在個人云存儲已經進入瓶頸狀態的情況下,企業云將代替個人云存儲成為云計算企業未來發展的主流,這是我最近一段時間一直堅持的一個觀點。
但是,企業云在發展的過程中會遇到什么困難,在危險發生之前我們是無法預料的。不過,最近一段時間關于阿里云的一些爭論,讓我們看到了企業云在發展過程中有可能會遇到的一些風險。我們甚至可以這樣說,阿里云事件給企業云的發展上了一課!
關于阿里云前段時間遇到的問題,由于網上披露的信息并不十分完整,所以我們只能保守的看待這件事。目前,可知的大概情況是下面這樣的。
9月1日,阿里云出現故障,有多位用戶在微博爆出運行在阿里云上的系統命令及可執行文件被刪除。然后,阿里云發布聲明,稱因云盾安騎士server組件的惡意文件查殺功能升級觸發了bug,導致部分服務器的少量可執行文件被誤隔離。
關于這件事情,公開的新聞不多。在知乎上,有人發問:“9月1號,阿里云誤刪文件是怎么回事?”但一些回答遮遮掩掩。
可以肯定的是,阿里云出問題的應該是企業云業務。還可以肯定的是,阿里云出現的問題,并非是因為外來因素。這時,我開始考慮兩個問題。我第一個問題是,這種非外來因素的安全事故,企業云應該如何最大限度的避免呢?第二個問題是:這次事故,是內部安全軟件因素所致。那么,阿里云這種自己監管自己出了問題的事件,對企業云的安全防護有什么啟示呢?
按我個人理解,對于非外來因素造成的安全事故,企業云應該是有一個應急的防御措施的。比如火險、水險之類的災害,應該是把發生災害的區域先封閉起來,使其不能繼續拓展,然后再施救。所以,企業云最大限度的避免非外來風險因素,就應該賦予企業云用戶一個可封閉、可控的空間,一旦問題發生,最大限度的限制風險外延。而安全產品究竟應該在企業云中發揮什么樣的作用,我想這個是個見仁見智的問題,問題的焦點在于安全產品是否有權利監控企業云用戶的數據。當然,在我理解,企業云自有安全產品的主要職責還是“對外”。
關于我考慮的這兩個問題,筆者向國內領先的某云計算公司企業云業務的技術負責人進行了咨詢,他說了兩點。
第一,關于云服務商的內控措施保障。
一個未經完全測試的,且具有“威協性”的安全監控產品便投入到實際應用是很難想象的災難,這表明團隊內控發生了問題,也就是說沒有人對質量和風險負責,沒有相應的安全部門對所應面臨的操作風險進行預警。這樣的任性,對千百萬個企業都是一種致命的災難,試想如果有關系性命的企業應用在上面,比如醫療應用,可能會造成彌補不了的損失。
第二、云服務提供商不應“劫持”用戶的數據控制權。
對于平臺型的云服務廠商,需要提供給租戶以獨立的服務空間,采用完善的系統隔離機制。沒有這樣子的措施,用戶要隨時擔心會被“劫持”,隨時會被“誤刪除”,企業的數據安全和隱私保護將得不到保障。這里我們建議的方式是給予用戶獨立的系統隔離空間(可以簡單理解為租戶租給你一個始人空間),一旦空間有異動,將進行整體的封鎖,而不是跨到空間里行使幫對方整理的責任。一方面保障可能出現的誤傷(安全隱私問題),一方面也便于封存取證(服務商的安全問題)。
這位技術負責人的觀點,可以歸納為兩點:一是安全監控產品的威脅性應該事先得到測試,二是應該采取完善的系統隔離機制。
最后,在談及企業云發展前景的關鍵時,該人士有一句話很值得我們思考,他說:“(企業云的發展)我認為技術并不是難題,難得的是企業的服務精神和道德品質。更多的是人的問題,而非技術。”
所以,我想阿里云事件給企業云上的這一課可以歸納為這樣幾句話:“要防患于未然,不能越俎代庖,責任與技術同樣重要!”從事企業云業務的公司,應該謹記!
京公網安備 11010502049343號