9月1日,阿里云再次出現(xiàn)故障,有多位用戶在微博爆出運行在阿里云上的系統(tǒng)命令及可執(zhí)行文件被刪除。之后阿里云負(fù)責(zé)人也對事件作出澄清和說明。連阿里這樣的巨頭都會接連出現(xiàn)云安全問題,我們的數(shù)據(jù)安全如何來保障?
如今互聯(lián)網(wǎng)與云計算邊界越來越模糊,軟件與硬件,系統(tǒng),網(wǎng)絡(luò),應(yīng)用 因為虛擬化的技術(shù)的進(jìn)步已完全融合,多類型的應(yīng)用,復(fù)雜的網(wǎng)絡(luò)環(huán)境,不斷創(chuàng)新的云技術(shù)手段集合在一起,云安全問題是一個復(fù)雜多變的大系統(tǒng)問題。云環(huán)境對安全技術(shù)提出了新的挑戰(zhàn),另外因為邊界的模糊,云服務(wù)廠商,用戶與安全廠商之間 責(zé)權(quán)利也很難明確。
云安全已成為云計算行業(yè)發(fā)展的瓶頸。今年各主流云服務(wù)廠商頻發(fā)的云安全事故,讓我們看到了云計算時代下,安全已經(jīng)成為整個行業(yè)發(fā)展的短板。云計算時代,眾云服務(wù)廠商把更多精力性能提升,架構(gòu)等技術(shù)創(chuàng)新,如OpenStack與Docker等其他技術(shù)的融合,能提供越來越多的應(yīng)用場景,事實上,技術(shù)框架,性能,新的功能都能復(fù)制,唯獨安全不可以,沒有安全的保障平臺、技術(shù),性能一切都是空,云環(huán)境的安全已經(jīng)成為整個行業(yè)發(fā)展的短板。
目前來說,云計算廠商的安全主要還是從這幾方面來做的,創(chuàng)新的也并不多,小邊界的安全問題常常被忽略。
1.網(wǎng)絡(luò)層
外圍基礎(chǔ)設(shè)施,如交換機(jī),防火墻保證大邊界的安全加上虛擬化防墻,用戶可自定義防火墻規(guī)則用于提升虛擬機(jī)的網(wǎng)絡(luò)安全性,硬件防火墻加上虛擬防火墻軟硬結(jié)合的方式現(xiàn)在實現(xiàn)外圍的安全的。
2.應(yīng)用層
小邊界安全更多是云服廠商自已通過VPC等技術(shù)來實現(xiàn),虛擬機(jī)與虛擬機(jī),虛擬機(jī)與物理機(jī)之間進(jìn)行隔離,云主機(jī)都是軟件虛擬出來的,黑客入侵一臺以后,逃逸出虛擬機(jī),就能毀掉整個云系統(tǒng),攻擊一般是從小邊界侵入的,為每一臺新增云主機(jī)另外部屬第三方的企業(yè)級安全產(chǎn)品就更多了一層保障。
3.系統(tǒng)層
大家都覺得給用戶最純凈的系統(tǒng)就OK,但是忽視了這是云時代,用戶和云是緊緊連在一起的,操作系統(tǒng)的漏洞,云主機(jī)及用戶簡易的帳戶密碼都可能會導(dǎo)致整個系統(tǒng)的安全,這主要還是人的問題。注冊第三方的漏洞告警平臺,是一個很有效的方法。
4.數(shù)據(jù)層
分存式存儲,每一份數(shù)據(jù)保留三份,同時實現(xiàn)異地備份,廣州機(jī)房云主機(jī)的數(shù)據(jù),深圳的機(jī)房有一份,深圳機(jī)房云主機(jī)的數(shù)據(jù)廣州有一份。
令人爆腦DDOS攻擊和防不勝防的黑客攻擊:
DDOS這種破壞性的攻擊,可以在光纖上做分光,旁路監(jiān)聽通過清洗流量再返回,有兩個難點 1.判斷 2.清洗 原理上不難,關(guān)健執(zhí)行起來有點困難,這種資源消耗型攻擊,不是技術(shù)行不行,是國內(nèi)的機(jī)房資源足夠與否,允許你進(jìn)行清洗,流量阻擊。
黑客攻擊,實際上黑客攻擊更多的是為了體現(xiàn)自已的技術(shù),更多的會選擇政府重要的系統(tǒng),如政府情報系統(tǒng)這類。
1.各廠商各自為政,難協(xié)作,難統(tǒng)一。雖然許多廠商都認(rèn)識到保護(hù)云計算安全的重要性,但由于廠商各自經(jīng)營范圍的不同以及各自理解的不同,信息安全廠商、虛擬化技術(shù)供應(yīng)商、網(wǎng)絡(luò)基礎(chǔ)設(shè)備供應(yīng)商、服務(wù)器供應(yīng)商、應(yīng)用系統(tǒng)供應(yīng)商、操作系統(tǒng)廠商等在保護(hù)云計算安全方面各按各的方式來做,都不是完整的解決方案,比較局限。
2.用戶,安全廠商,云計算廠商 責(zé)權(quán)利邊界不明。監(jiān)控是安全預(yù)警的前提,云計算廠商或安全廠商對用戶的監(jiān)控到什么程度是不損害用戶利益用戶可以接受的?安全與業(yè)務(wù),孰輕孰重,就像代表數(shù)值的阿拉伯?dāng)?shù)字的“1”和“0”哪個更大更重要?
因為用戶的整體技術(shù)水平比較低,發(fā)現(xiàn)安全問題時又比較緊急,那么是告警用戶還是自動處理,處理時用何種手段,處理后的結(jié)果誰承擔(dān)?
3.整個云計算行業(yè)云安全技術(shù)水平低,重產(chǎn)品,重運營,輕安全。
1.云安全大數(shù)據(jù),現(xiàn)在一些第三方的平臺實際上已經(jīng)類似這種做法,像烏云漏洞平臺,對注冊用戶,系統(tǒng)系統(tǒng)漏洞,虛擬弱密碼,包括如果云平臺上客戶的應(yīng)用存在漏洞也會報警。
2.學(xué)習(xí)國外的AWS, 與合作伙伴建立安全生態(tài),構(gòu)建在自已的云上的安全體系。國內(nèi)阿里云試在這樣做,但據(jù)說阿里也推自已的安騎士安全產(chǎn)品,面對諾大的云安全市場,阿里是否甘心將這塊大蛋糕拱手讓給合作伙伴是個疑問。
三分技術(shù),七分管理,技術(shù)是手段,技術(shù)手端也要被管理,加強邊界管理,區(qū)分好責(zé)權(quán)利的邊界,就像政府職能部分,職權(quán)交界區(qū) 最容易被忽略一樣。我認(rèn)為整個行業(yè)共同支持第三方云安全大數(shù)據(jù),豐富技術(shù)手段,不然云安全就像黃帝的新衣,徒慰自已。
分享到微信 ×
打開微信,點擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。