如何实现“默认安全”?这是云服务商的下一道考题

文 | 湖诌

根据Gartner的预测数据显示,2017年云服务市场将增长38.6%,年底将达到346亿美元,2021年将达到715.5亿美元。随着公有云服务效能的不断提升,未来几年云服务市场将保持着高速增长的态势。

但是,公有云面临的增长瓶颈也非常明显。据CSA的最新调查报告显示,未来一年内仍有46.2%的企业选择留在传统数据中心,主要顾虑就是安全因素。

网络安全环境正在持续恶化

据CDN服务商Akamai发布的二季度安全报告显示,2017年全球 DDoS 攻击的次数上升了28%,且攻击已呈现产业化趋势——“僵尸网络”工具包与DDoS出租服务层出不穷,DDoS 攻击的实施门槛飞速降低,初级的网络犯罪分子也可以通过控制服务器、肉鸡等资源,发动对骨干网络、重要网络设施、政企网站等互联网目标的攻击,致使目标服务器断网,最终停止提供服务。DDoS 攻击已成为网络敲诈金钱、窃取数据、同行恶意竞争的首选武器。

还有一个增长较快的问题是网络黑产从业者用恶意IP地址尝试登录用户账户。据微软发布的数据显示,Azure平台上的这种攻击行为,从2016年Q1到2017年Q1增长了44%。

此外,绝大多数云计算用户目前还存在密码可靠性差、密码管理差,也容易遭到有针对性的网络钓鱼攻击。

另一个侧面是公有云安全责任的划分问题

譬如亚马逊云服务AWS在2017年就接连出现多起安全事件:2月份,亚马逊AWS S3发生宕机,导致AWS历史上公共云服务出错最长且影响最大的一次事故;7月份,AWS S3再次爆出云数据安全事件——由于云存储服务器上的配置错误,包括《华尔街日报》订户在内的220万道琼斯“私密信息”都遭到未经授权的访问;8月份,一台未受密码保护的AWS设备上的漏洞,泄露了美国180多万居民的个人信息;

这些问题虽然严重,但却很难苛求亚马逊官方对此负全责,因为云计算行业公认“责任共担模型”,也就是说,在全项云服务中,亚马逊只负责维护和监控基础设施的安全,而云计算中的安全应由客户自己负责。

说的具象一些,客户如果买的是虚拟机业务,那么机器被入侵时,客户应该自己来解决应用层面的安全漏洞,因为云服务商无法触达用户的应用层面。

所以“共享责任模型”给了客户一个提醒,安全不能完全依赖云服务商,还要不断提升自身在应用层面的安全保障措施,毕竟应用层的管理权限完全在用户自己手中。

如何实现云服务的“默认安全”?

在PC时代的时候,几乎所有的Windows电脑都会装杀毒软件,但在移动时代,iPhone里面基本不会安装杀毒软件,这是因为苹果在产品出场前就把安全架构搭建完成,把“默认安全”做到了极致。当用户使用手机时,基本不需要考虑安全问题。

云服务应用层面的安全责任虽然在用户,但服务商也应该在全项服务中提供足够丰富的安全产品来作为支持性服务。

或许是某种默契,在今年9月,全球几家主流云服务商均有所行动:

微软在9月14日宣布与英特尔合作,向客户提供名为“Azure加密计算”的安全服务。当大量安全隐患爆发时,这项技术可以对数据进行加密,客户信息将放置在虚拟飞地中,这基本上是一个可以让客户外的任何人(包括微软本身)与客户数据隔绝的黑盒子,无论是外部攻击者还是怀有恶意的内部员工均无法得到客户数据。

紧随其后,谷歌在9月15日研发了一套基于云服务的开源工具Forseti Security,它使得开发人员和安全团队共同合作,确保在云产品开发阶段的每个步骤都能遵循安全协议。另外,谷歌在2016年就上线了帮助网站应对DDoS攻击的免费护盾项目“Project Shield”,它能够帮云服务客户来重定向、清洗垃圾流量,帮助小网站在遭受DDoS攻击期间继续运行。

国内的阿里云在9月28日正式发布了企业云安全架构,采用了“平台-用户”双层安全保障模式,涵盖业务、运营、数据、网络、应用、主机、账号、云产品、虚拟化、硬件、物理安全等11个维度共45个模块。主要亮点有以下几处:

1、强调硬件安全,阿里云将推出“芯片级加密”的服务,直接在CPU里面提供直接加密的服务。

2、与苹果iOS系统的安全理念类似,在云产品这一层,阿里云在ECS、OSS存储,包括RDS等产品出厂前就进行了全面的安全设计,在安全框架以及代码安全方面进行了足够大的工程量,确保用户使用产品时能做到默认安全。

3、在恶意攻击的感知与响应方面,阿里云有着丰厚的技术与数据积累。据阿里云安全资深总监肖力介绍,在上半年勒索病毒WannaCry爆发前28天,阿里云技术团队就已感知到漏洞,并进行了详细分析与预测,给用户提供了解决方案。在病毒爆前,阿里云就已经推动客户把漏洞风险规避掉了。事实上,勒索病毒并没有对阿里云上的客户造成什么影响。

“态势感知”在应对网络黑产时也能起到相当大的作用。通过深度学习平台对800万黑产样本模型进行学习、提升“侦探经验”,阿里云可以配合警方对黑产案件进行智能关联,圈出嫌疑犯,出关键线索。

4、传统IDC机房给客户提供的是独立环境,现在到了公有云的共享环境中,数据安全其实是很多的企业非常关心的点。在这方面,阿里云提供了全栈加密机制,涉及到秘钥的安全管理,多个产品加密之间的对接,传输链路加密等一系列技术。

另外,针对用户安全层面的问题,阿里云其实从2012年上线了“云盾”产品,集成了云服务全维度的安全保障,无论是先验的监控、预警,还是后验的防御响应,能够给客户提供足够多的选项。