的安全是能夠隨業(yè)務(wù)變化而變化,理解業(yè)務(wù)并隨時(shí)調整。”
那么問(wèn)題來(lái)了,能否在云端構建一個(gè)安全防御免疫系統, 及時(shí)預防并發(fā)現黑客攻擊行為?自適應安全正是為了解決問(wèn)題而來(lái)。
Garner 在2014年所發(fā)布的《面向高級攻擊的自適應安全架構》報告中指出,每個(gè)企業(yè)都應該假設處于受攻擊狀態(tài),以此加強對內外威脅情報數據的識別,構建持續響應的安全體系,此報告著(zhù)重突出了自適應安全的未來(lái)潛力。
國際安全廠(chǎng)商FireEye去年斥資10億美元收購了主打安全應急響應管理解決方案的安全公司Mandiant,正是為了加強產(chǎn)品的自適應化。無(wú)獨有偶,以自適應為核心特征的安全初創(chuàng )公司 illumio 在短短兩年內就獲得三輪共1.425億美元融資。
阿里云盾和青藤云也在做同樣的事情,不難看出,自適應安全已經(jīng)逐漸成為國內外安全廠(chǎng)商的共識,基于此構建持續的監控和分析能力,可以更快的對攻擊進(jìn)行事前和快速的檢測響應。青藤云創(chuàng )始人張福對自適應安全有著(zhù)獨到的見(jiàn)解,他如此告訴鈦媒體:
自適應安全的創(chuàng )新之處在于,首次將視角轉移到防火墻之后的業(yè)務(wù)系統內部,強調基于業(yè)務(wù)自?xún)榷鈽嫿ò踩w系,安全防護變成一項持續響應和處理過(guò)程。
更重要的是安全監控和實(shí)施直接運作于每個(gè)業(yè)務(wù)單元而不是依賴(lài)于基礎設施或硬件,賦予企業(yè)更細粒度和更豐富的持續監控和行為分析能力,企業(yè)安全運維人員可以清楚掌控內部系統異常運作和外部攻擊行為,真正做到對多形態(tài)攻擊甚至高級攻擊的快速響應恢復,同時(shí)自適應任何基礎設施和業(yè)務(wù)變化。
其實(shí),還有關(guān)鍵的一點(diǎn)張福沒(méi)提到的是,它可以自適應任何平臺(私有云、混合云或公有云)。據張福介紹,青藤云的產(chǎn)品就是希望改變傳統以攔截防護為主的安全思路,提供有效可落實(shí)的安全防護,在平均反應時(shí)間、平均修復時(shí)間、攻擊者駐留時(shí)間三大指標做了優(yōu)化提升,盡量避免黑客攻擊帶來(lái)的安全事故的發(fā)生。
企業(yè)最好選擇一朵云,混合云或將退出歷史舞臺
云計算廠(chǎng)商在面臨黑客的持續攻擊,在不斷的調整策略、加大技術(shù)研發(fā)。那么對于企業(yè)來(lái)說(shuō),他們需要怎樣的云服務(wù)?在鈦媒編輯與一些非云計算創(chuàng )業(yè)者的交流來(lái)看,他們對云服務(wù)的技術(shù)性名詞不甚了解,對云服務(wù)的要求很簡(jiǎn)單:低成本、安全度高。這就導致企業(yè)本身采用容災備份和混合云等多種方式進(jìn)行搭配成為很普遍的選型問(wèn)題。
事實(shí)上,混合云因為將公有云和私有云進(jìn)行混合和匹配,提供了個(gè)性化的解決方案,達到了既省錢(qián)又安全的目的,逐漸成為云計算的主要模式。
不過(guò),吳翰清的看法恰恰相反,他的建議是企業(yè)最好選擇一朵云,他還預言混合云將會(huì )退出歷史舞臺。
“把數據備份在兩朵或多個(gè)云里會(huì )讓成本成倍增加,同時(shí)數據遷移也會(huì )帶來(lái)巨大的成本。”
吳翰清還作了一個(gè)比喻來(lái)說(shuō)明,
“這個(gè)過(guò)程會(huì )像第二次產(chǎn)業(yè)革命時(shí)期的電廠(chǎng)一樣,最早人們都想自己買(mǎi)個(gè)發(fā)電機,但最后都把發(fā)電交給了電廠(chǎng)。這個(gè)轉移發(fā)生的本質(zhì)實(shí)際上是信任。讓人們接受一項新技術(shù)需要時(shí)間,但最終人們會(huì )做出最有利于自己的選擇,這取決于技術(shù)成熟度。”
所以當云計算足夠穩定和安全后,理智的客戶(hù)都只會(huì )選擇一朵云。
雖然目前國內的云服務(wù)市場(chǎng)仍舊面臨一些問(wèn)題,但是不可否認,云計算肯定會(huì )呈現爆發(fā)式增長(cháng)趨勢,IDC的一份報告就預計,2018年中國云計算市場(chǎng)將達到20億美元,美國云計算市場(chǎng)預計將增長(cháng)到750億美元。
安全,作為云服務(wù)關(guān)鍵的一環(huán),承載著(zhù)云服務(wù)廠(chǎng)商和企業(yè)之間商業(yè)模式的改變,從來(lái)都不是簡(jiǎn)單的技術(shù)問(wèn)題,一家企業(yè)要想不被黑是非常困難的,這不僅要防御做得好,本身內部的問(wèn)題也得解決好。
雖然目前的云計算市場(chǎng)環(huán)境,呈現了BAT3派系之爭,但是也誕生了更垂直、細分的專(zhuān)業(yè)云服務(wù)廠(chǎng)商,市場(chǎng)也需要第三方立場(chǎng)的專(zhuān)業(yè)安全服務(wù)產(chǎn)品來(lái)激活市場(chǎng)。但未來(lái)云服務(wù)的最終目的是讓企業(yè)服務(wù)不再是奢侈品,讓互聯(lián)網(wǎng)企業(yè)無(wú)論規模大小業(yè)務(wù)領(lǐng)域,都能在一個(gè)公平、安全的互聯(lián)網(wǎng)環(huán)境中,低成本、高效率的成長(cháng)。
