當讀到此文時,你周圍的人也許會為CVE-2015-7457而感到擔憂。CVE數字代表的是在常見漏洞與披露(Common Vulnerabilities and Exposures)數據庫中的問題,其本質上是一個由政府資助的安全問題分類數據庫。CVE-2015-7457這一問題更為尖銳,該問題發生在Linux操作系統的函數庫中,會曝光所有應用程序所使用的DNS。一次具有目的性的DNS響應可以幫助他人順利侵入你的應用程序。
“DNS……我聽過這個詞”,你開玩笑地說。但這并不是玩笑。
這一漏洞已存在于Linux中超過八年,在IT世界里八年已經是相當長的時間,長到該漏洞已經可以滲透全部底層架構,足以影響企業和云端的一切。所有的經濟體和公司都難以避免在基礎設施層面遇到這一問題。被問題困擾的有AWS、Rackspace、Digital Ocean等公司,還有我們大多數的內部基礎設施。
相比于基礎設施層面,更嚴重的是問題發生在我們的應用程序層面。在企業內部私有云上運行的應用程序會受到影響,在企業內部公有云上運行的應用程序會也受到影響,因為它們都是在企業內部運行。事實上,更糟糕的是,因為應用程序在云端,同時屬于內部實例,它們不可能具備如此多的安全選項。在這一層面上,基礎設施即服務(IaaS)不能幫助我們避免任何相關安全問題。
我常說通往云端的旅程并非技術旅程,它只是IT領域人員的旅程。那些嘗試過的人都是故意附和于我,沒有人會質疑是我瘋了。而IaaS并不能幫助我們避免修復任何安全漏洞,這就像我們十年前做的事,它允許我們改變流程。因為我們可以很快實例化新的容器、新的虛擬機以及新的操作系統鏡像,并且我們可以將這些組件視為用后可任意處理的。當某個組件發生問題,我們就處理掉它然后實例化一個新的。面對安全問題我們這樣的處理方法顯然是不正確的。
重要的問題在于,使用企業軟件,我們不能僅僅處理掉它們而部署一份全新的軟件。諸如Oracle和微軟這樣的軟件供應商不允許我們,也沒有自動化處理能力,或不支持我們這樣做,即使是我們有能力讓它們恢復工作。因此即使我們已經習慣于云架構的心態,諸如自動化和服務部署,我們的行動卻從一開始就被限制住了。
讓我們拋開一切,事情的真相是,IT并非一個企業的競爭性優勢。當我想到企業軟件自動化的凄慘狀態,我開始認識到也許我們太過于依賴舊有方法了。當虛擬化的概念剛剛出現時,曾有人被嘲笑成服務器癡迷者,他們曾盡全力維護自己的舊有方法。對于應用程序癡迷者來說,我們曾經花費了大量時間去爭取權利,結果則是徒勞無功,一切都過去了。
其結果是,不難想象軟件即服務(SaaS)成為大多數IT供應商最符合邏輯的首選。IaaS和DaaS并非總能很好地適應所有企業。當你能夠采購現成格式的產品,為什么還要運行自制的三層應用程序?想象一下我們借助SaaS的API、集成接口所能做的事情,只要我們有時間處理,就能建立起實際的競爭優勢。我們花費在打補丁和維護舊有應用程序上的時間,都將成為我們在過去的一種見證。
讓這些都過去吧!我們最終還會把注意力轉移到生活中更加重要的部分,然而這將出現在其他領域……
本文選擇最新3月刊《IT新架構》電子雜志。
京公網安備 11010502049343號