今日���,各行各業(yè)想要探尋技術對產業(yè)價值的吸力���,一個毋庸置疑的選擇,就是——上云����。
對于絕大部分公有云用戶來說,將業(yè)務遷移到云端的好處是顯而易見的����。一方面���,云計算提供了節(jié)省成本��、加快某些流程的網絡方案�,使企業(yè)管理和存儲信息變得更加容易;同時,利用云將AI的各種能力移植到產業(yè)�����,也為不少傳統(tǒng)領域賦予了能量和新的想象空間�。
但基礎設施變革序幕的拉開,也意味著企業(yè)面臨的內外部環(huán)境迎來前所未有的挑戰(zhàn)�����。在過去一年的時間里����,全球主流的云服務廠商發(fā)生過數(shù)十起大規(guī)模宕機事件,個別廠商甚至多次“中招”�,背后是成千上萬個云端企業(yè)或項目的業(yè)務損失,甚至夭折����。
顯而易見,對公有云廠商來說���,想要讓千行萬業(yè)依托云計算構筑新的產業(yè)效率壁壘�,進而做好這門時代的大生意,并非易事����。在我們看來,至少需要回答好兩個問題:一是如何減少公有云的安全隱患?另一個則是如何在深入產業(yè)的過程中讓企業(yè)重新理解云安全?
生于憂患的云安全水位
過去一兩年的時間里���,即使是當前應用最為廣泛的云服務商�,從AWS����、微軟Azure到谷歌云、阿里云等�,任何一家都沒能實現(xiàn)100%的可靠性。云服務的安全隱患�����,也一次次被突發(fā)的宕機事件推到風口浪尖上�����。
盡管事后云服務商都對造成網絡故障���、數(shù)據(jù)損失的客戶進行了一定的賠償��,但比起“亡羊補牢”��,業(yè)內人士與觀望者顯然都對宕機背后所折射出的云端安全問題更加關注�,且心有余悸�。云服務的安全機制與技術,是時候來到“被變革”的拐點了嗎?
我們知道�,云計算與產業(yè)融合,包含兩個層面的含義:一是通過共享式的云端服務器向各行各業(yè)提供更強大�����、成本可控的網絡支持;二是向海量IoT物聯(lián)網設備提供龐大算力和智能技術落地�,觸發(fā)邊緣智能與社會生產的融合。
云�����,即生產力����,這一個充滿希望的市場,也帶來了全新的問題����。
首先�,隨著越來越多的企業(yè)將業(yè)務系統(tǒng)��、敏感數(shù)據(jù)部署在云上��,作為基礎網絡支撐的云服務器一旦宕機�����,將像停電一樣��,讓游戲�、電商、流媒體等移動應用直接癱瘓��,除了影響用戶體驗與增長���,更有甚者還可能導致生死攸關的業(yè)務損失����。
如果說前者映射的是傳統(tǒng)安全技術的升級需求����,那么物聯(lián)網時代設備間的互聯(lián)互通,則讓我們看到了云服務商未來突圍的標準線。
從勒索病毒頻發(fā)襲擊醫(yī)院�、銀行等的終端設備,到智能家居�����、車聯(lián)網�����、工業(yè)物聯(lián)網等邊緣智能的高速發(fā)展����,也反映了����,接入云服務之后面臨的復雜網絡環(huán)境與數(shù)據(jù)勾連,一旦宕機��,漏洞也很容易“被共享”�,然后讓黑客“一波帶走”。抵御物聯(lián)網襲擊��,也成為用戶對云廠商技術實力的基本要求與信任坐標���。
不難發(fā)現(xiàn)�����,頻發(fā)的宕機事件背后����,其實正對應著社會組織對云服務部署方式的躊躇,以及云計算想要進入復雜產業(yè)應用所必備的安全水位�����。
蔽障叢生的云安全“天梯”
一場云巨頭間的安全攻防戰(zhàn)�,正一觸即發(fā)。而站在此時此刻���,我們會發(fā)現(xiàn)��,云計算技術本身想要滿足社會應用的需求����,其安全的“水槽”既有著先天的短板�����,也在與惡意的斗法中不斷觸及新的瓶頸。
比如云服務的共享性���,某種程度上來說就是云計算的先天隱患��。
我們知道�����,公有云服務商往往會通過共享技術設施、平臺或應用程度來實現(xiàn)規(guī)?��;?��,這就需要部署大量的硬件,以及多種虛擬化管理組件�,如虛擬機監(jiān)視器、網絡策略控制器����,存儲控制器等等,來實現(xiàn)多租戶共享硬件并隔離業(yè)務和數(shù)據(jù)的需要����。
而這樣用戶規(guī)模龐大、數(shù)據(jù)多樣化強的數(shù)據(jù)中心,卻更容易成為被攻擊的目標�。從國家互聯(lián)網應急中心發(fā)布的《2018年互聯(lián)網網絡安全報告》中來看,云平臺已成為發(fā)生網絡攻擊的重災區(qū)�����,在各類型的網絡安全事件數(shù)量中�����,云平臺上的DDoS攻擊次數(shù)�、被植入后門的網站數(shù)量、被篡改的網站數(shù)量占比均超過了50%����。
在這樣的環(huán)境下,一旦某些軟件類漏洞被惡意利用����,攻擊者可以輕松快速地覆蓋所有類似的實例,其他租戶自然也就在享受“即服務”便利的同時����,也把安全威脅也一起“共享”了。
既然使用單一云讓人提心吊膽�����,那么把雞蛋(敏感數(shù)據(jù))放在不同的籃子(云)里,能不能避免“火燒連營”呢?
目前越來越多的企業(yè)開始選用“多云”部署���,選擇多個云服務供應商互為主備作為災備預案�����。也有的會租用多個云服務或自建機房����,讓私有云或專有云來承載關鍵服務與數(shù)據(jù)���。
“混合云”方案在提升業(yè)務安全性的同時,也意味著企業(yè)成本和技術復雜度會成倍地增加���。不一樣的資源管理����,不同的底層架構�����,不一致的安全工具,意味著企業(yè)需要更多的安全產品及運維人員����,一旦內部安全管理對整個IT系統(tǒng)缺少宏觀把控的視角,就很難在數(shù)據(jù)加密����、策略上達成統(tǒng)一,從而讓不安全的API�����、混亂的密鑰身份管理等問題趁虛而入��。
事實上����,從發(fā)現(xiàn)漏洞到被利用的平均時間每年都在減少,而正如Gartner公司在調查報告中預測���,“其實95%的云安全故障都是客戶(錯誤操作)的錯�����?���!?/p>
這里就不得不提到云安全的另一個“短板”,對于部署在云端系統(tǒng)的網絡�����,保證企業(yè)存儲在云平臺中的內容安全�,被視為是云服務廠商的責任。但僅僅靠云服務商還遠遠不夠�,用戶相對應的安全防護意識、應用能力���、控制能力不一定能及時跟進���,也會進一步加劇安全隱患。
對此�����,安全軟件提供商XYPRO Technology公司表示��,“企業(yè)將其應用程序遷移到云端�,并不意味著可以將網絡安全責任轉移到云計算提供商身上��。”
換句話說����,在新的安全機制沒有達成共識之前,漏洞與安全風險就會伴隨著云服務的狂熱迸發(fā)而愈演愈烈��,讓云服務廠商們在補漏填坑中疲于奔命�����。
總而言之���,新的攻擊方式�、混亂的身份管理��、高級持續(xù)性威脅�、惡意SaaS應用、共享技術問題等等�,都是云安全“水槽”要一一拔高的短板。如何盡可能高效無死角地找到那些隱藏在意想不到的角落里的漏洞�����,是云服務商搶奪市場�、建立優(yōu)勢的先決挑戰(zhàn)�����。
正在被AI治愈的“云恐慌”
當然����,問題也意味著機會���。我們都知道�,AI的強大算力與邏輯推理�,正在不斷與產業(yè)結合,創(chuàng)造超出想象的經濟價值��。那么在安全實踐中�,智能革命也能發(fā)揮作用嗎?
顯然,不斷向產業(yè)端批量輸出AI能力的云服務商����,也正圍繞AI展開了安全戰(zhàn)役賽點的“奪旗賽”,來解決各個行業(yè)的顧慮��,與不同企業(yè)云計算的落地需求��。
比如主打AI能力的谷歌云�,就在海外快速蠶食這AWS的市場份額;國內我們耳熟能詳?shù)娜A為云、百度智能云���、阿里云智能����,都將智能防御作為云解決方案中的核心能力�����。
總的來看���,AI的技術特質正在被云服務商在安全全流程中全面調用�����,集體將云端安全推向了原生��、智能的位面:
首先是大規(guī)模數(shù)據(jù)的處理能力����。我們知道�����,云端需要部署多種安全設備和軟件,涉及到海量安全數(shù)據(jù)和重復報警����,依靠運維人員人工在海量數(shù)據(jù)中提取有效的信息,在云時代顯然不太現(xiàn)實���,而AI恰好是應對規(guī)模數(shù)據(jù)的最優(yōu)解�����。
舉個例子�,AI對大規(guī)模�、實時網絡安全威脅數(shù)據(jù),能夠快速對多源數(shù)據(jù)的清洗����、歸并和關聯(lián)分析,讓運維人員能夠高效地掌握最新的安全事件��、重大漏洞等信息�,在風險挖掘、應急響應上�,達到人工所無法實現(xiàn)的準確率,來識別已知的高級威脅以及一些未知的新型攻擊。
其次是推理決策能力�。對于大企業(yè)和公共網絡來說����,以漏洞為準心的攻擊,比如物聯(lián)網攻擊��、勒索病毒劫持等等��,往往需要主動預判來將防患于未然�����。而這是傳統(tǒng)型防火墻無法實現(xiàn)的����,也將AI能力與云計算推向了主動防御的結合點。
比如在用戶行為分析上�����,引入AI對IP����、指紋、歷史行為等多維數(shù)據(jù)進行分析,精準地刻畫用戶畫像��、挖掘風險點��,建立異常檢測模型來感知異常行為并預警�,從而有效避免內外部威脅。
此外���,AI還能夠利用起深度學習技術來模擬自動化攻擊��,來提供安全問題的自動化監(jiān)測和修復�����。比如微軟Azure就打造了一套芯片�、云和操作系統(tǒng)一整條的云計算安全運行鏈����。
除了在外部攻擊端通過智能自動化來提質增效之外,AI在企業(yè)內部安全管理上的優(yōu)化����,也進一步提高了云計算的安全水位。
其中比較典型的智能化安全產品�,比如態(tài)勢感知平臺���。通過AI對能夠引起云環(huán)境態(tài)勢發(fā)生變化的安全要素進行獲取、理解�、預測,能夠有效對虛擬機等云資產進行動態(tài)變化管理和處理�。同時�,利用AI的彈性識別,云平臺能夠對漏洞的優(yōu)先級進行優(yōu)先級排序���,利用NLP技術結合網絡上下文分析企業(yè)安全的暴露面��,評估對業(yè)務的影響�,優(yōu)先修復風險最大的漏洞��。
另外�,內部秘鑰的智能化管理,也讓企業(yè)安全變得可控���、透明��、合規(guī)���。AI可以在動態(tài)環(huán)境中授于不同人不同權限�����,實現(xiàn)云端系統(tǒng)的精細化管理�,讓任何人在任何時間����、任何地點,正確地訪問相應資源�����,統(tǒng)一管理好內部的邊界安全�。
如果說“多云戰(zhàn)略”是企業(yè)為自身云安全所上的一份雙保險,那么智能安全�����,也正在云服務玩家自身基礎服務穩(wěn)定性的佐證���,也是說服用戶的戰(zhàn)略性選擇�����。
某種意義上來說��,云服務深入產業(yè)核心的過程中�����,往往不僅是技術問題�,安全意識、市場教育能力��,包括對成本的考量����,都會讓這場云巨頭的博弈充滿變數(shù)�。而AI,正是成為讓大量未知因素與“黑天鵝”被提前鎖定的產業(yè)“基座”�����。
