現在,怕是已經沒有幾個IT主管還在討論“我的工作負載要不要放到云上”這種問題了。然而,企業對于云安全的擔憂,正在隨著云產業的發展而快速增長。云產業中時常爆發的安全問題,也在不斷撩撥著企業IT主管們的神經。
就在上周末,互聯網產業中爆出大案——京東50億條個人信息涉嫌泄露,原因是網絡安全部員工監守自盜,與信息安全犯罪團伙合作,將個人信息盜賣給不法分子。
雖然這起大案發生在京東自己的IT系統中,但京東同時也是國內公有云服務的主要提供商之一,自家的系統跑在云中——“2016年京東618大促期間,京東云帶寬擴容數百G,從容抵擋大量流量瞬間爆增帶來的沖擊,100%的訂單在云上完成。”而與此同時,也為數以萬計的企業提供基礎設施、平臺等不同層級的云服務。
兩周以前在遙遠的太平洋彼岸,一場云安全意外同樣讓大大小小的企業信息主管們神經衰弱了一場。全球最大的云計算服務提供者亞馬遜AWS由于軟件工程師的誤操作,導致S3服務(簡單存儲服務)出現中斷。
簡單來說,S3服務是一種高性價比的海量存儲服務,企業一旦將應用遷移到AWS云端,基本都會使用這種服務,并且將這一服務與同樣由AWS提供的、其他更多的服務關聯。
這下可好,S3服務掛掉,這些關聯的服務調用不到數據,也跟著一起遭了殃。運行在AWS上的一大堆互聯網應用——包括Expedia、GitLab、GitHub、GroupMe、IFTTT、Medium、Nest、Quora、Slack、The Verge、Trello、Twitch、Wix等也跟著AWS一起下線。
我想這些用了AWS S3服務的公司,信息主管當天的表情一定是這樣子的:
“云端是不是比用戶端安全?答案顯而易見。無論是亞馬遜、京東還是谷歌、IBM、微軟、阿里這些云服務商,養著全世界明面上最頂尖的技術大牛。論防火防盜的本事,與一般中小企業的IT部門比起來,技術實力差距顯而易見——
然而,企業把業務放到云端,面臨的安全形勢卻要比放在自家保險庫里時嚴峻得多——哪個犯罪組織、犯罪集團的戰斗力能與警察相比?如果按照“我比你能力強就能制止你的所有攻擊”這樣的理論,現在世界上早就應該已經消滅了犯罪——單純按戰斗力來推演,無異于紙上談兵。
更重要的事情:是不是網絡犯罪一定會選擇那些安全防護能力比較差的IT環境下手?好比一個搶劫對象是街頭的711便利店,另一個選擇是荷槍實彈的運鈔車。劫匪會搶哪個?現實中的情況,是兩個對象都有可能成為犯罪分子作案的對象。戰斗力只有5的家伙當然會想搶個ATM劃算,但戰力高的家伙肯定就不會這樣想——老子有刀有槍有犯罪經驗,就搶個錢包,劃算不劃算?跌份不跌份?
由此引入第三個問題,則是發生安全事件的破壞性——企業自己的IT系統出狀況,好比騎自行車翻了車,最多是摔斷腿摔破頭。而如果承載者千萬企業的云出了安全問題——那事兒就大了:
第四,技術大牛華麗變身內鬼的時候,企業面臨的安全威脅會提升無數個數量級——從京東的案子來看,由于有人的主觀能動作用在里面,單純依靠技術防范這種安全問題是沒有效果的。自己的核心數據放在別人的平臺上,相信不光是信息主管,就連老板們也睡不踏實。
安全問題頻發,相信也給全世界主要的云服務提供者們敲響了警鐘。對已經成為千萬企業業務承載核心和網絡安全犯罪者覬覦對象的他們來說,沒有最安全,只有更安全。只是比企業自建機房的安全性高可不夠,要高出一定的數量級——至少要像銀行金庫和個人小坤包那么大的安全性差距——,企業信息主管才有可能放心地把業務交給這些陌生人。
京公網安備 11010502049343號