生(shēng)于憂患的雲安全水位
本文來(lái)源:腦極體(tǐ)
本文作(zuò)者:藏狐
今日,各行各業想要探尋技術對産業價值的吸力,一(yī)個(gè)毋庸置疑的選擇,就(jiù)是——上(shàng)雲。
對于絕大部分(fēn)公有雲用戶來(lái)說(shuō),将業務(wù)遷移到雲端的好(hǎo)(hǎo)處是顯而易見的。一(yī)方面,雲計算(suàn)提供了(le)節省成本、加快(kuài)某些(xiē)流程的網絡方案,使企業管理(lǐ)和存儲信息變得更加容易;同時(shí),利用雲将AI的各種能(néng)力移植到産業,也(yě)為(wèi)不少傳統領域賦予了(le)能(néng)量和新(xīn)的想象空間(jiān)。
但(dàn)基礎設施變革序幕的拉開,也(yě)意味着企業面臨的内外部環境迎來(lái)前所未有的挑戰。在過去一(yī)年的時(shí)間(jiān)裏,全球主流的雲服務(wù)廠商(shāng)發生(shēng)過數十起大規模宕機事(shì)件,個(gè)别廠商(shāng)甚至多次“中招”,背後是成千上(shàng)萬個(gè)雲端企業或項目的業務(wù)損失,甚至夭折。
顯而易見,對公有雲廠商(shāng)來(lái)說(shuō),想要讓千行萬業依托雲計算(suàn)構築新(xīn)的産業效率壁壘,進而做好(hǎo)(hǎo)這(zhè)門時(shí)代的大生(shēng)意,并非易事(shì)。在我們看來(lái),至少需要回答(dá)好(hǎo)(hǎo)兩個(gè)問題:一(yī)是如(rú)何減少公有雲的安全隐患?另一(yī)個(gè)則是如(rú)何在深入産業的過程中讓企業重新(xīn)理(lǐ)解雲安全?
生(shēng)于憂患的雲安全水位
過去一(yī)兩年的時(shí)間(jiān)裏,即使是當前應用最為(wèi)廣泛的雲服務(wù)商(shāng),從AWS、微軟Azure到谷歌(gē)雲、阿裏雲等,任何一(yī)家都沒能(néng)實現(xiàn)100%的可靠性。雲服務(wù)的安全隐患,也(yě)一(yī)次次被突發的宕機事(shì)件推到風(fēng)口浪尖上(shàng)。
盡管事(shì)後雲服務(wù)商(shāng)都對造成網絡故障、數據損失的客戶進行了(le)一(yī)定的賠償,但(dàn)比起“亡羊補牢”,業内人(rén)士與觀望者顯然都對宕機背後所折射出的雲端安全問題更加關(guān)注,且心有餘悸。雲服務(wù)的安全機制與技術,是時(shí)候來(lái)到“被變革”的拐點了(le)嗎(ma)?
我們知道,雲計算(suàn)與産業融合,包含兩個(gè)層面的含義:一(yī)是通過共享式的雲端服務(wù)器(qì)向各行各業提供更強大、成本可控的網絡支持;二是向海量IoT物聯網設備提供龐大算(suàn)力和智能(néng)技術落地,觸發邊緣智能(néng)與社會生(shēng)産的融合。
雲,即生(shēng)産力,這(zhè)一(yī)個(gè)充滿希望的市(shì)場(chǎng),也(yě)帶來(lái)了(le)全新(xīn)的問題。
首先,随着越來(lái)越多的企業将業務(wù)系統、敏感數據部署在雲上(shàng),作(zuò)為(wèi)基礎網絡支撐的雲服務(wù)器(qì)一(yī)旦宕機,将像停電一(yī)樣,讓遊戲、電商(shāng)、流媒體(tǐ)等移動應用直接癱瘓,除了(le)影響用戶體(tǐ)驗與增長,更有甚者還可能(néng)導緻生(shēng)死攸關(guān)的業務(wù)損失。
如(rú)果說(shuō)前者映射的是傳統安全技術的升級需求,那麽物聯網時(shí)代設備間(jiān)的互聯互通,則讓我們看到了(le)雲服務(wù)商(shāng)未來(lái)突圍的标準線。
從勒索病毒頻發襲擊醫(yī)院、銀行等的終端設備,到智能(néng)家居、車聯網、工業物聯網等邊緣智能(néng)的高速發展,也(yě)反映了(le),接入雲服務(wù)之後面臨的複雜網絡環境與數據勾連,一(yī)旦宕機,漏洞也(yě)很容易“被共享”,然後讓黑客“一(yī)波帶走”。抵禦物聯網襲擊,也(yě)成為(wèi)用戶對雲廠商(shāng)技術實力的基本要求與信任坐标。
不難發現(xiàn),頻發的宕機事(shì)件背後,其實正對應着社會組織對雲服務(wù)部署方式的躊躇,以及雲計算(suàn)想要進入複雜産業應用所必備的安全水位。
蔽障叢生(shēng)的雲安全“天梯”
一(yī)場(chǎng)雲巨頭間(jiān)的安全攻防戰,正一(yī)觸即發。而站(zhàn)在此時(shí)此刻,我們會發現(xiàn),雲計算(suàn)技術本身(shēn)想要滿足社會應用的需求,其安全的“水槽”既有着先天的短闆,也(yě)在與惡意的鬥法中不斷觸及新(xīn)的瓶頸。
比如(rú)雲服務(wù)的共享性,某種程度上(shàng)來(lái)說(shuō)就(jiù)是雲計算(suàn)的先天隐患。
我們知道,公有雲服務(wù)商(shāng)往往會通過共享技術設施、平台或應用程度來(lái)實現(xiàn)規模化(huà)服務(wù),這(zhè)就(jiù)需要部署大量的硬件,以及多種虛拟化(huà)管理(lǐ)組件,如(rú)虛拟機監視(shì)器(qì)、網絡策略控制器(qì),存儲控制器(qì)等等,來(lái)實現(xiàn)多租戶共享硬件并隔離業務(wù)和數據的需要。
而這(zhè)樣用戶規模龐大、數據多樣化(huà)強的數據中心,卻更容易成為(wèi)被攻擊的目标。從國家互聯網應急中心發布的《2018年互聯網網絡安全報(bào)告》中來(lái)看,雲平台已成為(wèi)發生(shēng)網絡攻擊的重災區,在各類型的網絡安全事(shì)件數量中,雲平台上(shàng)的DDoS攻擊次數、被植入後門的網站(zhàn)數量、被篡改的網站(zhàn)數量占比均超過了(le)50%。
在這(zhè)樣的環境下(xià),一(yī)旦某些(xiē)軟件類漏洞被惡意利用,攻擊者可以輕松快(kuài)速地覆蓋所有類似的實例,其他租戶自然也(yě)就(jiù)在享受“即服務(wù)”便利的同時(shí),也(yě)把安全威脅也(yě)一(yī)起“共享”了(le)。
既然使用單一(yī)雲讓人(rén)提心吊膽,那麽把雞蛋(敏感數據)放(fàng)在不同的籃子(zǐ)(雲)裏,能(néng)不能(néng)避免“火(huǒ)燒連營”呢(ne)?
目前越來(lái)越多的企業開始選用“多雲”部署,選擇多個(gè)雲服務(wù)供應商(shāng)互為(wèi)主備作(zuò)為(wèi)災備預案。也(yě)有的會租用多個(gè)雲服務(wù)或自建機房(fáng),讓私有雲或專有雲來(lái)承載關(guān)鍵服務(wù)與數據。
“混合雲”方案在提升業務(wù)安全性的同時(shí),也(yě)意味着企業成本和技術複雜度會成倍地增加。不一(yī)樣的資源管理(lǐ),不同的底層架構,不一(yī)緻的安全工具,意味着企業需要更多的安全産品及運維人(rén)員(yuán),一(yī)旦内部安全管理(lǐ)對整個(gè)IT系統缺少宏觀把控的視(shì)角,就(jiù)很難在數據加密、策略上(shàng)達成統一(yī),從而讓不安全的API、混亂的密鑰身(shēn)份管理(lǐ)等問題趁虛而入。
事(shì)實上(shàng),從發現(xiàn)漏洞到被利用的平均時(shí)間(jiān)每年都在減少,而正如(rú)Gartner公司在調查報(bào)告中預測,“其實95%的雲安全故障都是客戶(錯誤操作(zuò))的錯。”
這(zhè)裏就(jiù)不得不提到雲安全的另一(yī)個(gè)“短闆”,對于部署在雲端系統的網絡,保證企業存儲在雲平台中的内容安全,被視(shì)為(wèi)是雲服務(wù)廠商(shāng)的責任。但(dàn)僅僅靠雲服務(wù)商(shāng)還遠(yuǎn)遠(yuǎn)不夠,用戶相對應的安全防護意識、應用能(néng)力、控制能(néng)力不一(yī)定能(néng)及時(shí)跟進,也(yě)會進一(yī)步加劇(jù)安全隐患。
對此,安全軟件提供商(shāng)XYPRO Technology公司表示,“企業将其應用程序遷移到雲端,并不意味着可以将網絡安全責任轉移到雲計算(suàn)提供商(shāng)身(shēn)上(shàng)。” 換句話(huà)說(shuō),在新(xīn)的安全機制沒有達成共識之前,漏洞與安全風(fēng)險就(jiù)會伴随着雲服務(wù)的狂熱迸發而愈演愈烈,讓雲服務(wù)廠商(shāng)們在補漏填坑中疲于奔命。
總而言之,新(xīn)的攻擊方式、混亂的身(shēn)份管理(lǐ)、高級持續性威脅、惡意SaaS應用、共享技術問題等等,都是雲安全“水槽”要一(yī)一(yī)拔高的短闆。如(rú)何盡可能(néng)高效無死角地找到那些(xiē)隐藏在意想不到的角落裏的漏洞,是雲服務(wù)商(shāng)搶奪市(shì)場(chǎng)、建立優勢的先決挑戰。
正在被AI治愈的“雲恐慌”
當然,問題也(yě)意味着機會。我們都知道,AI的強大算(suàn)力與邏輯推理(lǐ),正在不斷與産業結合,創造超出想象的經濟價值。那麽在安全實踐中,智能(néng)革命也(yě)能(néng)發揮作(zuò)用嗎(ma)?
顯然,不斷向産業端批量輸出AI能(néng)力的雲服務(wù)商(shāng),也(yě)正圍繞AI展開了(le)安全戰役賽點的“奪旗賽”,來(lái)解決各個(gè)行業的顧慮,與不同企業雲計算(suàn)的落地需求。
比如(rú)主打AI能(néng)力的谷歌(gē)雲,就(jiù)在海外快(kuài)速蠶食這(zhè)AWS的市(shì)場(chǎng)份額;國内我們耳熟能(néng)詳的華為(wèi)雲、百度智能(néng)雲、阿裏雲智能(néng),都将智能(néng)防禦作(zuò)為(wèi)雲解決方案中的核心能(néng)力。
總的來(lái)看,AI的技術特質正在被雲服務(wù)商(shāng)在安全全流程中全面調用,集體(tǐ)将雲端安全推向了(le)原生(shēng)、智能(néng)的位面:
首先是大規模數據的處理(lǐ)能(néng)力。我們知道,雲端需要部署多種安全設備和軟件,涉及到海量安全數據和重複報(bào)警,依靠運維人(rén)員(yuán)人(rén)工在海量數據中提取有效的信息,在雲時(shí)代顯然不太現(xiàn)實,而AI恰好(hǎo)(hǎo)是應對規模數據的最優解。
舉個(gè)例子(zǐ),AI對大規模、實時(shí)網絡安全威脅數據,能(néng)夠快(kuài)速對多源數據的清洗、歸并和關(guān)聯分(fēn)析,讓運維人(rén)員(yuán)能(néng)夠高效地掌握最新(xīn)的安全事(shì)件、重大漏洞等信息,在風(fēng)險挖掘、應急響應上(shàng),達到人(rén)工所無法實現(xiàn)的準确率,來(lái)識别已知的高級威脅以及一(yī)些(xiē)未知的新(xīn)型攻擊。
其次是推理(lǐ)決策能(néng)力。對于大企業和公共網絡來(lái)說(shuō),以漏洞為(wèi)準心的攻擊,比如(rú)物聯網攻擊、勒索病毒劫持等等,往往需要主動預判來(lái)将防患于未然。而這(zhè)是傳統型防火(huǒ)牆無法實現(xiàn)的,也(yě)将AI能(néng)力與雲計算(suàn)推向了(le)主動防禦的結合點。
比如(rú)在用戶行為(wèi)分(fēn)析上(shàng),引入AI對IP、指紋、曆史行為(wèi)等多維數據進行分(fēn)析,精準地刻畫用戶畫像、挖掘風(fēng)險點,建立異常檢測模型來(lái)感知異常行為(wèi)并預警,從而有效避免内外部威脅。
此外,AI還能(néng)夠利用起深度學習技術來(lái)模拟自動化(huà)攻擊,來(lái)提供安全問題的自動化(huà)監測和修複。比如(rú)微軟Azure就(jiù)打造了(le)一(yī)套芯片、雲和操作(zuò)系統一(yī)整條的雲計算(suàn)安全運行鏈。
除了(le)在外部攻擊端通過智能(néng)自動化(huà)來(lái)提質增效之外,AI在企業内部安全管理(lǐ)上(shàng)的優化(huà),也(yě)進一(yī)步提高了(le)雲計算(suàn)的安全水位。
其中比較典型的智能(néng)化(huà)安全産品,比如(rú)态勢感知平台。通過AI對能(néng)夠引起雲環境态勢發生(shēng)變化(huà)的安全要素進行獲取、理(lǐ)解、預測,能(néng)夠有效對虛拟機等雲資産進行動态變化(huà)管理(lǐ)和處理(lǐ)。同時(shí),利用AI的彈性識别,雲平台能(néng)夠對漏洞的優先級進行優先級排序,利用NLP技術結合網絡上(shàng)下(xià)文分(fēn)析企業安全的暴露面,評估對業務(wù)的影響,優先修複風(fēng)險最大的漏洞。
另外,内部秘鑰的智能(néng)化(huà)管理(lǐ),也(yě)讓企業安全變得可控、透明、合規。AI可以在動态環境中授于不同人(rén)不同權限,實現(xiàn)雲端系統的精細化(huà)管理(lǐ),讓任何人(rén)在任何時(shí)間(jiān)、任何地點,正确地訪問相應資源,統一(yī)管理(lǐ)好(hǎo)(hǎo)内部的邊界安全。
如(rú)果說(shuō)“多雲戰略”是企業為(wèi)自身(shēn)雲安全所上(shàng)的一(yī)份雙保險,那麽智能(néng)安全,也(yě)正在雲服務(wù)玩(wán)家自身(shēn)基礎服務(wù)穩定性的佐證,也(yě)是說(shuō)服用戶的戰略性選擇。
某種意義上(shàng)來(lái)說(shuō),雲服務(wù)深入産業核心的過程中,往往不僅是技術問題,安全意識、市(shì)場(chǎng)教育能(néng)力,包括對成本的考量,都會讓這(zhè)場(chǎng)雲巨頭的博弈充滿變數。而AI,正是成為(wèi)讓大量未知因素與“黑天鵝”被提前鎖定的産業“基座”。
Copyright © 2013-2016 WWW.VZIDC.COM . All Rights Reserved. 微子(zǐ)網絡 版權所有 江蘇微子(zǐ)網絡科技有限公司