公有云比私有云更安全?這似乎與慣性思維恰恰相反……

[[191476]] 

3天，150個(gè)國(guó)家，20余萬(wàn)臺(tái)機(jī)器中毒，始于上周五的WannaCry索病毒真的讓很多人急了。

美國(guó)聯(lián)邦快遞FedEx、西班牙電信運(yùn)營(yíng)商Telefonica、法國(guó)汽車(chē)制造商雷諾、德國(guó)聯(lián)邦鐵路系統(tǒng)以及俄羅斯內(nèi)政部紛紛中招，最深受其害的是英國(guó)公眾醫(yī)療系統(tǒng)，手術(shù)排期被擾亂，患者無(wú)法實(shí)施搶救，而在中國(guó)，數(shù)所大學(xué)、政務(wù)網(wǎng)站、出入境公安網(wǎng)，甚至加油站都已經(jīng)被爆出現(xiàn)問(wèn)題。

德國(guó)聯(lián)邦鐵路系統(tǒng)中毒后的候車(chē)大廳屏幕

表面上看，勒索病毒索要比特幣，但企業(yè)機(jī)構(gòu)因此而引發(fā)的后果往往是人財(cái)兩失，這也是服務(wù)器主機(jī)安全防護(hù)對(duì)穩(wěn)定性和性能更為強(qiáng)調(diào)，對(duì)事前防護(hù)更為看中的原因。

WannaCry勒索病毒這一重大信息安全事件雖已漸漸平息，但也引發(fā)了更深層次的思考：

• 把數(shù)據(jù)牢牢揣在懷里的私有云反而比采用公有云的企業(yè)，受到攻擊更廣，損失更嚴(yán)重;
• 從政務(wù)網(wǎng)站等政府機(jī)構(gòu)紛紛中招來(lái)看，號(hào)稱(chēng)最安全的內(nèi)外網(wǎng)隔離也沒(méi)能逃過(guò)一劫;
• 如果說(shuō)10年前引發(fā)大面積機(jī)器癱瘓的蠕蟲(chóng)病毒尼姆達(dá)、熊貓燒香還主要影響PC端，那么在企業(yè)業(yè)務(wù)互聯(lián)網(wǎng)化，聯(lián)網(wǎng)設(shè)備IOT化的今天，WannaCry勒索病毒這樣的病毒很可能會(huì)常態(tài)化，影響也會(huì)越來(lái)越重大;
• ……

1. 公有云比私有云更安全?

5月15日，A股市場(chǎng)上網(wǎng)絡(luò)安全企業(yè)股票大片一字漲停，大家似乎都把抑制WannaCry病毒的期望寄托在這些“專(zhuān)業(yè)救火隊(duì)”的身上。而頗具諷刺意味的是，其中一家漲停安全公司的最大客戶(hù)，卻是被WannaCry勒索病毒肆虐的大型企業(yè)受害者之一。

外行看熱鬧，內(nèi)行看門(mén)道——“防患于未然”其實(shí)遠(yuǎn)比事后“救火”要更有效。那么，誰(shuí)能做好“防患于未然”誰(shuí)顯然就更為有意義。

私有云+專(zhuān)業(yè)安全企業(yè)的服務(wù)方式，將一切都交給公有云企業(yè)的租用方式，在新的萬(wàn)物互聯(lián)時(shí)代到底誰(shuí)更安全?

據(jù)阿里云安全資深技術(shù)總監(jiān)肖力表示，早在4月初NSA就爆出這一漏洞，阿里云當(dāng)是在6小時(shí)內(nèi)根據(jù)漏洞分析和客戶(hù)場(chǎng)景做出分析報(bào)告，并在云平臺(tái)外圍構(gòu)建了防御層，以便公有云用戶(hù)有更多時(shí)間修復(fù)與補(bǔ)丁。也就是說(shuō)，在513 WannaCry勒索病毒爆發(fā)之前，公有云就做到了“防患于未然”。

難道專(zhuān)業(yè)安全廠商不可以這么做嗎?

私有云+專(zhuān)業(yè)安全的模式通常是：客戶(hù)數(shù)據(jù)分散在上千個(gè)不同IDC中，而客戶(hù)對(duì)于安全產(chǎn)品的采購(gòu)也往往是不同種類(lèi)采購(gòu)不同品牌，這種碎片化的結(jié)構(gòu)和部署，也造成私有云安全防范的不統(tǒng)一和不及時(shí)。

• 第一，專(zhuān)業(yè)安全廠商盡管有云安全的理念，但收集異常數(shù)據(jù)只能根據(jù)自身產(chǎn)品品類(lèi)和覆蓋量發(fā)現(xiàn)病毒爆發(fā)異常，而無(wú)法像公有云企業(yè)一樣通盤(pán)看到從網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層到數(shù)據(jù)層的實(shí)時(shí)異常問(wèn)題。
• 第二，由于專(zhuān)業(yè)安全廠商收集到的信息有限，無(wú)法像公有云企業(yè)一樣做到全數(shù)據(jù)分析，更難以基于大量網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用狀態(tài)來(lái)建立自動(dòng)化的事前防御機(jī)制。
• 第三，專(zhuān)業(yè)安全廠商發(fā)現(xiàn)問(wèn)題可以做到第一時(shí)間通知客戶(hù)，但更重要的防范措施卻由于自身產(chǎn)品類(lèi)別所限，或是客戶(hù)采購(gòu)的安全產(chǎn)品種類(lèi)和品牌碎片化，而無(wú)法實(shí)現(xiàn)多層級(jí)聯(lián)動(dòng)技術(shù)防護(hù)。

實(shí)際上，在今年2月全球頂級(jí)安全行業(yè)盛會(huì)RSA大會(huì)上，傳統(tǒng)安全廠商已經(jīng)意識(shí)到這一問(wèn)題：

以前，全球的安全廠商無(wú)一例外地出售包裝在“盒子”內(nèi)的產(chǎn)品和服務(wù);從去年開(kāi)始，基于 API 接口的云化服務(wù)開(kāi)始冒頭;而今年，尋求與云服務(wù)提供商合作，提供基于公有云的云安全SaaS服務(wù)，成為大部分安全廠商的發(fā)展趨勢(shì)。

此外，今年4月底，Bitglass發(fā)布的對(duì)3000多名IT專(zhuān)業(yè)人士的《Threats Below the Surface》報(bào)告中也顯示：

公有云的云安全服務(wù)受到重視，這對(duì)AWS、Azure和阿里云這樣全方位的云服務(wù)提供商也是個(gè)好消息。但是，這樣的結(jié)論在多數(shù)企業(yè)用戶(hù)印象中，卻與“私有云比公有云安全”的慣性思維恰恰相反。

私有云數(shù)據(jù)在防火墻內(nèi)，客戶(hù)對(duì)數(shù)據(jù)似乎有著絕對(duì)的所有權(quán)和控制權(quán)，但這并不意味著數(shù)據(jù)更安全。

對(duì)于重要的數(shù)據(jù)隱私性方面，目前主流公有云提供商都引入第三方硬件加密機(jī)(HSM)，密鑰交與用戶(hù)，一定程度上消除了數(shù)據(jù)隱憂。

而在信息安全事件面前，由于目前主流的大型公有云企業(yè)自身可能就是超級(jí)大用戶(hù)，他們的應(yīng)用遭受安全攻擊更多，更集中，安全人員的分類(lèi)也更廣更細(xì)，在安全“魔高一尺道高一丈”的攻防對(duì)峙中，最好的戰(zhàn)場(chǎng)總是鍛煉出最好的士兵。

對(duì)于多數(shù)用戶(hù)，公有云正在成為一個(gè)更專(zhuān)業(yè)更集中的安全避風(fēng)港。

2. 內(nèi)外網(wǎng)隔離也非世外桃源

那么私有云當(dāng)中可能出現(xiàn)的極端情況——內(nèi)外網(wǎng)隔離，是不是會(huì)更安全呢?

可為什么這次WannaCry勒索病毒事件中還是有公安網(wǎng)、政務(wù)網(wǎng)依然中招?其實(shí)，早在2010年伊朗首座核電站——布什爾核電站就遭受過(guò)蠕蟲(chóng)病毒“震網(wǎng)”的襲擊，從而導(dǎo)致故障頻發(fā)，關(guān)鍵設(shè)備損毀。這樣的機(jī)要部門(mén)內(nèi)外網(wǎng)隔離是必要手段，但事后分析發(fā)現(xiàn)，“震網(wǎng)”原來(lái)是通過(guò)U盤(pán)在局域網(wǎng)內(nèi)部進(jìn)行傳播的。

實(shí)際上，就算是安全最嚴(yán)格的物理隔離，內(nèi)外網(wǎng)之間的通信在實(shí)際操作中也不可避免，只不過(guò)是通過(guò)指定端口，最常見(jiàn)的是通過(guò)USB來(lái)完成通信過(guò)程。而WannaCry勒索病毒也屬于蠕蟲(chóng)病毒，它的可怕性就在于無(wú)孔不入，任何漏洞和端口都會(huì)成為入侵入口。

此外，此次WannaCry的受害者包括加油站、機(jī)場(chǎng)、醫(yī)院等實(shí)體經(jīng)濟(jì)行業(yè)時(shí)，不得不承認(rèn)萬(wàn)物互聯(lián)的IoT時(shí)代已經(jīng)悄然到來(lái)，內(nèi)外網(wǎng)隔離的手段也會(huì)“因噎廢食”，在越來(lái)越多的場(chǎng)景下無(wú)法實(shí)施。

3. 公有云的價(jià)值

WannaCry的第一波攻擊似乎漸漸平息，但此類(lèi)攻擊“一波未平一波又起”將呈常態(tài)化，企業(yè)在享受互聯(lián)網(wǎng)+紅利的同時(shí)，必然要有面臨更多風(fēng)險(xiǎn)的心理準(zhǔn)備。

天生云化的云服務(wù)提供商則更強(qiáng)調(diào)對(duì)云平臺(tái)上豐富的數(shù)據(jù)資源的高效智能利用。AWS、Azure和阿里云等公有云紛紛將人工智能引入云安全，就說(shuō)明將數(shù)據(jù)匯集、打通，進(jìn)行實(shí)時(shí)計(jì)算才是云服務(wù)提供商在云安全上充當(dāng)“妙手神醫(yī)”的必備技能。

公有云之所以成為趨勢(shì)，彈性高和成本低并非最大價(jià)值。在這樣一個(gè)數(shù)據(jù)智能的時(shí)代，需要更多數(shù)據(jù)才能打通業(yè)務(wù)壁壘，發(fā)揮更大價(jià)值。具體到云安全，也許有一天公有云在打通數(shù)據(jù)后，不僅能夠防患于未然，甚至能夠第一時(shí)間定位攻擊者，幫助公安機(jī)構(gòu)第一時(shí)間抓住罪魁禍?zhǔn)住?/p>

【本文為51CTO專(zhuān)欄作者“陳翔”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文