10月11日,阿里云华东1地域可用区B的部分ECS服务器出现IO HANG,导致部分用户无法连接云服务器。这已经不是阿里云第一次出现故障,在去年的5、6月间,阿里云杭州数据中心因光缆中断,导致支付宝访问中断2小时;阿里云香港数据中心因电力故障导致服务瘫痪。
无独有偶,亚马逊AWS、微软Azure等云计算巨头也曾多次出现故障:去年8月10日,亚马逊AWS遭遇罕见瘫痪,服务中断导致很多热门网站中断,去年9月20日,美国东海岸亚马逊AWS服务出现故障,5小时后才恢复;去年3月16日,微软Azure公有云服务中断了2个多小时,第二天再次出现故障,虚拟机、网站和其他云服务瘫痪数天时间……
回顾众多云服务提供商的一系列事故可以发现,他们在安全性上仍然有两类不足:一是局部故障扩散造成全局性影响,二是基本的可靠性能力不足影响了整个系统。尤其在企业关键业务向云计算转型的今天,可靠性必须始终置于最优先位置,一个可靠的系统设计、一个稳定的企业级云平台和一个完善的云灾备方案是必不可少的要素。
在云计算加速步入落地阶段的今天,云安全正变得更加刻不容缓。尤其在群雄逐鹿的中国云计算市场,用户信心正在建立过程中,安全性是云计算厂商首先要考虑的。
云计算发展迅速 安全问题也日渐突出
Gartner日前发布报告指出,2016年全球公有云服务市场规模可望达到2086亿美元,较2015年的1780亿美元成长17.2%。其中,成长最快的是基础架构即服务(IaaS),2016年预计将成长 42.8%。而在工业和信息化部电信研究院日前发布的《2016云计算白皮书》也显示,我国云计算市场总体保持快速发展态势。2015年我国云计算整体市场规模达378亿元,整体增速31.7%。
云计算市场的持续快速增长,体现了用户对于云计算市场认知和理解的日趋成熟。尽管云计算作为分布式系统具有高可用的优势,但云计算的应用在某种程度上也放大了安全风险:用户对数据、系统的控制管理能力减弱;一些用户可能由于数据和业务的外包而放松安全管理;云计算平台更加复杂致使风险和隐患增多;云计算平台间的互操作和移植比较困难……
《2016云计算白皮书》也指出,物理设施故障和系统安全漏洞正在成为云安全的最主要威胁。首先,由于云服务商数据中心资源的规模化和集中化,数据中心、网络链路等物理设施的人为破坏和故障造成的影响进一步扩大,对服务商的运维水平提出巨大考验。其次,公共云服务提供商向用户提供大量一致化的基础软件(如操作系统、数据库等)资源,这些基础软件的漏洞将造成大范围的安全问题与服务隐患。
为此,中央网信办发布的“14号文”强调,各级党政部门务必高度重视,增强风险意识、责任意识,切实加强采购和使用云计算服务过程中的网络安全管理。同时,“14号文”还重点提出了建立“党政部门云计算服务网络安全审查”机制,这不仅成为云服务商进入政务行业的敲门砖,也为其他行业领域的云计算服务安全管理提供了良好的参照和示范。
企业仍存安全疑虑 云计算市场玩家应更加审慎
不只是政务行业对于云计算的安全问题有疑虑,包括金融、电信等众多对安全性要求较高的行业也同样如此,尤其是公有云服务。尽管目前各大云计算厂商已可提供完善的安全追踪纪录与高透明度,安全疑虑仍是采用公有云的最大阻力。
那些对安全性要求较高的行业和大中型企业已经将目光投向混合云领域:与互联网属性相关的业务采用公有云服务,而那些核心关键业务则采用私有云服务。公有云凭借灵活多变、快速部署等优势,帮助企业及时应对最新的挑战;私有云则着重确保企业业务的平稳运行,保证业务的连续性。
混合云的部署模式对于大中型企业来说,一方面可以缓解技术的快速更新换代给企业变革带来的压力,另一方面也可以帮助企业保护现有的IT投资。更重要的是,混合云兼顾了私有云的安全可靠和公有云的开放灵活。
因此,中国云计算市场的玩家们也在积极顺应企业需要,采用虚拟私有云、托管云等多种方式进军混合云市场,提供多种混合云解决方案。不管多好的解决方案,安全性的保障都是先决条件,尤其对于公有云服务商来说。
企业选用公有云,就意味着将应用和数据交给了第三方公有云服务商,相应的访问权限、数据审计、数据使用的灵活性等等与安全相关的问题都浮出水面。
公有云服务供应商必须给用户提供充分的服务透明度,并及时进行技术更新以保障服务的安全性和可靠性;不仅如此,云服务供应商还有必要让企业了解云服务的安全性和可操作性,并进行相应的风险教育。至关重要的是,云服务供应商要在网络攻击或网络故障出现后,快速恢复服务,以最大程度降低对企业业务的影响。
唯有如此,企业对云计算的信任才能进一步增强,这种信任,不仅关乎云计算厂商自身的发展,同样关乎整个云计算市场的未来。
云安全不止关乎企业安全 更关乎国家安全
在安全事故没有发生之前,安全很难被人们真正放在心上。与其“亡羊补牢”,不如“未雨绸缪”,在云计算加速普及的今天,安全已经不仅仅关乎企业安全,更关乎国家安全:云计算的普及让网络防御的边界日益模糊,在国际网络攻防对抗和冲突逐步升级、跨境网络攻击活动日趋频繁的今天,网络安全已经成为国家安全的核心,影响着一个国家的未来。
如今,在云计算安全方面,已经有诸如ISO27001(信息安全管理体系)国际认证、可信云认证、信息安全技术云计算服务安全指南等一系列认证和标准。它们的完善正在进一步推进云计算市场信任体系的建立,这对于云计算的发展无疑也是重大利好。
在不久的未来,企业将无需过多关注云计算的安全,只需要根据自身业务需要配置相应的云服务,并将主要精力放在核心的业务创新和变革上。这是用户之福,更是云计算产业之福,在规范化发展的体系下,真正能够为用户提供安全云服务的企业将脱颖而出,那些技术实力不强、安全性不足的云计算企业则会被淘汰。
而对于云计算巨头来说,更要努力保障自身云服务的安全性和可靠性,这不仅仅是用户赋予他们的使命,更是维护国家网络安全他们必须承担的使命。