應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

云之變3:宕機(jī)背后,云端的安全戰(zhàn)爭(zhēng)

2019-10-11 09:29 腦極體

導(dǎo)讀:今日,各行各業(yè)想要探尋技術(shù)對(duì)產(chǎn)業(yè)價(jià)值的吸力,一個(gè)毋庸置疑的選擇,就是——上云。

今日,各行各業(yè)想要探尋技術(shù)對(duì)產(chǎn)業(yè)價(jià)值的吸力,一個(gè)毋庸置疑的選擇,就是——上云。

對(duì)于絕大部分公有云用戶(hù)來(lái)說(shuō),將業(yè)務(wù)遷移到云端的好處是顯而易見(jiàn)的。一方面,云計(jì)算提供了節(jié)省成本、加快某些流程的網(wǎng)絡(luò)方案,使企業(yè)管理和存儲(chǔ)信息變得更加容易;同時(shí),利用云將AI的各種能力移植到產(chǎn)業(yè),也為不少傳統(tǒng)領(lǐng)域賦予了能量和新的想象空間。

但基礎(chǔ)設(shè)施變革序幕的拉開(kāi),也意味著企業(yè)面臨的內(nèi)外部環(huán)境迎來(lái)前所未有的挑戰(zhàn)。在過(guò)去一年的時(shí)間里,全球主流的云服務(wù)廠商發(fā)生過(guò)數(shù)十起大規(guī)模宕機(jī)事件,個(gè)別廠商甚至多次“中招”,背后是成千上萬(wàn)個(gè)云端企業(yè)或項(xiàng)目的業(yè)務(wù)損失,甚至夭折。

顯而易見(jiàn),對(duì)公有云廠商來(lái)說(shuō),想要讓千行萬(wàn)業(yè)依托云計(jì)算構(gòu)筑新的產(chǎn)業(yè)效率壁壘,進(jìn)而做好這門(mén)時(shí)代的大生意,并非易事。在我們看來(lái),至少需要回答好兩個(gè)問(wèn)題:一是如何減少公有云的安全隱患?另一個(gè)則是如何在深入產(chǎn)業(yè)的過(guò)程中讓企業(yè)重新理解云安全?

生于憂(yōu)患的云安全水位

過(guò)去一兩年的時(shí)間里,即使是當(dāng)前應(yīng)用最為廣泛的云服務(wù)商,從AWS、微軟Azure到谷歌云、阿里云等,任何一家都沒(méi)能實(shí)現(xiàn)100%的可靠性。云服務(wù)的安全隱患,也一次次被突發(fā)的宕機(jī)事件推到風(fēng)口浪尖上。

盡管事后云服務(wù)商都對(duì)造成網(wǎng)絡(luò)故障、數(shù)據(jù)損失的客戶(hù)進(jìn)行了一定的賠償,但比起“亡羊補(bǔ)牢”,業(yè)內(nèi)人士與觀望者顯然都對(duì)宕機(jī)背后所折射出的云端安全問(wèn)題更加關(guān)注,且心有余悸。云服務(wù)的安全機(jī)制與技術(shù),是時(shí)候來(lái)到“被變革”的拐點(diǎn)了嗎?

我們知道,云計(jì)算與產(chǎn)業(yè)融合,包含兩個(gè)層面的含義:一是通過(guò)共享式的云端服務(wù)器向各行各業(yè)提供更強(qiáng)大、成本可控的網(wǎng)絡(luò)支持;二是向海量IoT物聯(lián)網(wǎng)設(shè)備提供龐大算力和智能技術(shù)落地,觸發(fā)邊緣智能與社會(huì)生產(chǎn)的融合。

云,即生產(chǎn)力,這一個(gè)充滿(mǎn)希望的市場(chǎng),也帶來(lái)了全新的問(wèn)題。

首先,隨著越來(lái)越多的企業(yè)將業(yè)務(wù)系統(tǒng)、敏感數(shù)據(jù)部署在云上,作為基礎(chǔ)網(wǎng)絡(luò)支撐的云服務(wù)器一旦宕機(jī),將像停電一樣,讓游戲、電商、流媒體等移動(dòng)應(yīng)用直接癱瘓,除了影響用戶(hù)體驗(yàn)與增長(zhǎng),更有甚者還可能導(dǎo)致生死攸關(guān)的業(yè)務(wù)損失。

如果說(shuō)前者映射的是傳統(tǒng)安全技術(shù)的升級(jí)需求,那么物聯(lián)網(wǎng)時(shí)代設(shè)備間的互聯(lián)互通,則讓我們看到了云服務(wù)商未來(lái)突圍的標(biāo)準(zhǔn)線(xiàn)。

從勒索病毒頻發(fā)襲擊醫(yī)院、銀行等的終端設(shè)備,到智能家居、車(chē)聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)等邊緣智能的高速發(fā)展,也反映了,接入云服務(wù)之后面臨的復(fù)雜網(wǎng)絡(luò)環(huán)境與數(shù)據(jù)勾連,一旦宕機(jī),漏洞也很容易“被共享”,然后讓黑客“一波帶走”。抵御物聯(lián)網(wǎng)襲擊,也成為用戶(hù)對(duì)云廠商技術(shù)實(shí)力的基本要求與信任坐標(biāo)。

不難發(fā)現(xiàn),頻發(fā)的宕機(jī)事件背后,其實(shí)正對(duì)應(yīng)著社會(huì)組織對(duì)云服務(wù)部署方式的躊躇,以及云計(jì)算想要進(jìn)入復(fù)雜產(chǎn)業(yè)應(yīng)用所必備的安全水位。

蔽障叢生的云安全“天梯”

一場(chǎng)云巨頭間的安全攻防戰(zhàn),正一觸即發(fā)。而站在此時(shí)此刻,我們會(huì)發(fā)現(xiàn),云計(jì)算技術(shù)本身想要滿(mǎn)足社會(huì)應(yīng)用的需求,其安全的“水槽”既有著先天的短板,也在與惡意的斗法中不斷觸及新的瓶頸。

比如云服務(wù)的共享性,某種程度上來(lái)說(shuō)就是云計(jì)算的先天隱患。

我們知道,公有云服務(wù)商往往會(huì)通過(guò)共享技術(shù)設(shè)施、平臺(tái)或應(yīng)用程度來(lái)實(shí)現(xiàn)規(guī)?;?wù),這就需要部署大量的硬件,以及多種虛擬化管理組件,如虛擬機(jī)監(jiān)視器、網(wǎng)絡(luò)策略控制器,存儲(chǔ)控制器等等,來(lái)實(shí)現(xiàn)多租戶(hù)共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的需要。

而這樣用戶(hù)規(guī)模龐大、數(shù)據(jù)多樣化強(qiáng)的數(shù)據(jù)中心,卻更容易成為被攻擊的目標(biāo)。從國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2018年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》中來(lái)看,云平臺(tái)已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),在各類(lèi)型的網(wǎng)絡(luò)安全事件數(shù)量中,云平臺(tái)上的DDoS攻擊次數(shù)、被植入后門(mén)的網(wǎng)站數(shù)量、被篡改的網(wǎng)站數(shù)量占比均超過(guò)了50%。

在這樣的環(huán)境下,一旦某些軟件類(lèi)漏洞被惡意利用,攻擊者可以輕松快速地覆蓋所有類(lèi)似的實(shí)例,其他租戶(hù)自然也就在享受“即服務(wù)”便利的同時(shí),也把安全威脅也一起“共享”了。

既然使用單一云讓人提心吊膽,那么把雞蛋(敏感數(shù)據(jù))放在不同的籃子(云)里,能不能避免“火燒連營(yíng)”呢?

目前越來(lái)越多的企業(yè)開(kāi)始選用“多云”部署,選擇多個(gè)云服務(wù)供應(yīng)商互為主備作為災(zāi)備預(yù)案。也有的會(huì)租用多個(gè)云服務(wù)或自建機(jī)房,讓私有云或?qū)S性苼?lái)承載關(guān)鍵服務(wù)與數(shù)據(jù)。

“混合云”方案在提升業(yè)務(wù)安全性的同時(shí),也意味著企業(yè)成本和技術(shù)復(fù)雜度會(huì)成倍地增加。不一樣的資源管理,不同的底層架構(gòu),不一致的安全工具,意味著企業(yè)需要更多的安全產(chǎn)品及運(yùn)維人員,一旦內(nèi)部安全管理對(duì)整個(gè)IT系統(tǒng)缺少宏觀把控的視角,就很難在數(shù)據(jù)加密、策略上達(dá)成統(tǒng)一,從而讓不安全的API、混亂的密鑰身份管理等問(wèn)題趁虛而入。

事實(shí)上,從發(fā)現(xiàn)漏洞到被利用的平均時(shí)間每年都在減少,而正如Gartner公司在調(diào)查報(bào)告中預(yù)測(cè),“其實(shí)95%的云安全故障都是客戶(hù)(錯(cuò)誤操作)的錯(cuò)?!?/p>

這里就不得不提到云安全的另一個(gè)“短板”,對(duì)于部署在云端系統(tǒng)的網(wǎng)絡(luò),保證企業(yè)存儲(chǔ)在云平臺(tái)中的內(nèi)容安全,被視為是云服務(wù)廠商的責(zé)任。但僅僅靠云服務(wù)商還遠(yuǎn)遠(yuǎn)不夠,用戶(hù)相對(duì)應(yīng)的安全防護(hù)意識(shí)、應(yīng)用能力、控制能力不一定能及時(shí)跟進(jìn),也會(huì)進(jìn)一步加劇安全隱患。

對(duì)此,安全軟件提供商XYPRO Technology公司表示,“企業(yè)將其應(yīng)用程序遷移到云端,并不意味著可以將網(wǎng)絡(luò)安全責(zé)任轉(zhuǎn)移到云計(jì)算提供商身上?!? 換句話(huà)說(shuō),在新的安全機(jī)制沒(méi)有達(dá)成共識(shí)之前,漏洞與安全風(fēng)險(xiǎn)就會(huì)伴隨著云服務(wù)的狂熱迸發(fā)而愈演愈烈,讓云服務(wù)廠商們?cè)谘a(bǔ)漏填坑中疲于奔命。

總而言之,新的攻擊方式、混亂的身份管理、高級(jí)持續(xù)性威脅、惡意SaaS應(yīng)用、共享技術(shù)問(wèn)題等等,都是云安全“水槽”要一一拔高的短板。如何盡可能高效無(wú)死角地找到那些隱藏在意想不到的角落里的漏洞,是云服務(wù)商搶奪市場(chǎng)、建立優(yōu)勢(shì)的先決挑戰(zhàn)。

正在被AI治愈的“云恐慌”

當(dāng)然,問(wèn)題也意味著機(jī)會(huì)。我們都知道,AI的強(qiáng)大算力與邏輯推理,正在不斷與產(chǎn)業(yè)結(jié)合,創(chuàng)造超出想象的經(jīng)濟(jì)價(jià)值。那么在安全實(shí)踐中,智能革命也能發(fā)揮作用嗎?

顯然,不斷向產(chǎn)業(yè)端批量輸出AI能力的云服務(wù)商,也正圍繞AI展開(kāi)了安全戰(zhàn)役賽點(diǎn)的“奪旗賽”,來(lái)解決各個(gè)行業(yè)的顧慮,與不同企業(yè)云計(jì)算的落地需求。

比如主打AI能力的谷歌云,就在海外快速蠶食這AWS的市場(chǎng)份額;國(guó)內(nèi)我們耳熟能詳?shù)娜A為云、百度智能云、阿里云智能,都將智能防御作為云解決方案中的核心能力。

總的來(lái)看,AI的技術(shù)特質(zhì)正在被云服務(wù)商在安全全流程中全面調(diào)用,集體將云端安全推向了原生、智能的位面:

首先是大規(guī)模數(shù)據(jù)的處理能力。我們知道,云端需要部署多種安全設(shè)備和軟件,涉及到海量安全數(shù)據(jù)和重復(fù)報(bào)警,依靠運(yùn)維人員人工在海量數(shù)據(jù)中提取有效的信息,在云時(shí)代顯然不太現(xiàn)實(shí),而AI恰好是應(yīng)對(duì)規(guī)模數(shù)據(jù)的最優(yōu)解。

舉個(gè)例子,AI對(duì)大規(guī)模、實(shí)時(shí)網(wǎng)絡(luò)安全威脅數(shù)據(jù),能夠快速對(duì)多源數(shù)據(jù)的清洗、歸并和關(guān)聯(lián)分析,讓運(yùn)維人員能夠高效地掌握最新的安全事件、重大漏洞等信息,在風(fēng)險(xiǎn)挖掘、應(yīng)急響應(yīng)上,達(dá)到人工所無(wú)法實(shí)現(xiàn)的準(zhǔn)確率,來(lái)識(shí)別已知的高級(jí)威脅以及一些未知的新型攻擊。

其次是推理決策能力。對(duì)于大企業(yè)和公共網(wǎng)絡(luò)來(lái)說(shuō),以漏洞為準(zhǔn)心的攻擊,比如物聯(lián)網(wǎng)攻擊、勒索病毒劫持等等,往往需要主動(dòng)預(yù)判來(lái)將防患于未然。而這是傳統(tǒng)型防火墻無(wú)法實(shí)現(xiàn)的,也將AI能力與云計(jì)算推向了主動(dòng)防御的結(jié)合點(diǎn)。

比如在用戶(hù)行為分析上,引入AI對(duì)IP、指紋、歷史行為等多維數(shù)據(jù)進(jìn)行分析,精準(zhǔn)地刻畫(huà)用戶(hù)畫(huà)像、挖掘風(fēng)險(xiǎn)點(diǎn),建立異常檢測(cè)模型來(lái)感知異常行為并預(yù)警,從而有效避免內(nèi)外部威脅。

此外,AI還能夠利用起深度學(xué)習(xí)技術(shù)來(lái)模擬自動(dòng)化攻擊,來(lái)提供安全問(wèn)題的自動(dòng)化監(jiān)測(cè)和修復(fù)。比如微軟Azure就打造了一套芯片、云和操作系統(tǒng)一整條的云計(jì)算安全運(yùn)行鏈。

除了在外部攻擊端通過(guò)智能自動(dòng)化來(lái)提質(zhì)增效之外,AI在企業(yè)內(nèi)部安全管理上的優(yōu)化,也進(jìn)一步提高了云計(jì)算的安全水位。

其中比較典型的智能化安全產(chǎn)品,比如態(tài)勢(shì)感知平臺(tái)。通過(guò)AI對(duì)能夠引起云環(huán)境態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、預(yù)測(cè),能夠有效對(duì)虛擬機(jī)等云資產(chǎn)進(jìn)行動(dòng)態(tài)變化管理和處理。同時(shí),利用AI的彈性識(shí)別,云平臺(tái)能夠?qū)β┒吹膬?yōu)先級(jí)進(jìn)行優(yōu)先級(jí)排序,利用NLP技術(shù)結(jié)合網(wǎng)絡(luò)上下文分析企業(yè)安全的暴露面,評(píng)估對(duì)業(yè)務(wù)的影響,優(yōu)先修復(fù)風(fēng)險(xiǎn)最大的漏洞。

另外,內(nèi)部秘鑰的智能化管理,也讓企業(yè)安全變得可控、透明、合規(guī)。AI可以在動(dòng)態(tài)環(huán)境中授于不同人不同權(quán)限,實(shí)現(xiàn)云端系統(tǒng)的精細(xì)化管理,讓任何人在任何時(shí)間、任何地點(diǎn),正確地訪問(wèn)相應(yīng)資源,統(tǒng)一管理好內(nèi)部的邊界安全。

如果說(shuō)“多云戰(zhàn)略”是企業(yè)為自身云安全所上的一份雙保險(xiǎn),那么智能安全,也正在云服務(wù)玩家自身基礎(chǔ)服務(wù)穩(wěn)定性的佐證,也是說(shuō)服用戶(hù)的戰(zhàn)略性選擇。

某種意義上來(lái)說(shuō),云服務(wù)深入產(chǎn)業(yè)核心的過(guò)程中,往往不僅是技術(shù)問(wèn)題,安全意識(shí)、市場(chǎng)教育能力,包括對(duì)成本的考量,都會(huì)讓這場(chǎng)云巨頭的博弈充滿(mǎn)變數(shù)。而AI,正是成為讓大量未知因素與“黑天鵝”被提前鎖定的產(chǎn)業(yè)“基座”。