云之變3：宕機背后，云端的安全戰(zhàn)爭

原標(biāo)題：云之變3：宕機背后，云端的安全戰(zhàn)爭

今日，各行各業(yè)想要探尋技術(shù)對產(chǎn)業(yè)價值的吸力，一個毋庸置疑的選擇，就是——上云。

對于絕大部分公有云用戶來說，將業(yè)務(wù)遷移到云端的好處是顯而易見的。一方面，云計算提供了節(jié)省成本、加快某些流程的網(wǎng)絡(luò)方案，使企業(yè)管理和存儲信息變得更加容易；同時，利用云將AI的各種能力移植到產(chǎn)業(yè)，也為不少傳統(tǒng)領(lǐng)域賦予了能量和新的想象空間。

但基礎(chǔ)設(shè)施變革序幕的拉開，也意味著企業(yè)面臨的內(nèi)外部環(huán)境迎來前所未有的挑戰(zhàn)。在過去一年的時間里，全球主流的云服務(wù)廠商發(fā)生過數(shù)十起大規(guī)模宕機事件，個別廠商甚至多次“中招”，背后是成千上萬個云端企業(yè)或項目的業(yè)務(wù)損失，甚至夭折。

顯而易見，對公有云廠商來說，想要讓千行萬業(yè)依托云計算構(gòu)筑新的產(chǎn)業(yè)效率壁壘，進而做好這門時代的大生意，并非易事。在我們看來，至少需要回答好兩個問題：一是如何減少公有云的安全隱患？另一個則是如何在深入產(chǎn)業(yè)的過程中讓企業(yè)重新理解云安全？

生于憂患的云安全水位

過去一兩年的時間里，即使是當(dāng)前應(yīng)用最為廣泛的云服務(wù)商，從AWS、微軟Azure到谷歌云、阿里云等，任何一家都沒能實現(xiàn)100%的可靠性。云服務(wù)的安全隱患，也一次次被突發(fā)的宕機事件推到風(fēng)口浪尖上。

盡管事后云服務(wù)商都對造成網(wǎng)絡(luò)故障、數(shù)據(jù)損失的客戶進行了一定的賠償，但比起“亡羊補牢”，業(yè)內(nèi)人士與觀望者顯然都對宕機背后所折射出的云端安全問題更加關(guān)注，且心有余悸。云服務(wù)的安全機制與技術(shù)，是時候來到“被變革”的拐點了嗎？

我們知道，云計算與產(chǎn)業(yè)融合，包含兩個層面的含義：一是通過共享式的云端服務(wù)器向各行各業(yè)提供更強大、成本可控的網(wǎng)絡(luò)支持；二是向海量IoT物聯(lián)網(wǎng)設(shè)備提供龐大算力和智能技術(shù)落地，觸發(fā)邊緣智能與社會生產(chǎn)的融合。

云，即生產(chǎn)力，這一個充滿希望的市場，也帶來了全新的問題。

首先，隨著越來越多的企業(yè)將業(yè)務(wù)系統(tǒng)、敏感數(shù)據(jù)部署在云上，作為基礎(chǔ)網(wǎng)絡(luò)支撐的云服務(wù)器一旦宕機，將像停電一樣，讓游戲、電商、流媒體等移動應(yīng)用直接癱瘓，除了影響用戶體驗與增長，更有甚者還可能導(dǎo)致生死攸關(guān)的業(yè)務(wù)損失。

如果說前者映射的是傳統(tǒng)安全技術(shù)的升級需求，那么物聯(lián)網(wǎng)時代設(shè)備間的互聯(lián)互通，則讓我們看到了云服務(wù)商未來突圍的標(biāo)準(zhǔn)線。

從勒索病毒頻發(fā)襲擊醫(yī)院、銀行等的終端設(shè)備，到智能家居、車聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)等邊緣智能的高速發(fā)展，也反映了，接入云服務(wù)之后面臨的復(fù)雜網(wǎng)絡(luò)環(huán)境與數(shù)據(jù)勾連，一旦宕機，漏洞也很容易“被共享”，然后讓黑客“一波帶走”。抵御物聯(lián)網(wǎng)襲擊，也成為用戶對云廠商技術(shù)實力的基本要求與信任坐標(biāo)。

不難發(fā)現(xiàn)，頻發(fā)的宕機事件背后，其實正對應(yīng)著社會組織對云服務(wù)部署方式的躊躇，以及云計算想要進入復(fù)雜產(chǎn)業(yè)應(yīng)用所必備的安全水位。

蔽障叢生的云安全“天梯”

一場云巨頭間的安全攻防戰(zhàn)，正一觸即發(fā)。而站在此時此刻，我們會發(fā)現(xiàn)，云計算技術(shù)本身想要滿足社會應(yīng)用的需求，其安全的“水槽”既有著先天的短板，也在與惡意的斗法中不斷觸及新的瓶頸。

比如云服務(wù)的共享性，某種程度上來說就是云計算的先天隱患。

我們知道，公有云服務(wù)商往往會通過共享技術(shù)設(shè)施、平臺或應(yīng)用程度來實現(xiàn)規(guī)?；?wù)，這就需要部署大量的硬件，以及多種虛擬化管理組件，如虛擬機監(jiān)視器、網(wǎng)絡(luò)策略控制器，存儲控制器等等，來實現(xiàn)多租戶共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的需要。

而這樣用戶規(guī)模龐大、數(shù)據(jù)多樣化強的數(shù)據(jù)中心，卻更容易成為被攻擊的目標(biāo)。從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2018年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中來看，云平臺已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，在各類型的網(wǎng)絡(luò)安全事件數(shù)量中，云平臺上的DDoS攻擊次數(shù)、被植入后門的網(wǎng)站數(shù)量、被篡改的網(wǎng)站數(shù)量占比均超過了50%。

在這樣的環(huán)境下，一旦某些軟件類漏洞被惡意利用，攻擊者可以輕松快速地覆蓋所有類似的實例，其他租戶自然也就在享受“即服務(wù)”便利的同時，也把安全威脅也一起“共享”了。

既然使用單一云讓人提心吊膽，那么把雞蛋（敏感數(shù)據(jù)）放在不同的籃子（云）里，能不能避免“火燒連營”呢？

目前越來越多的企業(yè)開始選用“多云”部署，選擇多個云服務(wù)供應(yīng)商互為主備作為災(zāi)備預(yù)案。也有的會租用多個云服務(wù)或自建機房，讓私有云或?qū)Ｓ性苼沓休d關(guān)鍵服務(wù)與數(shù)據(jù)。

“混合云”方案在提升業(yè)務(wù)安全性的同時，也意味著企業(yè)成本和技術(shù)復(fù)雜度會成倍地增加。不一樣的資源管理，不同的底層架構(gòu)，不一致的安全工具，意味著企業(yè)需要更多的安全產(chǎn)品及運維人員，一旦內(nèi)部安全管理對整個IT系統(tǒng)缺少宏觀把控的視角，就很難在數(shù)據(jù)加密、策略上達(dá)成統(tǒng)一，從而讓不安全的API、混亂的密鑰身份管理等問題趁虛而入。

事實上，從發(fā)現(xiàn)漏洞到被利用的平均時間每年都在減少，而正如Gartner公司在調(diào)查報告中預(yù)測，“其實95%的云安全故障都是客戶（錯誤操作）的錯?！?/p>

這里就不得不提到云安全的另一個“短板”，對于部署在云端系統(tǒng)的網(wǎng)絡(luò)，保證企業(yè)存儲在云平臺中的內(nèi)容安全，被視為是云服務(wù)廠商的責(zé)任。但僅僅靠云服務(wù)商還遠(yuǎn)遠(yuǎn)不夠，用戶相對應(yīng)的安全防護意識、應(yīng)用能力、控制能力不一定能及時跟進，也會進一步加劇安全隱患。

對此，安全軟件提供商XYPRO Technology公司表示，“企業(yè)將其應(yīng)用程序遷移到云端，并不意味著可以將網(wǎng)絡(luò)安全責(zé)任轉(zhuǎn)移到云計算提供商身上?！?換句話說，在新的安全機制沒有達(dá)成共識之前，漏洞與安全風(fēng)險就會伴隨著云服務(wù)的狂熱迸發(fā)而愈演愈烈，讓云服務(wù)廠商們在補漏填坑中疲于奔命。

總而言之，新的攻擊方式、混亂的身份管理、高級持續(xù)性威脅、惡意SaaS應(yīng)用、共享技術(shù)問題等等，都是云安全“水槽”要一一拔高的短板。如何盡可能高效無死角地找到那些隱藏在意想不到的角落里的漏洞，是云服務(wù)商搶奪市場、建立優(yōu)勢的先決挑戰(zhàn)。

正在被AI治愈的“云恐慌”

當(dāng)然，問題也意味著機會。我們都知道，AI的強大算力與邏輯推理，正在不斷與產(chǎn)業(yè)結(jié)合，創(chuàng)造超出想象的經(jīng)濟價值。那么在安全實踐中，智能革命也能發(fā)揮作用嗎？

顯然，不斷向產(chǎn)業(yè)端批量輸出AI能力的云服務(wù)商，也正圍繞AI展開了安全戰(zhàn)役賽點的“奪旗賽”，來解決各個行業(yè)的顧慮，與不同企業(yè)云計算的落地需求。

比如主打AI能力的谷歌云，就在海外快速蠶食這AWS的市場份額；國內(nèi)我們耳熟能詳?shù)娜A為云、百度智能云、阿里云智能，都將智能防御作為云解決方案中的核心能力。

總的來看，AI的技術(shù)特質(zhì)正在被云服務(wù)商在安全全流程中全面調(diào)用，集體將云端安全推向了原生、智能的位面：

首先是大規(guī)模數(shù)據(jù)的處理能力。我們知道，云端需要部署多種安全設(shè)備和軟件，涉及到海量安全數(shù)據(jù)和重復(fù)報警，依靠運維人員人工在海量數(shù)據(jù)中提取有效的信息，在云時代顯然不太現(xiàn)實，而AI恰好是應(yīng)對規(guī)模數(shù)據(jù)的最優(yōu)解。

舉個例子，AI對大規(guī)模、實時網(wǎng)絡(luò)安全威脅數(shù)據(jù)，能夠快速對多源數(shù)據(jù)的清洗、歸并和關(guān)聯(lián)分析，讓運維人員能夠高效地掌握最新的安全事件、重大漏洞等信息，在風(fēng)險挖掘、應(yīng)急響應(yīng)上，達(dá)到人工所無法實現(xiàn)的準(zhǔn)確率，來識別已知的高級威脅以及一些未知的新型攻擊。

其次是推理決策能力。對于大企業(yè)和公共網(wǎng)絡(luò)來說，以漏洞為準(zhǔn)心的攻擊，比如物聯(lián)網(wǎng)攻擊、勒索病毒劫持等等，往往需要主動預(yù)判來將防患于未然。而這是傳統(tǒng)型防火墻無法實現(xiàn)的，也將AI能力與云計算推向了主動防御的結(jié)合點。

比如在用戶行為分析上，引入AI對IP、指紋、歷史行為等多維數(shù)據(jù)進行分析，精準(zhǔn)地刻畫用戶畫像、挖掘風(fēng)險點，建立異常檢測模型來感知異常行為并預(yù)警，從而有效避免內(nèi)外部威脅。

此外，AI還能夠利用起深度學(xué)習(xí)技術(shù)來模擬自動化攻擊，來提供安全問題的自動化監(jiān)測和修復(fù)。比如微軟Azure就打造了一套芯片、云和操作系統(tǒng)一整條的云計算安全運行鏈。

除了在外部攻擊端通過智能自動化來提質(zhì)增效之外，AI在企業(yè)內(nèi)部安全管理上的優(yōu)化，也進一步提高了云計算的安全水位。

其中比較典型的智能化安全產(chǎn)品，比如態(tài)勢感知平臺。通過AI對能夠引起云環(huán)境態(tài)勢發(fā)生變化的安全要素進行獲取、理解、預(yù)測，能夠有效對虛擬機等云資產(chǎn)進行動態(tài)變化管理和處理。同時，利用AI的彈性識別，云平臺能夠?qū)β┒吹膬?yōu)先級進行優(yōu)先級排序，利用NLP技術(shù)結(jié)合網(wǎng)絡(luò)上下文分析企業(yè)安全的暴露面，評估對業(yè)務(wù)的影響，優(yōu)先修復(fù)風(fēng)險最大的漏洞。

另外，內(nèi)部秘鑰的智能化管理，也讓企業(yè)安全變得可控、透明、合規(guī)。AI可以在動態(tài)環(huán)境中授于不同人不同權(quán)限，實現(xiàn)云端系統(tǒng)的精細(xì)化管理，讓任何人在任何時間、任何地點，正確地訪問相應(yīng)資源，統(tǒng)一管理好內(nèi)部的邊界安全。

如果說“多云戰(zhàn)略”是企業(yè)為自身云安全所上的一份雙保險，那么智能安全，也正在云服務(wù)玩家自身基礎(chǔ)服務(wù)穩(wěn)定性的佐證，也是說服用戶的戰(zhàn)略性選擇。

某種意義上來說，云服務(wù)深入產(chǎn)業(yè)核心的過程中，往往不僅是技術(shù)問題，安全意識、市場教育能力，包括對成本的考量，都會讓這場云巨頭的博弈充滿變數(shù)。而AI，正是成為讓大量未知因素與“黑天鵝”被提前鎖定的產(chǎn)業(yè)“基座”。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。