今日,各行各業(yè)想要探尋技術(shù)對(duì)產(chǎn)業(yè)價(jià)值的吸力�����,一個(gè)毋庸置疑的選擇�,就是——上云。
對(duì)于絕大部分公有云用戶來(lái)說(shuō)����,將業(yè)務(wù)遷移到云端的好處是顯而易見(jiàn)的。一方面��,云計(jì)算提供了節(jié)省成本����、加快某些流程的網(wǎng)絡(luò)方案,使企業(yè)管理和存儲(chǔ)信息變得更加容易;同時(shí)�����,利用云將AI的各種能力移植到產(chǎn)業(yè)�,也為不少傳統(tǒng)領(lǐng)域賦予了能量和新的想象空間���。
但基礎(chǔ)設(shè)施變革序幕的拉開(kāi)���,也意味著企業(yè)面臨的內(nèi)外部環(huán)境迎來(lái)前所未有的挑戰(zhàn)。在過(guò)去一年的時(shí)間里,全球主流的云服務(wù)廠商發(fā)生過(guò)數(shù)十起大規(guī)模宕機(jī)事件����,個(gè)別廠商甚至多次“中招”��,背后是成千上萬(wàn)個(gè)云端企業(yè)或項(xiàng)目的業(yè)務(wù)損失�,甚至夭折����。
顯而易見(jiàn),對(duì)公有云廠商來(lái)說(shuō)���,想要讓千行萬(wàn)業(yè)依托云計(jì)算構(gòu)筑新的產(chǎn)業(yè)效率壁壘�,進(jìn)而做好這門(mén)時(shí)代的大生意�,并非易事��。在我們看來(lái)�,至少需要回答好兩個(gè)問(wèn)題:一是如何減少公有云的安全隱患?另一個(gè)則是如何在深入產(chǎn)業(yè)的過(guò)程中讓企業(yè)重新理解云安全?
生于憂患的云安全水位
過(guò)去一兩年的時(shí)間里,即使是當(dāng)前應(yīng)用最為廣泛的云服務(wù)商���,從AWS���、微軟Azure到谷歌云、阿里云等��,任何一家都沒(méi)能實(shí)現(xiàn)100%的可靠性���。云服務(wù)的安全隱患�����,也一次次被突發(fā)的宕機(jī)事件推到風(fēng)口浪尖上��。
盡管事后云服務(wù)商都對(duì)造成網(wǎng)絡(luò)故障、數(shù)據(jù)損失的客戶進(jìn)行了一定的賠償�����,但比起“亡羊補(bǔ)牢”�,業(yè)內(nèi)人士與觀望者顯然都對(duì)宕機(jī)背后所折射出的云端安全問(wèn)題更加關(guān)注����,且心有余悸。云服務(wù)的安全機(jī)制與技術(shù)���,是時(shí)候來(lái)到“被變革”的拐點(diǎn)了嗎?
我們知道�,云計(jì)算與產(chǎn)業(yè)融合��,包含兩個(gè)層面的含義:一是通過(guò)共享式的云端服務(wù)器向各行各業(yè)提供更強(qiáng)大��、成本可控的網(wǎng)絡(luò)支持;二是向海量IoT物聯(lián)網(wǎng)設(shè)備提供龐大算力和智能技術(shù)落地,觸發(fā)邊緣智能與社會(huì)生產(chǎn)的融合�����。
云����,即生產(chǎn)力����,這一個(gè)充滿希望的市場(chǎng),也帶來(lái)了全新的問(wèn)題�。
首先��,隨著越來(lái)越多的企業(yè)將業(yè)務(wù)系統(tǒng)�����、敏感數(shù)據(jù)部署在云上,作為基礎(chǔ)網(wǎng)絡(luò)支撐的云服務(wù)器一旦宕機(jī)���,將像停電一樣,讓游戲�、電商、流媒體等移動(dòng)應(yīng)用直接癱瘓����,除了影響用戶體驗(yàn)與增長(zhǎng)�����,更有甚者還可能導(dǎo)致生死攸關(guān)的業(yè)務(wù)損失�。
如果說(shuō)前者映射的是傳統(tǒng)安全技術(shù)的升級(jí)需求�,那么物聯(lián)網(wǎng)時(shí)代設(shè)備間的互聯(lián)互通,則讓我們看到了云服務(wù)商未來(lái)突圍的標(biāo)準(zhǔn)線�����。
從勒索病毒頻發(fā)襲擊醫(yī)院����、銀行等的終端設(shè)備���,到智能家居、車(chē)聯(lián)網(wǎng)����、工業(yè)物聯(lián)網(wǎng)等邊緣智能的高速發(fā)展��,也反映了���,接入云服務(wù)之后面臨的復(fù)雜網(wǎng)絡(luò)環(huán)境與數(shù)據(jù)勾連,一旦宕機(jī)�,漏洞也很容易“被共享”��,然后讓黑客“一波帶走”����。抵御物聯(lián)網(wǎng)襲擊����,也成為用戶對(duì)云廠商技術(shù)實(shí)力的基本要求與信任坐標(biāo)��。
不難發(fā)現(xiàn)���,頻發(fā)的宕機(jī)事件背后��,其實(shí)正對(duì)應(yīng)著社會(huì)組織對(duì)云服務(wù)部署方式的躊躇����,以及云計(jì)算想要進(jìn)入復(fù)雜產(chǎn)業(yè)應(yīng)用所必備的安全水位�����。
蔽障叢生的云安全“天梯”
一場(chǎng)云巨頭間的安全攻防戰(zhàn)��,正一觸即發(fā)��。而站在此時(shí)此刻���,我們會(huì)發(fā)現(xiàn),云計(jì)算技術(shù)本身想要滿足社會(huì)應(yīng)用的需求��,其安全的“水槽”既有著先天的短板��,也在與惡意的斗法中不斷觸及新的瓶頸����。
比如云服務(wù)的共享性,某種程度上來(lái)說(shuō)就是云計(jì)算的先天隱患����。
我們知道�����,公有云服務(wù)商往往會(huì)通過(guò)共享技術(shù)設(shè)施��、平臺(tái)或應(yīng)用程度來(lái)實(shí)現(xiàn)規(guī)?�;?wù),這就需要部署大量的硬件�����,以及多種虛擬化管理組件���,如虛擬機(jī)監(jiān)視器�����、網(wǎng)絡(luò)策略控制器����,存儲(chǔ)控制器等等��,來(lái)實(shí)現(xiàn)多租戶共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的需要��。
而這樣用戶規(guī)模龐大�����、數(shù)據(jù)多樣化強(qiáng)的數(shù)據(jù)中心�����,卻更容易成為被攻擊的目標(biāo)��。從國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2018年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》中來(lái)看,云平臺(tái)已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)���,在各類(lèi)型的網(wǎng)絡(luò)安全事件數(shù)量中��,云平臺(tái)上的DDoS攻擊次數(shù)��、被植入后門(mén)的網(wǎng)站數(shù)量�、被篡改的網(wǎng)站數(shù)量占比均超過(guò)了50%��。
在這樣的環(huán)境下���,一旦某些軟件類(lèi)漏洞被惡意利用����,攻擊者可以輕松快速地覆蓋所有類(lèi)似的實(shí)例�,其他租戶自然也就在享受“即服務(wù)”便利的同時(shí),也把安全威脅也一起“共享”了��。
既然使用單一云讓人提心吊膽�����,那么把雞蛋(敏感數(shù)據(jù))放在不同的籃子(云)里�,能不能避免“火燒連營(yíng)”呢?
目前越來(lái)越多的企業(yè)開(kāi)始選用“多云”部署�����,選擇多個(gè)云服務(wù)供應(yīng)商互為主備作為災(zāi)備預(yù)案。也有的會(huì)租用多個(gè)云服務(wù)或自建機(jī)房�,讓私有云或?qū)S性苼?lái)承載關(guān)鍵服務(wù)與數(shù)據(jù)。
“混合云”方案在提升業(yè)務(wù)安全性的同時(shí)���,也意味著企業(yè)成本和技術(shù)復(fù)雜度會(huì)成倍地增加����。不一樣的資源管理���,不同的底層架構(gòu)���,不一致的安全工具,意味著企業(yè)需要更多的安全產(chǎn)品及運(yùn)維人員�,一旦內(nèi)部安全管理對(duì)整個(gè)IT系統(tǒng)缺少宏觀把控的視角,就很難在數(shù)據(jù)加密��、策略上達(dá)成統(tǒng)一�,從而讓不安全的API、混亂的密鑰身份管理等問(wèn)題趁虛而入��。
事實(shí)上�,從發(fā)現(xiàn)漏洞到被利用的平均時(shí)間每年都在減少,而正如Gartner公司在調(diào)查報(bào)告中預(yù)測(cè),“其實(shí)95%的云安全故障都是客戶(錯(cuò)誤操作)的錯(cuò)�����?�!?/p>
這里就不得不提到云安全的另一個(gè)“短板”�����,對(duì)于部署在云端系統(tǒng)的網(wǎng)絡(luò)�,保證企業(yè)存儲(chǔ)在云平臺(tái)中的內(nèi)容安全,被視為是云服務(wù)廠商的責(zé)任��。但僅僅靠云服務(wù)商還遠(yuǎn)遠(yuǎn)不夠�����,用戶相對(duì)應(yīng)的安全防護(hù)意識(shí)���、應(yīng)用能力����、控制能力不一定能及時(shí)跟進(jìn)��,也會(huì)進(jìn)一步加劇安全隱患�。
對(duì)此�����,安全軟件提供商XYPRO Technology公司表示���,“企業(yè)將其應(yīng)用程序遷移到云端�����,并不意味著可以將網(wǎng)絡(luò)安全責(zé)任轉(zhuǎn)移到云計(jì)算提供商身上�����?�!?
換句話說(shuō)����,在新的安全機(jī)制沒(méi)有達(dá)成共識(shí)之前��,漏洞與安全風(fēng)險(xiǎn)就會(huì)伴隨著云服務(wù)的狂熱迸發(fā)而愈演愈烈����,讓云服務(wù)廠商們?cè)谘a(bǔ)漏填坑中疲于奔命�。
總而言之����,新的攻擊方式、混亂的身份管理����、高級(jí)持續(xù)性威脅、惡意SaaS應(yīng)用�����、共享技術(shù)問(wèn)題等等���,都是云安全“水槽”要一一拔高的短板��。如何盡可能高效無(wú)死角地找到那些隱藏在意想不到的角落里的漏洞�,是云服務(wù)商搶奪市場(chǎng)����、建立優(yōu)勢(shì)的先決挑戰(zhàn)。
正在被AI治愈的“云恐慌”
當(dāng)然�,問(wèn)題也意味著機(jī)會(huì)�����。我們都知道,AI的強(qiáng)大算力與邏輯推理��,正在不斷與產(chǎn)業(yè)結(jié)合���,創(chuàng)造超出想象的經(jīng)濟(jì)價(jià)值�����。那么在安全實(shí)踐中�����,智能革命也能發(fā)揮作用嗎?
顯然��,不斷向產(chǎn)業(yè)端批量輸出AI能力的云服務(wù)商��,也正圍繞AI展開(kāi)了安全戰(zhàn)役賽點(diǎn)的“奪旗賽”���,來(lái)解決各個(gè)行業(yè)的顧慮,與不同企業(yè)云計(jì)算的落地需求����。
比如主打AI能力的谷歌云���,就在海外快速蠶食這AWS的市場(chǎng)份額;國(guó)內(nèi)我們耳熟能詳?shù)娜A為云、百度智能云�����、阿里云智能���,都將智能防御作為云解決方案中的核心能力�����。
總的來(lái)看���,AI的技術(shù)特質(zhì)正在被云服務(wù)商在安全全流程中全面調(diào)用,集體將云端安全推向了原生���、智能的位面:
首先是大規(guī)模數(shù)據(jù)的處理能力�����。我們知道�,云端需要部署多種安全設(shè)備和軟件,涉及到海量安全數(shù)據(jù)和重復(fù)報(bào)警��,依靠運(yùn)維人員人工在海量數(shù)據(jù)中提取有效的信息���,在云時(shí)代顯然不太現(xiàn)實(shí)��,而AI恰好是應(yīng)對(duì)規(guī)模數(shù)據(jù)的最優(yōu)解。
舉個(gè)例子����,AI對(duì)大規(guī)模、實(shí)時(shí)網(wǎng)絡(luò)安全威脅數(shù)據(jù)��,能夠快速對(duì)多源數(shù)據(jù)的清洗����、歸并和關(guān)聯(lián)分析,讓運(yùn)維人員能夠高效地掌握最新的安全事件��、重大漏洞等信息�,在風(fēng)險(xiǎn)挖掘、應(yīng)急響應(yīng)上���,達(dá)到人工所無(wú)法實(shí)現(xiàn)的準(zhǔn)確率���,來(lái)識(shí)別已知的高級(jí)威脅以及一些未知的新型攻擊���。
其次是推理決策能力。對(duì)于大企業(yè)和公共網(wǎng)絡(luò)來(lái)說(shuō)��,以漏洞為準(zhǔn)心的攻擊����,比如物聯(lián)網(wǎng)攻擊、勒索病毒劫持等等�,往往需要主動(dòng)預(yù)判來(lái)將防患于未然。而這是傳統(tǒng)型防火墻無(wú)法實(shí)現(xiàn)的�����,也將AI能力與云計(jì)算推向了主動(dòng)防御的結(jié)合點(diǎn)���。
比如在用戶行為分析上��,引入AI對(duì)IP�����、指紋���、歷史行為等多維數(shù)據(jù)進(jìn)行分析��,精準(zhǔn)地刻畫(huà)用戶畫(huà)像���、挖掘風(fēng)險(xiǎn)點(diǎn),建立異常檢測(cè)模型來(lái)感知異常行為并預(yù)警����,從而有效避免內(nèi)外部威脅。
此外�,AI還能夠利用起深度學(xué)習(xí)技術(shù)來(lái)模擬自動(dòng)化攻擊����,來(lái)提供安全問(wèn)題的自動(dòng)化監(jiān)測(cè)和修復(fù)。比如微軟Azure就打造了一套芯片����、云和操作系統(tǒng)一整條的云計(jì)算安全運(yùn)行鏈。
除了在外部攻擊端通過(guò)智能自動(dòng)化來(lái)提質(zhì)增效之外����,AI在企業(yè)內(nèi)部安全管理上的優(yōu)化,也進(jìn)一步提高了云計(jì)算的安全水位����。
其中比較典型的智能化安全產(chǎn)品��,比如態(tài)勢(shì)感知平臺(tái)��。通過(guò)AI對(duì)能夠引起云環(huán)境態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取����、理解�����、預(yù)測(cè)�����,能夠有效對(duì)虛擬機(jī)等云資產(chǎn)進(jìn)行動(dòng)態(tài)變化管理和處理��。同時(shí)�,利用AI的彈性識(shí)別,云平臺(tái)能夠?qū)β┒吹膬?yōu)先級(jí)進(jìn)行優(yōu)先級(jí)排序�,利用NLP技術(shù)結(jié)合網(wǎng)絡(luò)上下文分析企業(yè)安全的暴露面,評(píng)估對(duì)業(yè)務(wù)的影響��,優(yōu)先修復(fù)風(fēng)險(xiǎn)最大的漏洞。
另外�,內(nèi)部秘鑰的智能化管理,也讓企業(yè)安全變得可控�、透明、合規(guī)�。AI可以在動(dòng)態(tài)環(huán)境中授于不同人不同權(quán)限,實(shí)現(xiàn)云端系統(tǒng)的精細(xì)化管理���,讓任何人在任何時(shí)間��、任何地點(diǎn)�,正確地訪問(wèn)相應(yīng)資源��,統(tǒng)一管理好內(nèi)部的邊界安全����。
如果說(shuō)“多云戰(zhàn)略”是企業(yè)為自身云安全所上的一份雙保險(xiǎn)�����,那么智能安全�,也正在云服務(wù)玩家自身基礎(chǔ)服務(wù)穩(wěn)定性的佐證,也是說(shuō)服用戶的戰(zhàn)略性選擇����。
某種意義上來(lái)說(shuō)�,云服務(wù)深入產(chǎn)業(yè)核心的過(guò)程中����,往往不僅是技術(shù)問(wèn)題,安全意識(shí)����、市場(chǎng)教育能力,包括對(duì)成本的考量��,都會(huì)讓這場(chǎng)云巨頭的博弈充滿變數(shù)��。而AI����,正是成為讓大量未知因素與“黑天鵝”被提前鎖定的產(chǎn)業(yè)“基座”。
