云計(jì)算廠商們的反擊黑客行動(dòng)

“網(wǎng)絡(luò)就是計(jì)算機(jī)”，這是 Sun 公司聯(lián)合創(chuàng)始人 JohnGage 在1984年說(shuō)過(guò)的一句話，預(yù)測(cè)了分布式計(jì)算技術(shù)變革即將帶來(lái)的新世界。而如今經(jīng)過(guò)基礎(chǔ)設(shè)施、資本、服務(wù)的比拼，云計(jì)算正在將這一理念變成現(xiàn)實(shí)。尤其近兩年國(guó)內(nèi)的云計(jì)算市場(chǎng)，除去BAT在云服務(wù)市場(chǎng)的大力布局，也誕生了諸如青云、UCloud、七牛云、青藤云等新崛起的專業(yè)云服務(wù)商跑馬圈地。

但是如今云服務(wù)的現(xiàn)狀卻備受挑戰(zhàn)，從速度到售后服務(wù)都飽受詬病，尤其是黑客攻擊引發(fā)的云端安全問(wèn)題，讓不少企業(yè)和用戶對(duì)云計(jì)算的使用抱有懷疑態(tài)度：

去年，蘋果iCloud泄露了眾多好萊塢女星的艷照，瞬間引起了針對(duì)蘋果iCloud的安全性問(wèn)題；

今年7月初，專業(yè)從事監(jiān)視技術(shù)的意大利公司HackingTeam被攻擊，作為一家黑客公司竟然被竊400GB數(shù)據(jù)，自打自臉不說(shuō)，被譽(yù)為全球最臭名昭著的安全公司也不為過(guò)（查看鈦媒體前文《臭名昭著的安全公司HackingTeam反被竊400GB數(shù)據(jù)》）；

7月21日，在線婚外情網(wǎng)站AshleyMadison.com被黑客入侵，更遭到黑客要求關(guān)閉網(wǎng)站的威脅，否則將公布數(shù)百萬(wàn)用戶的真實(shí)名字和個(gè)人偏好；
……

不只是國(guó)外，國(guó)內(nèi)發(fā)生的云端攻擊和安全事件也不勝枚舉，DNS大劫難、手機(jī)木馬“XX神器”、12306用戶信息大規(guī)模泄露就是最好的例證。

根據(jù)阿里云提供的數(shù)據(jù)顯示，旗下安全品牌云盾DDoS防護(hù)每天防御超過(guò)1000起DDoS攻擊事件。云盾應(yīng)用防火墻每天攔截超過(guò)1000萬(wàn)次的Web攻擊，云盾安騎士每天還會(huì)攔截超過(guò)5億次的暴力破解攻擊...由此可見(jiàn)，在我們熟知的網(wǎng)絡(luò)環(huán)境中，安全攻擊事件時(shí)刻都在上演，只不過(guò)大多被第一時(shí)間化解了。這也意味著，云計(jì)算廠商對(duì)黑客的打擊力度在潛移默化的加強(qiáng)，黑客們要小心了。

企業(yè)部署了安全設(shè)備，為何就是看不到黑客的入侵？

大量的例子證明，日益猖獗的黑客攻擊已成為互聯(lián)網(wǎng)企業(yè)成長(zhǎng)所面臨的重要問(wèn)題之一，那么為何會(huì)出現(xiàn)安全事件頻發(fā)的現(xiàn)象？

中國(guó)網(wǎng)絡(luò)安全圈最具影響力的人物之一、阿里巴巴安全部研究院吳翰清（網(wǎng)名道哥、刺）認(rèn)為，云端安全是一個(gè)持續(xù)的過(guò)程，關(guān)鍵在于云服務(wù)提供商要有非常完善的應(yīng)急響應(yīng)機(jī)制。


在今年7月9日阿里巴巴天下無(wú)賊安全峰會(huì)上，吳翰清就著重提到阿里云計(jì)劃推出的全新安全解決方案：態(tài)勢(shì)感知。這種方案欲解決的問(wèn)題是：企業(yè)部署了安全設(shè)備，為何就是看不到黑客的入侵？


答案是：安全防御沒(méi)有可視化。因?yàn)閷?duì)于防護(hù)一方來(lái)說(shuō)，安全就是一副圖，如果沒(méi)有看到整張圖的視野，就等于什么也看不到。


“完整的安全是需要體現(xiàn)縱身防御的，像BAT這樣走自主研發(fā)路線的互聯(lián)網(wǎng)公司，根據(jù)自身特點(diǎn)早就量身定制了整套安全架構(gòu)，從網(wǎng)絡(luò)邊界，到應(yīng)用框架，到主機(jī)安全Agent，最后到審計(jì)產(chǎn)品，實(shí)現(xiàn)了一個(gè)非常深的產(chǎn)品Stack”，吳翰清告訴鈦媒體。


事實(shí)上，在阿里云盾的產(chǎn)品體系里，位于網(wǎng)絡(luò)邊界的DDoS防護(hù)、應(yīng)用防火墻和位于主機(jī)上的安全軟件安騎士，就形成了互補(bǔ)，儼然構(gòu)成了一個(gè)體系。尤其是主機(jī)層面的安全軟件，它能有效彌補(bǔ)網(wǎng)絡(luò)邊界安全產(chǎn)品的短板。


青藤云創(chuàng)始人張福告訴鈦媒體，國(guó)內(nèi)企業(yè)的安全問(wèn)題是整體性質(zhì)的落后，其中包括安全人才的嚴(yán)重匱乏和企業(yè)安全意識(shí)不足等等。


“國(guó)內(nèi)企業(yè)普遍缺乏安全防護(hù)意識(shí)和能力，一方面?zhèn)鹘y(tǒng)安全廠商不能滿足互聯(lián)網(wǎng)企業(yè)需求；其次是企業(yè)自建安全能力，有面臨投入高人才難尋的局面。”


事實(shí)還證明，黑客總是會(huì)從意想不到的地方入侵，很多看起來(lái)不起眼的小問(wèn)題最終會(huì)導(dǎo)致企業(yè)重要資產(chǎn)淪陷。消息顯示，意大利公司HackingTeam被黑就是黑客采用非常初級(jí)的“SQL注入”和“弱口令”攻入，這是令人難以置信的事實(shí)，但同時(shí)也側(cè)面驗(yàn)證了被攻擊方本身存在的薄弱點(diǎn)和漏洞。


傳統(tǒng)“邊界安全”要遭淘汰，自適應(yīng)安全是趨勢(shì)


不僅是國(guó)內(nèi)的云服務(wù)廠商，近幾年國(guó)外諸如亞馬遜，甚至安全專業(yè)公司卡巴斯基在安全防護(hù)上投入巨大，爆發(fā)的諸多黑客攻擊安全事件直接推動(dòng)了安全企業(yè)的集體反思，于是在2015年的RSA（安全屆的奧斯卡）大會(huì)上得出一個(gè)結(jié)論：傳統(tǒng)的“邊界安全”理念已證明不能滿足企業(yè)安全的需求。


然而安全行業(yè)在過(guò)去20年一直是在做“邊界安全”，阿里巴巴安全部研究院吳翰清告訴鈦媒體，“邊界安全”之所以這么熱，因?yàn)榇蠖鄶?shù)的安全廠商在進(jìn)行產(chǎn)品銷售時(shí)，遇到的布署挑戰(zhàn)不好解決，而把設(shè)備放到網(wǎng)絡(luò)邊界處對(duì)客戶來(lái)說(shuō)是最容易接受的，對(duì)整體環(huán)境的改動(dòng)最小，客戶不需要去修改代碼，也不需要去服務(wù)器上裝軟件。

“但其實(shí)這遠(yuǎn)遠(yuǎn)不是安全的全部，對(duì)很多客戶的運(yùn)維來(lái)說(shuō)會(huì)帶來(lái)額外的風(fēng)險(xiǎn)?！?br />
對(duì)于傳統(tǒng)邊界安全為何不實(shí)用，張福的理由是，

“傳統(tǒng)邊界安全是在外圍造城墻進(jìn)行防御，不需要理解業(yè)務(wù)，因此達(dá)不到很好的效果，現(xiàn)在互聯(lián)網(wǎng)企業(yè)需要的安全是能夠隨業(yè)務(wù)變化而變化，理解業(yè)務(wù)并隨時(shí)調(diào)整?！?br />
那么問(wèn)題來(lái)了，能否在云端構(gòu)建一個(gè)安全防御免疫系統(tǒng)，及時(shí)預(yù)防并發(fā)現(xiàn)黑客攻擊行為？自適應(yīng)安全正是為了解決問(wèn)題而來(lái)。

Garner在2014年所發(fā)布的《面向高級(jí)攻擊的自適應(yīng)安全架構(gòu)》報(bào)告中指出，每個(gè)企業(yè)都應(yīng)該假設(shè)處于受攻擊狀態(tài)，以此加強(qiáng)對(duì)內(nèi)外威脅情報(bào)數(shù)據(jù)的識(shí)別，構(gòu)建持續(xù)響應(yīng)的安全體系，此報(bào)告著重突出了自適應(yīng)安全的未來(lái)潛力。


國(guó)際安全廠商FireEye去年斥資10億美元收購(gòu)了主打安全應(yīng)急響應(yīng)管理解決方案的安全公司Mandiant，正是為了加強(qiáng)產(chǎn)品的自適應(yīng)化。無(wú)獨(dú)有偶，以自適應(yīng)為核心特征的安全初創(chuàng)公司illumio在短短兩年內(nèi)就獲得三輪共1.425億美元融資。


阿里云盾和青藤云也在做同樣的事情，不難看出，自適應(yīng)安全已經(jīng)逐漸成為國(guó)內(nèi)外安全廠商的共識(shí)，基于此構(gòu)建持續(xù)的監(jiān)控和分析能力，可以更快的對(duì)攻擊進(jìn)行事前和快速的檢測(cè)響應(yīng)。青藤云創(chuàng)始人張福對(duì)自適應(yīng)安全有著獨(dú)到的見(jiàn)解，他如此告訴鈦媒體：

自適應(yīng)安全的創(chuàng)新之處在于，首次將視角轉(zhuǎn)移到防火墻之后的業(yè)務(wù)系統(tǒng)內(nèi)部，強(qiáng)調(diào)基于業(yè)務(wù)自內(nèi)而外構(gòu)建安全體系，安全防護(hù)變成一項(xiàng)持續(xù)響應(yīng)和處理過(guò)程。

更重要的是安全監(jiān)控和實(shí)施直接運(yùn)作于每個(gè)業(yè)務(wù)單元而不是依賴于基礎(chǔ)設(shè)施或硬件，賦予企業(yè)更細(xì)粒度和更豐富的持續(xù)監(jiān)控和行為分析能力，企業(yè)安全運(yùn)維人員可以清楚掌控內(nèi)部系統(tǒng)異常運(yùn)作和外部攻擊行為，真正做到對(duì)多形態(tài)攻擊甚至高級(jí)攻擊的快速響應(yīng)恢復(fù)，同時(shí)自適應(yīng)任何基礎(chǔ)設(shè)施和業(yè)務(wù)變化。

其實(shí)，還有關(guān)鍵的一點(diǎn)張福沒(méi)提到的是，它可以自適應(yīng)任何平臺(tái)（私有云、混合云或公有云）。據(jù)張福介紹，青藤云的產(chǎn)品就是希望改變傳統(tǒng)以攔截防護(hù)為主的安全思路，提供有效可落實(shí)的安全防護(hù)，在平均反應(yīng)時(shí)間、平均修復(fù)時(shí)間、攻擊者駐留時(shí)間三大指標(biāo)做了優(yōu)化提升，盡量避免黑客攻擊帶來(lái)的安全事故的發(fā)生。

企業(yè)最好選擇一朵云，混合云或?qū)⑼顺鰵v史舞臺(tái)

云計(jì)算廠商在面臨黑客的持續(xù)攻擊，在不斷的調(diào)整策略、加大技術(shù)研發(fā)。那么對(duì)于企業(yè)來(lái)說(shuō)，他們需要怎樣的云服務(wù)？在鈦媒編輯與一些非云計(jì)算創(chuàng)業(yè)者的交流來(lái)看，他們對(duì)云服務(wù)的技術(shù)性名詞不甚了解，對(duì)云服務(wù)的要求很簡(jiǎn)單：低成本、安全度高。這就導(dǎo)致企業(yè)本身采用容災(zāi)備份和混合云等多種方式進(jìn)行搭配成為很普遍的選型問(wèn)題。

事實(shí)上，混合云因?yàn)閷⒐性坪退接性七M(jìn)行混合和匹配，提供了個(gè)性化的解決方案，達(dá)到了既省錢又安全的目的，逐漸成為云計(jì)算的主要模式。

不過(guò)，吳翰清的看法恰恰相反，他的建議是企業(yè)最好選擇一朵云，他還預(yù)言混合云將會(huì)退出歷史舞臺(tái)。

“把數(shù)據(jù)備份在兩朵或多個(gè)云里會(huì)讓成本成倍增加，同時(shí)數(shù)據(jù)遷移也會(huì)帶來(lái)巨大的成本?！?br />
吳翰清還作了一個(gè)比喻來(lái)說(shuō)明，

“這個(gè)過(guò)程會(huì)像第二次產(chǎn)業(yè)革命時(shí)期的電廠一樣，最早人們都想自己買個(gè)發(fā)電機(jī)，但最后都把發(fā)電交給了電廠。這個(gè)轉(zhuǎn)移發(fā)生的本質(zhì)實(shí)際上是信任。讓人們接受一項(xiàng)新技術(shù)需要時(shí)間，但最終人們會(huì)做出最有利于自己的選擇，這取決于技術(shù)成熟度?！?br />
所以當(dāng)云計(jì)算足夠穩(wěn)定和安全后，理智的客戶都只會(huì)選擇一朵云。

雖然目前國(guó)內(nèi)的云服務(wù)市場(chǎng)仍舊面臨一些問(wèn)題，但是不可否認(rèn)，云計(jì)算肯定會(huì)呈現(xiàn)爆發(fā)式增長(zhǎng)趨勢(shì)，IDC的一份報(bào)告就預(yù)計(jì)，2018年中國(guó)云計(jì)算市場(chǎng)將達(dá)到20億美元，美國(guó)云計(jì)算市場(chǎng)預(yù)計(jì)將增長(zhǎng)到750億美元。

安全，作為云服務(wù)關(guān)鍵的一環(huán)，承載著云服務(wù)廠商和企業(yè)之間商業(yè)模式的改變，從來(lái)都不是簡(jiǎn)單的技術(shù)問(wèn)題，一家企業(yè)要想不被黑是非常困難的，這不僅要防御做得好，本身內(nèi)部的問(wèn)題也得解決好。

雖然目前的云計(jì)算市場(chǎng)環(huán)境，呈現(xiàn)了BAT3派系之爭(zhēng)，但是也誕生了更垂直、細(xì)分的專業(yè)云服務(wù)廠商，市場(chǎng)也需要第三方立場(chǎng)的專業(yè)安全服務(wù)產(chǎn)品來(lái)激活市場(chǎng)。但未來(lái)云服務(wù)的最終目的是讓企業(yè)服務(wù)不再是奢侈品，讓互聯(lián)網(wǎng)企業(yè)無(wú)論規(guī)模大小業(yè)務(wù)領(lǐng)域，都能在一個(gè)公平、安全的互聯(lián)網(wǎng)環(huán)境中，低成本、高效率的成長(zhǎng)。（本文首發(fā)鈦媒體）