你會(huì )擔心云安全的問(wèn)題嗎?有統計數據顯示,安全問(wèn)題仍然是阻礙用戶(hù)選擇云服務(wù)的主要障礙。對于電商來(lái)說(shuō),它們的“根”扎在云上,因此云安全問(wèn)題是電商企業(yè)CIO最關(guān)注的問(wèn)題之一。
2014年12月20日,阿里云計算發(fā)布聲明稱(chēng),部署在阿里云上的一家知名游戲公司遭遇了全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊,攻擊時(shí)長(cháng)14個(gè)小時(shí),攻擊峰值流量達到每秒453.8G。從趨勢看,未來(lái)這種針對云的攻擊會(huì )越來(lái)越多。電商企業(yè)CIO應該如何正確看待云安全的問(wèn)題呢?
其實(shí),安全問(wèn)題一直都存在。在云出現以前,即使在物理的世界中,各種計算機病毒、黑客攻擊等也屢見(jiàn)不鮮。很多人想當然地認為,“云”看不見(jiàn)摸不著(zhù),將數據存放在云中一定是有安全隱患的。其實(shí),物理世界并不比云環(huán)境更安全。在設計云架構時(shí),人們已經(jīng)充分考慮到了安全問(wèn)題,在技術(shù)上盡量避免和防止各種安全漏洞和攻擊。如果在現實(shí)世界中你放心將錢(qián)存在銀行,那么你也可以相信,有能力的云服務(wù)商可以保證云的基本安全。
云安全的問(wèn)題客觀(guān)存在。就像中國經(jīng)濟進(jìn)入了“新常態(tài)”,安全問(wèn)題也處于一種“新常態(tài)”,要經(jīng)常講、反復講。對于電商企業(yè)的CIO而言,應該在戰略上藐視云安全的問(wèn)題,同時(shí)又應該在戰術(shù)上重視解決云安全的方法。現在,公有云服務(wù)商都十分重視安全問(wèn)題。許多云服務(wù)商都與專(zhuān)業(yè)的安全廠(chǎng)商、數據備份和容災廠(chǎng)商結成了緊密的戰略合作關(guān)系,從各個(gè)層面彌補或增強云的安全。還有一些廠(chǎng)商開(kāi)始嘗試提供基于公有云的安全服務(wù),幫助企業(yè)建立一個(gè)混合云的安全環(huán)境。
對多數電商企業(yè)來(lái)說(shuō),首要考慮的是專(zhuān)注于業(yè)務(wù)創(chuàng )新,因而缺乏IT方面的知識和技能。由于經(jīng)驗、精力和技術(shù)能力的缺乏,電商企業(yè)通常難以獨立打造一個(gè)足夠安全的應用環(huán)境。而云服務(wù)提供商則不同,他們是專(zhuān)業(yè)的IT資源提供商,打造一個(gè)相對更安全的服務(wù)環(huán)境是他們的本職工作,因此在安全方面他們更專(zhuān)業(yè)。云服務(wù)商不僅可以提供全面的安全保護措施,而且可以提供多重的數據備份、容災和數據保護功能,進(jìn)一步提升云基礎設施的穩定性和可靠性。電商企業(yè)如果選擇了一個(gè)值得信賴(lài)、且具有專(zhuān)業(yè)安全技能的云服務(wù)商,那么就不用過(guò)多擔心運營(yíng)的安全問(wèn)題,又可以專(zhuān)注在自己的業(yè)務(wù)拓展上,可謂一舉兩得。
傳統的網(wǎng)絡(luò )安全思路是,先明確網(wǎng)絡(luò )、服務(wù)的邊界,將外來(lái)的攻擊與企業(yè)的內部隔離開(kāi),防火墻就是企業(yè)與互聯(lián)網(wǎng)之間的“隔離墻”或“防盜門(mén)”。因此,為了避免安全問(wèn)題,大多數企業(yè)通常更容易接受私有云,而對公有云敬而遠之。在云服務(wù)模式下,網(wǎng)絡(luò )的邊界被打破,這也是為什么現在更流行講無(wú)邊界安全。目前,云服務(wù)商大多采用用戶(hù)身份鑒別等技術(shù),但也難以完全避免安全入侵。最簡(jiǎn)單、最容易實(shí)現的拒絕服務(wù)攻擊就可能讓用戶(hù)的云業(yè)務(wù)中斷。你可以回想一下,在公有云興起后,隨之而來(lái)就是公有云服務(wù)中斷的信息不斷曝光。這進(jìn)一步加劇了用戶(hù)對云服務(wù)安全的擔心。
公有云目前主要面臨哪些安全問(wèn)題呢?比如安全防護問(wèn)題,有些云服務(wù)廠(chǎng)商因為沒(méi)有提供直接的管控模塊,對于可能發(fā)生的安全攻擊,部分采取外包的形式交給第三方來(lái)提供,所以容易造成云端防護不完全可控。還有比較常見(jiàn)的數據安全問(wèn)題。由于公有云開(kāi)放程度高,如果在公有云上傳輸或存儲敏感度高、價(jià)值高的數據,那么用戶(hù)對數據的安全性和合規性的要求也比較高。
目前,云計算并沒(méi)有一個(gè)業(yè)界的統一標準。不同國家、不同行業(yè)對安全性和合規性的要求也有所不同。用戶(hù)在選擇云服務(wù)商時(shí),應該特別注意云服務(wù)商能夠提供什么樣的安全防護等級和安全服務(wù)內容。
云安全不僅僅是技術(shù)層面的問(wèn)題,更重要的還包括服務(wù)質(zhì)量、市場(chǎng)規則、法律法規等方面的問(wèn)題。無(wú)論如何,安全問(wèn)題作為公有云服務(wù)必須解決的首要問(wèn)題,必須引起廣泛關(guān)注和重視。
現在,在公有云平臺上,DDoS攻擊是一種威脅很大的安全攻擊。一些將業(yè)務(wù)托管在公有云上的業(yè)務(wù)成長(cháng)迅速的企業(yè)很容易受到DDoS攻擊。DDoS的攻擊方式有很多種,最基本的攻擊就是利用合理的服務(wù)請求來(lái)占用過(guò)多的服務(wù)器資源,從而使合法用戶(hù)無(wú)法得到服務(wù)器響應。2014年2月,美國一家提供云安全服務(wù)的公司CloudFlare受到了DDoS攻擊,攻擊造成包括4chan和維基解密在內的78.5萬(wàn)個(gè)網(wǎng)站安全服務(wù)受到影響。2013年3月,歐洲反垃圾郵件機構Spamhaus也曾遭遇300G攻擊,導致全球互聯(lián)網(wǎng)大堵塞。現在,一些公有云服務(wù)商還無(wú)法有效應對DDoS攻擊,在流量突然增加并超過(guò)預先設定的閥值時(shí),有些云服務(wù)商就會(huì )關(guān)閉相關(guān)的IP地址,致使用戶(hù)的業(yè)務(wù)受到嚴重影響。
亞馬遜AWS、蘋(píng)果iCloud、Facebook、Dropbox等知名的云服務(wù)商都曾經(jīng)飽嘗云服務(wù)中斷之苦,少則幾小時(shí),多則幾十個(gè)小時(shí),給客戶(hù)和云服務(wù)商本身都造成了不可彌補的經(jīng)濟和名譽(yù)損失。用戶(hù)必須要求云服務(wù)商提供特定的安全功能、文檔安全保護功能,并提供所有安全政策和方案,以及安全報告的副本等。
用戶(hù)在選擇云服務(wù)商時(shí)應遵循以下幾項原則:第一,云服務(wù)商能夠提供基本的安全服務(wù)和保障功能;第二,云服務(wù)商必須具備在出現安全問(wèn)題時(shí)能及時(shí)消除安全隱患的能力;三,用戶(hù)要和云服務(wù)商簽定服務(wù)水平協(xié)議(SLA),其中要明確規定對安全問(wèn)題的處理方式和出現損失后的賠償方式等。
舉例來(lái)講,作為全球領(lǐng)先的管理式云公司,Rackspace在云服務(wù)方面有多年的運維經(jīng)驗。Rackspace提供保證的服務(wù)水平協(xié)議(SLA),其專(zhuān)業(yè)團隊將全天候監察和管理所有服務(wù)器,確保服務(wù)器100%正常運行,并在出現問(wèn)題時(shí)及時(shí)響應。Rackspace的熱誠服務(wù)(Fanatical Support),使其在安全問(wèn)題出現之前就將安全隱患扼殺在搖籃里。而在安全問(wèn)題出現時(shí),又能夠及時(shí)響應,幫助用戶(hù)及時(shí)排除安全故障。這就是Rackspace所具有的企業(yè)級服務(wù)的優(yōu)勢。此外,Rackspace在全球擁有多個(gè)高等級的數據中心,具有極高的可靠性。對于想在全球范圍內拓展業(yè)務(wù)的中國電商客戶(hù)來(lái)說(shuō),Rackspace可以提供全方位、遍及全球的云服務(wù)。
安全其實(shí)是一種應用體驗。特別是像電商這樣的用戶(hù),它們要給消費者提供優(yōu)質(zhì)、流暢的線(xiàn)上購物體驗,而這一體驗的獲得要有像Rackspace這樣能夠提供安全、可靠的云服務(wù)的供應商作為堅強后盾。
