編者注:9月1日,阿里云再次出現故障,有多位用戶在微博爆出運行在阿里云上的系統命令及可執行文件被刪除。之后阿里云負責人也對事件作出澄清和說明。連阿里這樣的巨頭都會接連出現云安全問題,我們的數據安全如何來保障?
如今互聯網與云計算邊界越來越模糊,軟件與硬件,系統,網絡,應用 因為虛擬化的技術的進步已完全融合,多類型的應用,復雜的網絡環境,不斷創新的云技術手段集合在一起,云安全問題是一個復雜多變的大系統問題。云環境對安全技術提出了新的挑戰,另外因為邊界的模糊,云服務廠商,用戶與安全廠商之間 責權利也很難明確。
云安全已成為云計算行業發展的瓶頸。今年各主流云服務廠商頻發的云安全事故,讓我們看到了云計算時代下,安全已經成為整個行業發展的短板。云計算時代,眾云服務廠商把更多精力性能提升,架構等技術創新,如OpenStack與Docker等其他技術的融合,能提供越來越多的應用場景,事實上,技術框架,性能,新的功能都能復制,唯獨安全不可以,沒有安全的保障平臺、技術,性能一切都是空,云環境的安全已經成為整個行業發展的短板。
目前來說,云計算廠商的安全主要還是從這幾方面來做的,創新的也并不多,小邊界的安全問題常常被忽略。
1.網絡層:外圍基礎設施,如交換機,防火墻保證大邊界的安全加上虛擬化防墻,用戶可自定義防火墻規則用于提升虛擬機的網絡安全性,硬件防火墻加上虛擬防火墻軟硬結合的方式現在實現外圍的安全的。
2.應用層:小邊界安全更多是云服廠商自已通過VPC等技術來實現,虛擬機與虛擬機,虛擬機與物理機之間進行隔離,云主機都是軟件虛擬出來的,黑客入侵一臺以后,逃逸出虛擬機,就能毀掉整個云系統,攻擊一般是從小邊界侵入的,為每一臺新增云主機另外部屬第三方的企業級安全產品就更多了一層保障。
3.系統層:大家都覺得給用戶最純凈的系統就OK,但是忽視了這是云時代,用戶和云是緊緊連在一起的,操作系統的漏洞,云主機及用戶簡易的帳戶密碼都可能會導致整個系統的安全,這主要還是人的問題。注冊第三方的漏洞告警平臺,是一個很有效的方法。
4.數據層:分存式存儲,每一份數據保留三份,同時實現異地備份,廣州機房云主機的數據,深圳的機房有一份,深圳機房云主機的數據廣州有一份。
令人爆腦DDOS攻擊和防不勝防的黑客攻擊:
DDOS這種破壞性的攻擊,可以在光纖上做分光,旁路監聽通過清洗流量再返回,有兩個難點 1.判斷 2.清洗 原理上不難,關健執行起來有點困難,這種資源消耗型攻擊,不是技術行不行,是國內的機房資源足夠與否,允許你進行清洗,流量阻擊。
黑客攻擊,實際上黑客攻擊更多的是為了體現自已的技術,更多的會選擇政府重要的系統,如政府情報系統這類。
目前云計算行業安全存在的大問題
1.各廠商各自為政,難協作,難統一。雖然許多廠商都認識到保護云計算安全的重要性,但由于廠商各自經營范圍的不同以及各自理解的不同,信息安全廠商、虛擬化技術供應商、網絡基礎設備供應商、服務器供應商、應用系統供應商、操作系統廠商等在保護云計算安全方面各按各的方式來做,都不是完整的解決方案,比較局限。
2.用戶,安全廠商,云計算廠商 責權利邊界不明。監控是安全預警的前提,云計算廠商或安全廠商對用戶的監控到什么程度是不損害用戶利益用戶可以接受的?安全與業務,孰輕孰重,就像代表數值的阿拉伯數字的“1”和“0”哪個更大更重要?
因為用戶的整體技術水平比較低,發現安全問題時又比較緊急,那么是告警用戶還是自動處理,處理時用何種手段,處理后的結果誰承擔?
3.整個云計算行業云安全技術水平低,重產品,重運營,輕安全。
云計算行業安全新方向:
1.云安全大數據,現在一些第三方的平臺實際上已經類似這種做法,像烏云漏洞平臺,對注冊用戶,系統系統漏洞,虛擬弱密碼,包括如果云平臺上客戶的應用存在漏洞也會報警。
2.學習國外的AWS, 與合作伙伴建立安全生態,構建在自已的云上的安全體系。國內阿里云試在這樣做,但據說阿里也推自已的安騎士安全產品,面對諾大的云安全市場,阿里是否甘心將這塊大蛋糕拱手讓給合作伙伴是個疑問。
三分技術,七分管理,技術是手段,技術手端也要被管理,加強邊界管理,區分好責權利的邊界,就像政府職能部分,職權交界區 最容易被忽略一樣。我認為整個行業共同支持第三方云安全大數據,豐富技術手段,不然云安全就像黃帝的新衣,徒慰自已。
京公網安備 11010502049343號