编者注:9月1日,阿里云再次出现故障,有多位用户在微博爆出运行在阿里云上的系统命令及可执行文件被删除。之后阿里云负责人也对事件作出澄清和说明。连阿里这样的巨头都会接连出现云安全问题,我们的数据安全如何来保障?
如今互联网与云计算边界越来越模糊,软件与硬件,系统,网络,应用 因为虚拟化的技术的进步已完全融合,多类型的应用,复杂的网络环境,不断创新的云技术手段集合在一起,云安全问题是一个复杂多变的大系统问题。云环境对安全技术提出了新的挑战,另外因为边界的模糊,云服务厂商,用户与安全厂商之间 责权利也很难明确。
云安全已成为云计算行业发展的瓶颈。今年各主流云服务厂商频发的云安全事故,让我们看到了云计算时代下,安全已经成为整个行业发展的短板。云计算时代,众云服务厂商把更多精力性能提升,架构等技术创新,如OpenStack与Docker等其他技术的融合,能提供越来越多的应用场景,事实上,技术框架,性能,新的功能都能复制,唯独安全不可以,没有安全的保障平台、技术,性能一切都是空,云环境的安全已经成为整个行业发展的短板。
目前来说,云计算厂商的安全主要还是从这几方面来做的,创新的也并不多,小边界的安全问题常常被忽略。
1.网络层:外围基础设施,如交换机,防火墙保证大边界的安全加上虚拟化防墙,用户可自定义防火墙规则用于提升虚拟机的网络安全性,硬件防火墙加上虚拟防火墙软硬结合的方式现在实现外围的安全的。
2.应用层:小边界安全更多是云服厂商自已通过VPC等技术来实现,虚拟机与虚拟机,虚拟机与物理机之间进行隔离,云主机都是软件虚拟出来的,黑客入侵一台以后,逃逸出虚拟机,就能毁掉整个云系统,攻击一般是从小边界侵入的,为每一台新增云主机另外部属第三方的企业级安全产品就更多了一层保障。
3.系统层:大家都觉得给用户最纯净的系统就OK,但是忽视了这是云时代,用户和云是紧紧连在一起的,操作系统的漏洞,云主机及用户简易的帐户密码都可能会导致整个系统的安全,这主要还是人的问题。注册第三方的漏洞告警平台,是一个很有效的方法。
4.数据层:分存式存储,每一份数据保留三份,同时实现异地备份,广州机房云主机的数据,深圳的机房有一份,深圳机房云主机的数据广州有一份。
令人爆脑DDOS攻击和防不胜防的黑客攻击:
DDOS这种破坏性的攻击,可以在光纤上做分光,旁路监听通过清洗流量再返回,有两个难点 1.判断 2.清洗 原理上不难,关健执行起来有点困难,这种资源消耗型攻击,不是技术行不行,是国内的机房资源足够与否,允许你进行清洗,流量阻击。
黑客攻击,实际上黑客攻击更多的是为了体现自已的技术,更多的会选择政府重要的系统,如政府情报系统这类。
目前云计算行业安全存在的大问题
1.各厂商各自为政,难协作,难统一。虽然许多厂商都认识到保护云计算安全的重要性,但由于厂商各自经营范围的不同以及各自理解的不同,信息安全厂商、虚拟化技术供应商、网络基础设备供应商、服务器供应商、应用系统供应商、操作系统厂商等在保护云计算安全方面各按各的方式来做,都不是完整的解决方案,比较局限。
2.用户,安全厂商,云计算厂商 责权利边界不明。监控是安全预警的前提,云计算厂商或安全厂商对用户的监控到什么程度是不损害用户利益用户可以接受的?安全与业务,孰轻孰重,就像代表数值的阿拉伯数字的“1”和“0”哪个更大更重要?
因为用户的整体技术水平比较低,发现安全问题时又比较紧急,那么是告警用户还是自动处理,处理时用何种手段,处理后的结果谁承担?
3.整个云计算行业云安全技术水平低,重产品,重运营,轻安全。
云计算行业安全新方向:
1.云安全大数据,现在一些第三方的平台实际上已经类似这种做法,像乌云漏洞平台,对注册用户,系统系统漏洞,虚拟弱密码,包括如果云平台上客户的应用存在漏洞也会报警。
2.学习国外的AWS, 与合作伙伴建立安全生态,构建在自已的云上的安全体系。国内阿里云试在这样做,但据说阿里也推自已的安骑士安全产品,面对诺大的云安全市场,阿里是否甘心将这块大蛋糕拱手让给合作伙伴是个疑问。
三分技术,七分管理,技术是手段,技术手端也要被管理,加强边界管理,区分好责权利的边界,就像政府职能部分,职权交界区 最容易被忽略一样。我认为整个行业共同支持第三方云安全大数据,丰富技术手段,不然云安全就像黄帝的新衣,徒慰自已。
本文作者:雷翠华
来源:51CTO