|
【PConline 资讯】现在,怕是已经没有几个IT主管还在讨论“我的工作负载要不要放到云上”这种问题了。然而,企业对于云安全的担忧,正在随着云产业的发展而快速增长。云产业中时常爆发的安全问题,也在不断撩拨着企业IT主管们的神经。
就在上周末,互联网产业中爆出大案——京东50亿条个人信息涉嫌泄露,原因是网络安全部员工监守自盗,与信息安全犯罪团伙合作,将个人信息盗卖给不法分子。
虽然这起大案发生在京东自己的IT系统中,但京东同时也是国内公有云服务的主要提供商之一,自家的系统跑在云中——“2016年京东618大促期间,京东云带宽扩容数百G,从容抵挡大量流量瞬间爆增带来的冲击,100%的订单在云上完成。”而与此同时,也为数以万计的企业提供基础设施、平台等不同层级的云服务。
两周以前在遥远的太平洋彼岸,一场云安全意外同样让大大小小的企业信息主管们神经衰弱了一场。全球最大的云计算服务提供者亚马逊AWS由于软件工程师的误操作,导致S3服务(简单存储服务)出现中断。 简单来说,S3服务是一种高性价比的海量存储服务,企业一旦将应用迁移到AWS云端,基本都会使用这种服务,并且将这一服务与同样由AWS提供的、其他更多的服务关联。 这下可好,S3服务挂掉,这些关联的服务调用不到数据,也跟着一起遭了殃。运行在AWS上的一大堆互联网应用——包括Expedia、GitLab、GitHub、GroupMe、IFTTT、Medium、Nest、Quora、Slack、The Verge、Trello、Twitch、Wix等也跟着AWS一起下线。 我想这些用了AWS S3服务的公司,信息主管当天的表情一定是这样子的:
“云端是不是比用户端安全?答案显而易见。无论是亚马逊、京东还是谷歌、IBM、微软、阿里这些云服务商,养着全世界明面上最顶尖的技术大牛。论防火防盗的本事,与一般中小企业的IT部门比起来,技术实力差距显而易见—— 然而,企业把业务放到云端,面临的安全形势却要比放在自家保险库里时严峻得多——哪个犯罪组织、犯罪集团的战斗力能与警察相比?如果按照“我比你能力强就能制止你的所有攻击”这样的理论,现在世界上早就应该已经消灭了犯罪——单纯按战斗力来推演,无异于纸上谈兵。 更重要的事情:是不是网络犯罪一定会选择那些安全防护能力比较差的IT环境下手?好比一个抢劫对象是街头的711便利店,另一个选择是荷枪实弹的运钞车。劫匪会抢哪个?现实中的情况,是两个对象都有可能成为犯罪分子作案的对象。战斗力只有5的家伙当然会想抢个ATM划算,但战力高的家伙肯定就不会这样想——老子有刀有枪有犯罪经验,就抢个钱包,划算不划算?跌份不跌份?
由此引入第三个问题,则是发生安全事件的破坏性——企业自己的IT系统出状况,好比骑自行车翻了车,最多是摔断腿摔破头。而如果承载者千万企业的云出了安全问题——那事儿就大了:
第四,技术大牛华丽变身内鬼的时候,企业面临的安全威胁会提升无数个数量级——从京东的案子来看,由于有人的主观能动作用在里面,单纯依靠技术防范这种安全问题是没有效果的。自己的核心数据放在别人的平台上,相信不光是信息主管,就连老板们也睡不踏实。 安全问题频发,相信也给全世界主要的云服务提供者们敲响了警钟。对已经成为千万企业业务承载核心和网络安全犯罪者觊觎对象的他们来说,没有最安全,只有更安全。只是比企业自建机房的安全性高可不够,要高出一定的数量级——至少要像银行金库和个人小坤包那么大的安全性差距——,企业信息主管才有可能放心地把业务交给这些陌生人。[返回频道首页] |
