從京東到亞馬遜 狀況不斷的公有云真的安全嗎?

責(zé)任編輯:editor006

2017-03-14 17:09:07

摘自:PConline原創(chuàng)

現(xiàn)在,怕是已經(jīng)沒有幾個IT主管還在討論“我的工作負載要不要放到云上”這種問題了。就在上周末,互聯(lián)網(wǎng)產(chǎn)業(yè)中爆出大案——京東50億條個人信息涉嫌泄露,原因是網(wǎng)絡(luò)安全部員工監(jiān)守自盜,與信息安全犯罪團伙合作,將個人信息盜賣給不法分子。

現(xiàn)在,怕是已經(jīng)沒有幾個IT主管還在討論“我的工作負載要不要放到云上”這種問題了。然而,企業(yè)對于云安全的擔(dān)憂,正在隨著云產(chǎn)業(yè)的發(fā)展而快速增長。云產(chǎn)業(yè)中時常爆發(fā)的安全問題,也在不斷撩撥著企業(yè)IT主管們的神經(jīng)。

 

就在上周末,互聯(lián)網(wǎng)產(chǎn)業(yè)中爆出大案——京東50億條個人信息涉嫌泄露,原因是網(wǎng)絡(luò)安全部員工監(jiān)守自盜,與信息安全犯罪團伙合作,將個人信息盜賣給不法分子。

 

雖然這起大案發(fā)生在京東自己的IT系統(tǒng)中,但京東同時也是國內(nèi)公有云服務(wù)的主要提供商之一,自家的系統(tǒng)跑在云中——“2016年京東618大促期間,京東云帶寬擴容數(shù)百G,從容抵擋大量流量瞬間爆增帶來的沖擊,100%的訂單在云上完成。”而與此同時,也為數(shù)以萬計的企業(yè)提供基礎(chǔ)設(shè)施、平臺等不同層級的云服務(wù)。

 

兩周以前在遙遠的太平洋彼岸,一場云安全意外同樣讓大大小小的企業(yè)信息主管們神經(jīng)衰弱了一場。全球最大的云計算服務(wù)提供者亞馬遜AWS由于軟件工程師的誤操作,導(dǎo)致S3服務(wù)(簡單存儲服務(wù))出現(xiàn)中斷。

簡單來說,S3服務(wù)是一種高性價比的海量存儲服務(wù),企業(yè)一旦將應(yīng)用遷移到AWS云端,基本都會使用這種服務(wù),并且將這一服務(wù)與同樣由AWS提供的、其他更多的服務(wù)關(guān)聯(lián)。

這下可好,S3服務(wù)掛掉,這些關(guān)聯(lián)的服務(wù)調(diào)用不到數(shù)據(jù),也跟著一起遭了殃。運行在AWS上的一大堆互聯(lián)網(wǎng)應(yīng)用——包括Expedia、GitLab、GitHub、GroupMe、IFTTT、Medium、Nest、Quora、Slack、The Verge、Trello、Twitch、Wix等也跟著AWS一起下線。

我想這些用了AWS S3服務(wù)的公司,信息主管當(dāng)天的表情一定是這樣子的:

 

“云端是不是比用戶端安全?答案顯而易見。無論是亞馬遜、京東還是谷歌、IBM、微軟、阿里這些云服務(wù)商,養(yǎng)著全世界明面上最頂尖的技術(shù)大牛。論防火防盜的本事,與一般中小企業(yè)的IT部門比起來,技術(shù)實力差距顯而易見——

然而,企業(yè)把業(yè)務(wù)放到云端,面臨的安全形勢卻要比放在自家保險庫里時嚴峻得多——哪個犯罪組織、犯罪集團的戰(zhàn)斗力能與警察相比?如果按照“我比你能力強就能制止你的所有攻擊”這樣的理論,現(xiàn)在世界上早就應(yīng)該已經(jīng)消滅了犯罪——單純按戰(zhàn)斗力來推演,無異于紙上談兵。

更重要的事情:是不是網(wǎng)絡(luò)犯罪一定會選擇那些安全防護能力比較差的IT環(huán)境下手?好比一個搶劫對象是街頭的711便利店,另一個選擇是荷槍實彈的運鈔車。劫匪會搶哪個?現(xiàn)實中的情況,是兩個對象都有可能成為犯罪分子作案的對象。戰(zhàn)斗力只有5的家伙當(dāng)然會想搶個ATM劃算,但戰(zhàn)力高的家伙肯定就不會這樣想——老子有刀有槍有犯罪經(jīng)驗,就搶個錢包,劃算不劃算?跌份不跌份?

 

由此引入第三個問題,則是發(fā)生安全事件的破壞性——企業(yè)自己的IT系統(tǒng)出狀況,好比騎自行車翻了車,最多是摔斷腿摔破頭。而如果承載者千萬企業(yè)的云出了安全問題——那事兒就大了:

 

第四,技術(shù)大牛華麗變身內(nèi)鬼的時候,企業(yè)面臨的安全威脅會提升無數(shù)個數(shù)量級——從京東的案子來看,由于有人的主觀能動作用在里面,單純依靠技術(shù)防范這種安全問題是沒有效果的。自己的核心數(shù)據(jù)放在別人的平臺上,相信不光是信息主管,就連老板們也睡不踏實。

安全問題頻發(fā),相信也給全世界主要的云服務(wù)提供者們敲響了警鐘。對已經(jīng)成為千萬企業(yè)業(yè)務(wù)承載核心和網(wǎng)絡(luò)安全犯罪者覬覦對象的他們來說,沒有最安全,只有更安全。只是比企業(yè)自建機房的安全性高可不夠,要高出一定的數(shù)量級——至少要像銀行金庫和個人小坤包那么大的安全性差距——,企業(yè)信息主管才有可能放心地把業(yè)務(wù)交給這些陌生人。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號