10月11日,阿里云華東1地域可用區B的部分ECS服務器出現IO HANG,導致部分用戶無法連接云服務器。這已經不是阿里云第一次出現故障,在去年的5、6月間,阿里云杭州數據中心因光纜中斷,導致支付寶訪問中斷2小時;阿里云香港數據中心因電力故障導致服務癱瘓。
無獨有偶,亞馬遜AWS、微軟Azure等云計算巨頭也曾多次出現故障:去年8月10日,亞馬遜AWS遭遇罕見癱瘓,服務中斷導致很多熱門網站中斷,去年9月20日,美國東海岸亞馬遜AWS服務出現故障,5小時后才恢復;去年3月16日,微軟Azure公有云服務中斷了2個多小時,第二天再次出現故障,虛擬機、網站和其他云服務癱瘓數天時間……
回顧眾多云服務提供商的一系列事故可以發現,他們在安全性上仍然有兩類不足:一是局部故障擴散造成全局性影響,二是基本的可靠性能力不足影響了整個系統。尤其在企業關鍵業務向云計算轉型的今天,可靠性必須始終置于最優先位置,一個可靠的系統設計、一個穩定的企業級云平臺和一個完善的云災備方案是必不可少的要素。
在云計算加速步入落地階段的今天,云安全正變得更加刻不容緩。尤其在群雄逐鹿的中國云計算市場,用戶信心正在建立過程中,安全性是云計算廠商首先要考慮的。
云計算發展迅速 安全問題也日漸突出
Gartner日前發布報告指出,2016年全球公有云服務市場規模可望達到2086億美元,較2015年的1780億美元成長17.2%。其中,成長最快的是基礎架構即服務(IaaS),2016年預計將成長 42.8%。而在工業和信息化部電信研究院日前發布的《2016云計算白皮書》也顯示,我國云計算市場總體保持快速發展態勢。2015年我國云計算整體市場規模達378億元,整體增速31.7%。
云計算市場的持續快速增長,體現了用戶對于云計算市場認知和理解的日趨成熟。盡管云計算作為分布式系統具有高可用的優勢,但云計算的應用在某種程度上也放大了安全風險:用戶對數據、系統的控制管理能力減弱;一些用戶可能由于數據和業務的外包而放松安全管理;云計算平臺更加復雜致使風險和隱患增多;云計算平臺間的互操作和移植比較困難……
《2016云計算白皮書》也指出,物理設施故障和系統安全漏洞正在成為云安全的最主要威脅。首先,由于云服務商數據中心資源的規模化和集中化,數據中心、網絡鏈路等物理設施的人為破壞和故障造成的影響進一步擴大,對服務商的運維水平提出巨大考驗。其次,公共云服務提供商向用戶提供大量一致化的基礎軟件(如操作系統、數據庫等)資源,這些基礎軟件的漏洞將造成大范圍的安全問題與服務隱患。
為此,中央網信辦發布的“14號文”強調,各級黨政部門務必高度重視,增強風險意識、責任意識,切實加強采購和使用云計算服務過程中的網絡安全管理。同時,“14號文”還重點提出了建立“黨政部門云計算服務網絡安全審查”機制,這不僅成為云服務商進入政務行業的敲門磚,也為其他行業領域的云計算服務安全管理提供了良好的參照和示范。
企業仍存安全疑慮 云計算市場玩家應更加審慎
不只是政務行業對于云計算的安全問題有疑慮,包括金融、電信等眾多對安全性要求較高的行業也同樣如此,尤其是公有云服務。盡管目前各大云計算廠商已可提供完善的安全追蹤紀錄與高透明度,安全疑慮仍是采用公有云的最大阻力。
那些對安全性要求較高的行業和大中型企業已經將目光投向混合云領域:與互聯網屬性相關的業務采用公有云服務,而那些核心關鍵業務則采用私有云服務。公有云憑借靈活多變、快速部署等優勢,幫助企業及時應對最新的挑戰;私有云則著重確保企業業務的平穩運行,保證業務的連續性。
混合云的部署模式對于大中型企業來說,一方面可以緩解技術的快速更新換代給企業變革帶來的壓力,另一方面也可以幫助企業保護現有的IT投資。更重要的是,混合云兼顧了私有云的安全可靠和公有云的開放靈活。
因此,中國云計算市場的玩家們也在積極順應企業需要,采用虛擬私有云、托管云等多種方式進軍混合云市場,提供多種混合云解決方案。不管多好的解決方案,安全性的保障都是先決條件,尤其對于公有云服務商來說。
企業選用公有云,就意味著將應用和數據交給了第三方公有云服務商,相應的訪問權限、數據審計、數據使用的靈活性等等與安全相關的問題都浮出水面。
公有云服務供應商必須給用戶提供充分的服務透明度,并及時進行技術更新以保障服務的安全性和可靠性;不僅如此,云服務供應商還有必要讓企業了解云服務的安全性和可操作性,并進行相應的風險教育。至關重要的是,云服務供應商要在網絡攻擊或網絡故障出現后,快速恢復服務,以最大程度降低對企業業務的影響。
唯有如此,企業對云計算的信任才能進一步增強,這種信任,不僅關乎云計算廠商自身的發展,同樣關乎整個云計算市場的未來。
云安全不止關乎企業安全 更關乎國家安全
在安全事故沒有發生之前,安全很難被人們真正放在心上。與其“亡羊補牢”,不如“未雨綢繆”,在云計算加速普及的今天,安全已經不僅僅關乎企業安全,更關乎國家安全:云計算的普及讓網絡防御的邊界日益模糊,在國際網絡攻防對抗和沖突逐步升級、跨境網絡攻擊活動日趨頻繁的今天,網絡安全已經成為國家安全的核心,影響著一個國家的未來。
如今,在云計算安全方面,已經有諸如ISO27001(信息安全管理體系)國際認證、可信云認證、信息安全技術云計算服務安全指南等一系列認證和標準。它們的完善正在進一步推進云計算市場信任體系的建立,這對于云計算的發展無疑也是重大利好。
在不久的未來,企業將無需過多關注云計算的安全,只需要根據自身業務需要配置相應的云服務,并將主要精力放在核心的業務創新和變革上。這是用戶之福,更是云計算產業之福,在規范化發展的體系下,真正能夠為用戶提供安全云服務的企業將脫穎而出,那些技術實力不強、安全性不足的云計算企業則會被淘汰。
而對于云計算巨頭來說,更要努力保障自身云服務的安全性和可靠性,這不僅僅是用戶賦予他們的使命,更是維護國家網絡安全他們必須承擔的使命。
京公網安備 11010502049343號