云安全问题频现 风险管理迫在眉睫
- 来源:中国信息化周报 smarty:if $article.tag?>
- 关键字: smarty:/if?>
- 发布时间:2018-02-08 13:53
到底是上公有云还是私有云抑或是混合云?这是很多企业在选择云计算时都要面临的问题。2018年新年伊始,英特尔芯片漏洞事件给业界再次敲响警钟,原来部署哪一种云都有可能受到黑客攻击。不过,在万物互联,需要拨“云”才能见日的时代,上“云”仍是企业的不二选择。好在业界已形成共识:打补丁、预防攻击、发布修补工具,一场群策群力避免因漏洞造成危害的“灭火战”正在如火如荼地进行。可喜的是,到目前为止,大规模恶性事件尚未发生,但就此留下来的信息安全隐患将会给更多企业敲响警钟,也将引发业界更多思考和创新。
2018新年伊始,全球知名硬件厂商英特尔处理器的CPU芯片被爆出在底层硬件设计上存在严重缺陷,并将直接影响到Windows、Linux、MacOS等操作系统,这对于包括亚马逊、微软、谷歌在内的所有云计算厂商而言都构成了致命打击。通过这个漏洞,攻击者可以通过一个虚拟用户,攻击在同一物理空间的其他虚拟用户。而这几大云服务厂商的服务器排列紧密,只要遭到攻击,理论上所有的数据都将遭到破坏。就国内而言,在漏洞披露前,阿里云、西部数码等云计算厂商已与英特尔同步关键安全信息,并持续就修复方案做验证,最迟于北京时间1月15日24点之前完成。
近年来,全球因云服务造成的数据泄露事件频频出现。调查数据显示,全球58%的企业在2017年里至少遭遇过一场数据泄露事件。尽管面临诸多安全风险和挑战,但布局“云”成为绝大多数企业的共识,争论焦点已经变成选择何种技术架构、采购哪家云厂商的服务,整个市场进入爆发阶段。与此同时,如何避免数据泄露,如何管控风险已成为企业最关心的话题。
“云”上之争频发
目前,云计算已经发展了10余个年头,并逐渐形成庞大的产业规模。2017年4月,工业和信息化部印发《云计算发展三年行动计划(2017-2019)》,提出到2019年,要将我国的云计算产业规模从2015年的1500亿元扩大至4300亿元。
巨大的市场让互联网大鳄、硬件厂商、初创新贵都觊觎着“公有云”这块肥肉。阿里巴巴最新公布的2018财年第二季度业绩显示,云计算业务比去年同期接近翻番,季度营收接近30亿元。
此外,腾讯云、金山云也各有千秋,一路狂奔。2018年元旦刚过,金山云宣布再获2.2亿美元巨额融资。
此外,百度与京东等互联网公司仍存在制胜的机会,而华为、浪潮等厂商因具备实力和财力同样不可小觑。
2017年4月,华为高调宣布发力公有云市场,成立二级部门云业务部CloudBU;8月,华为宣布CloudBU升为一级部门;9月,华为轮值首席执行官郭平宣布华为公有云业务的目标——全球范围最终只会剩下“五朵云”,华为要做“其中一朵”。
在这个IT基础设施升级换代的阶段,许多大型企业不甘心任由互联网巨头的公有云基础设施将核心业务数据劫持,纷纷自主投入私有云平台建设。在私有云建设的热潮里,首批获益的便是自主可控的硬件厂商;其次,国产自主可控的云平台软件也开始规模化收获订单。仅在IaaS/PaaS领域,2017年获得超过亿元融资的私有云相关软件企业就包括云途腾T2Cloud、博云BoCloud、星辰天合Xsky、灵雀云Alauda等。与此同时,在私有云的细分市场里,逐渐形成了一些具备行业属性的行业云。除了政务领域以外,在金融、交通、能源、工业制造等行业也都开始建设服务于自身行业的行业云。
混合云已成气候
虽然公有云与私有云发展猛烈,但在2017年的云计算市场中,混合云已是主旋律。云计算巨头都花了海量的心思在阐述其混合云战略,微软发布了AzureStack私有云IaaS平台,旨在与Azure公有云搭配使用;谷歌云平台与VMware和Nutanix合作提供混合云产品;甲骨文与IBM都开发出了自己内部混合云产品;华云与VMware合作打造VCPP混合云,华为还发布了混合云存储解决方案。
在2017年“双11”电商狂欢节的背后,总共有14万个明星品牌、1500万种商品的商业要协同,还要保证金融安全,阿里巴巴部署了在线计算、离线计算以及公共云,构建了全球最大规模的混合云。据悉,这个混合云能实现1小时内10万台服务器的快速扩容,支撑“双11”当天的买、卖、付、送各环节在云上的顺利进行。
“目前有超过一半的企业走向多云,每个企业平均使用5朵或以上的云服务。”在日前举行的第十二届中国IDC产业年度大典上,IBM大中华区云计算事业部首席技术官陈国豪表示,目前只有实行公有云及私有云集合的“多云策略”才能满足企业需求。根据报告得知,82%的企业已经制定了多云策略,55%的企业计划部署混合云。
陈国豪解释说,企业选择多云的原因主要有两个,一方面,传统数据、核心应用、核心平台都在私有云上,企业需要释放内部价值;另一方面,还需要利用公有云的社交、数据源来吸收外部的“养分”,加速企业创新。
在华云数据集团研发总监李德才看来,混合云之所以受欢迎,是在于其用户价值体现在灵活、满足更复杂的业务场景,“但是混合云并不是简单的公有云和私有云的加法,或者是统一管理,因为混合云至少应具备3个基本特点:服务的统一管理、虚拟网络的跨域高速互联互通还有灵活互备。”李德才强调说。
各方数据表明,混合云市场经过了过去几年的发展,已经逐渐形成了完整的技术路线和生态圈,2018年将迎来混合云的黄金时代。
风险管理迫在眉睫
无论是“三朵云”中的哪一朵,在云时代,企业在迁移上云之后都会面临许多安全威胁,包括DDoS攻击、入侵在内的网络风险和业务风险。
在日前举行的2017IDC及云计算国际合作论坛上,有专家表示,云计算发展进入平稳期,预计2017年整个云计算市场规模将达600多亿元。在当前形势下,云计算的风险管理应该说迫在眉睫。
数据显示,2017年前10个月,我国境内超过300G的DDoS攻击月均发生数百起,峰值超过1Tbps,形势极为严峻,几乎波及所有互联网的主要业务,这其中以游戏娱乐,电子商务、互联网金融为主要攻击目标。
云计算风险肯定在所难免,为此,建立一个公共安全的平台,建立一套动态的威胁情报或者风险信息的共享机制势在必行。
相关链接
虽说云计算依托大型数据中心、规模化应用和强大的运维体系等优势环节,让云主机的可靠性远超传统小型数据中心。但是云计算并不是世外桃源,原本存在的安全问题在云上依然存在,甚至问题的维度更多了——除了用户主机端的安全问题,支撑云计算底层的服务器硬件、网络和存储等环节,在资源池化的模式下,带来了更多安全上的问题。
在云计算领域中有这样的一个观点:目前的云计算环境,有两个典型的安全问题需要用户重视。
第一个就是开源软件漏洞。和商业软件不同,开放源码的软件是由世界各地的程序员维护开发的,虽然具有开放的平台,但是动辄数十万行的开放源代码在用户端部署应用时容易被第三方利用。相比传统的商业软件,开源系统存在不可控的安全隐患。
第二个是传统的木马、黑客程序。虽然云主机提供了系统安装镜像,但是用户在安装和部署应用环境时,有可能安装带有后门的程序,前一阵爆出的基于某平台开发环境的漏洞就是一个典型的案例。
佚名