云安全事故給企業(yè)云安全防護(hù)帶來的啟示

責(zé)任編輯:editor005

作者:姜伯靜

2015-09-08 14:09:49

摘自:百度百家

在個(gè)人云存儲(chǔ)已經(jīng)進(jìn)入瓶頸狀態(tài)的情況下,企業(yè)云將代替?zhèn)€人云存儲(chǔ)成為云計(jì)算企業(yè)未來發(fā)展的主流,這是我最近一段時(shí)間一直堅(jiān)持的一個(gè)觀點(diǎn)。這位技術(shù)負(fù)責(zé)人的觀點(diǎn),可以歸納為兩點(diǎn):一是安全監(jiān)控產(chǎn)品的威脅性應(yīng)該事先得到測(cè)試,二是應(yīng)該采取完善的系統(tǒng)隔離機(jī)制。

在個(gè)人云存儲(chǔ)已經(jīng)進(jìn)入瓶頸狀態(tài)的情況下,企業(yè)云將代替?zhèn)€人云存儲(chǔ)成為云計(jì)算企業(yè)未來發(fā)展的主流,這是我最近一段時(shí)間一直堅(jiān)持的一個(gè)觀點(diǎn)。

云安全事故給企業(yè)云安全防護(hù)帶來的啟示

但是,企業(yè)云在發(fā)展的過程中會(huì)遇到什么困難,在危險(xiǎn)發(fā)生之前我們是無法預(yù)料的。不過,最近一段時(shí)間關(guān)于阿里云的一些爭(zhēng)論,讓我們看到了企業(yè)云在發(fā)展過程中有可能會(huì)遇到的一些風(fēng)險(xiǎn)。我們甚至可以這樣說,阿里云事件給企業(yè)云的發(fā)展上了一課!

關(guān)于阿里云前段時(shí)間遇到的問題,由于網(wǎng)上披露的信息并不十分完整,所以我們只能保守的看待這件事。目前,可知的大概情況是下面這樣的。

9月1日,阿里云出現(xiàn)故障,有多位用戶在微博爆出運(yùn)行在阿里云上的系統(tǒng)命令及可執(zhí)行文件被刪除。然后,阿里云發(fā)布聲明,稱因云盾安騎士server組件的惡意文件查殺功能升級(jí)觸發(fā)了bug,導(dǎo)致部分服務(wù)器的少量可執(zhí)行文件被誤隔離。

關(guān)于這件事情,公開的新聞不多。在知乎上,有人發(fā)問:“9月1號(hào),阿里云誤刪文件是怎么回事?”但一些回答遮遮掩掩。

可以肯定的是,阿里云出問題的應(yīng)該是企業(yè)云業(yè)務(wù)。還可以肯定的是,阿里云出現(xiàn)的問題,并非是因?yàn)橥鈦硪蛩?。這時(shí),我開始考慮兩個(gè)問題。我第一個(gè)問題是,這種非外來因素的安全事故,企業(yè)云應(yīng)該如何最大限度的避免呢?第二個(gè)問題是:這次事故,是內(nèi)部安全軟件因素所致。那么,阿里云這種自己監(jiān)管自己出了問題的事件,對(duì)企業(yè)云的安全防護(hù)有什么啟示呢?

按我個(gè)人理解,對(duì)于非外來因素造成的安全事故,企業(yè)云應(yīng)該是有一個(gè)應(yīng)急的防御措施的。比如火險(xiǎn)、水險(xiǎn)之類的災(zāi)害,應(yīng)該是把發(fā)生災(zāi)害的區(qū)域先封閉起來,使其不能繼續(xù)拓展,然后再施救。所以,企業(yè)云最大限度的避免非外來風(fēng)險(xiǎn)因素,就應(yīng)該賦予企業(yè)云用戶一個(gè)可封閉、可控的空間,一旦問題發(fā)生,最大限度的限制風(fēng)險(xiǎn)外延。而安全產(chǎn)品究竟應(yīng)該在企業(yè)云中發(fā)揮什么樣的作用,我想這個(gè)是個(gè)見仁見智的問題,問題的焦點(diǎn)在于安全產(chǎn)品是否有權(quán)利監(jiān)控企業(yè)云用戶的數(shù)據(jù)。當(dāng)然,在我理解,企業(yè)云自有安全產(chǎn)品的主要職責(zé)還是“對(duì)外”。

關(guān)于我考慮的這兩個(gè)問題,筆者向國內(nèi)領(lǐng)先的某云計(jì)算公司企業(yè)云業(yè)務(wù)的技術(shù)負(fù)責(zé)人進(jìn)行了咨詢,他說了兩點(diǎn)。

第一,關(guān)于云服務(wù)商的內(nèi)控措施保障。

一個(gè)未經(jīng)完全測(cè)試的,且具有“威協(xié)性”的安全監(jiān)控產(chǎn)品便投入到實(shí)際應(yīng)用是很難想象的災(zāi)難,這表明團(tuán)隊(duì)內(nèi)控發(fā)生了問題,也就是說沒有人對(duì)質(zhì)量和風(fēng)險(xiǎn)負(fù)責(zé),沒有相應(yīng)的安全部門對(duì)所應(yīng)面臨的操作風(fēng)險(xiǎn)進(jìn)行預(yù)警。這樣的任性,對(duì)千百萬個(gè)企業(yè)都是一種致命的災(zāi)難,試想如果有關(guān)系性命的企業(yè)應(yīng)用在上面,比如醫(yī)療應(yīng)用,可能會(huì)造成彌補(bǔ)不了的損失。

第二、云服務(wù)提供商不應(yīng)“劫持”用戶的數(shù)據(jù)控制權(quán)。

對(duì)于平臺(tái)型的云服務(wù)廠商,需要提供給租戶以獨(dú)立的服務(wù)空間,采用完善的系統(tǒng)隔離機(jī)制。沒有這樣子的措施,用戶要隨時(shí)擔(dān)心會(huì)被“劫持”,隨時(shí)會(huì)被“誤刪除”,企業(yè)的數(shù)據(jù)安全和隱私保護(hù)將得不到保障。這里我們建議的方式是給予用戶獨(dú)立的系統(tǒng)隔離空間(可以簡(jiǎn)單理解為租戶租給你一個(gè)始人空間),一旦空間有異動(dòng),將進(jìn)行整體的封鎖,而不是跨到空間里行使幫對(duì)方整理的責(zé)任。一方面保障可能出現(xiàn)的誤傷(安全隱私問題),一方面也便于封存取證(服務(wù)商的安全問題)。

這位技術(shù)負(fù)責(zé)人的觀點(diǎn),可以歸納為兩點(diǎn):一是安全監(jiān)控產(chǎn)品的威脅性應(yīng)該事先得到測(cè)試,二是應(yīng)該采取完善的系統(tǒng)隔離機(jī)制。

最后,在談及企業(yè)云發(fā)展前景的關(guān)鍵時(shí),該人士有一句話很值得我們思考,他說:“(企業(yè)云的發(fā)展)我認(rèn)為技術(shù)并不是難題,難得的是企業(yè)的服務(wù)精神和道德品質(zhì)。更多的是人的問題,而非技術(shù)。

所以,我想阿里云事件給企業(yè)云上的這一課可以歸納為這樣幾句話:“要防患于未然,不能越俎代庖,責(zé)任與技術(shù)同樣重要!”從事企業(yè)云業(yè)務(wù)的公司,應(yīng)該謹(jǐn)記!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)