近日,Amazon的云计算业务似乎来了一个180度的大转弯,此举对于企业IT部门来说可谓喜忧参半。
这位云计算界的巨人表示,他已为美国政府特别定制了一个规定了特殊区域的云,他们称之为AWS GovCloud。这个特殊的云距离公共的、无定形的、低成本的AWS云和私有的、专用的、昂贵的私有云均是一步之遥。
美国国防部要求建立一个能够满足国际武器贸易条例(ITAR)的云,以及管理和存储与国防相关数据的规则。具体来说,就是与ITAR相关的数据只能允许美国人访问。
Amazon公司并不是试图在AWS的每个区域实现实时的安全保护以确定每个使用GovCloud的用户都是美国公民,它只是为美国政府创建了一个独立的区域,这一区域无论是物理上还是逻辑上都只允许美国公民访问。
据推测,对于整个AWS来说,这是一个异常复杂和昂贵的项目。想一想监管的纸面工作吧!创建一个独立的区域,其管理成本陡然增长,同时也限制了审核的范围。更有甚之,它还带来了棘手的问题。
会不会有大老板希望拥有他自己的AWS云呢?当然他一定具有特殊的需求和雄厚的财力。是否会出现一个AWS埃克森美孚化工?或者AWS美国银行?那样的话,云计算的精神实质将荡然无存,而AWS也将走上崇尚金钱的私有云之路(这种可能性不是没有!)。如果这种情况一旦发生,那么低成本的公共云将走向何处?
更为重要的是,GovCloud是为Amazon公司所承认的,它不能修改其整个云,因此它将完全地隔离数据与应用程序。
历史告诉我们,大部分的非法入侵都来自于区域范围以外,“隔离的”系统并不能够实现真正的隔离。攻击者通常通过后门进入,为应急事件而连接后门的系统只是为他们入侵网络的其余部分提供了更大的便利。一个非美国公民的承包商是否能够使用ITAR呢?Amazon是否有雇佣第三方的管理员来运行GovCloud呢?
AWS本身也承认,四月的弹性块存储服务重大停用事件发生的最主要原因就是它没有实现良好的系统隔离。或者它只是在GovCloud安全区和其他AWS区域之间建立了一个虚假的隔离?理所当然,这也就成为了潜在攻击者所搜索的目标。