云计算安全问题频现 风险管理迫在眉睫

安全 云安全
在万物互联,需要拨“云”才能见日的时代,上“云”仍是企业的不二选择。好在业界已形成共识:打补丁、预防攻击、发布修补工具,一场群策群力避免因漏洞造成危害的“灭火战”正在如火如荼地进行。可喜的是,到目前为止,大规模恶性事件尚未发生,但就此留下来的信息安全隐患将会给更多企业敲响警钟,也将引发业界更多思考和创新。

到底是上公有云还是私有云抑或是混合云?这是很多企业在选择云计算时都要面临的问题。2018年新年伊始,英特尔芯片漏洞事件给业界再次敲响警钟,原来部署哪一种云都有可能受到黑客攻击。

不过,在万物互联,需要拨“云”才能见日的时代,上“云”仍是企业的不二选择。好在业界已形成共识:打补丁、预防攻击、发布修补工具,一场群策群力避免因漏洞造成危害的“灭火战”正在如火如荼地进行。可喜的是,到目前为止,大规模恶性事件尚未发生,但就此留下来的信息安全隐患将会给更多企业敲响警钟,也将引发业界更多思考和创新。

 

[[218073]]

2018新年伊始,全球知名硬件厂商英特尔处理器的CPU芯片被爆出在底层硬件设计上存在严重缺陷,并将直接影响到Windows、Linux、MacOS等操作系统,这对于包括亚马逊、微软、谷歌在内的所有云计算厂商而言都构成了致命打击。通过这个漏洞,攻击者可以通过一个虚拟用户,攻击在同一物理空间的其他虚拟用户,而这几大云服务厂商的服务器排列紧密,只要遭到攻击,理论上所有的数据都将遭到破坏。就国内而言,在漏洞披露前,阿里云、西部数码等云计算厂商已与英特尔同步关键安全信息,并持续就修复方案做验证,最迟于北京时间1月15日24点之前完成。

近年来,全球因云服务造成的数据泄露事件频频出现。调查数据显示,全球58%的企业在2017年里至少遭遇过一场数据泄露事件。尽管面临安全风险和挑战,但布局“云”成为绝大多数企业的共识,争论焦点已经变成选择何种技术架构、采购哪家云厂商的服务,整个市场正进入爆发阶段。与此同时,如何避免数据泄露,如何管控风险成为企业最关心的话题。

“云”上之争频仍

目前,云计算已经发展了10余个年头,并逐渐形成庞大的产业规模。2017年4月,工业和信息化部印发《云计算发展三年行动计划(2017-2019)》,提出到2019年,要将我国的云计算产业规模从2015年的1500亿元扩大至4300亿元。

巨大的市场让互联网大鳄、硬件厂商、初创新贵都觊觎着“公有云”这块肥肉。阿里巴巴最新公布的2018财年第二季度业绩显示,云计算业务比去年同期接近翻番,季度营收接近30亿元。

此外,腾讯云、金山云也各有千秋,一路狂奔。2018年元旦刚过,金山云宣布再获2.2亿美元巨额融资。

此外,百度与京东等互联网公司仍存在制胜的机会,而华为、浪潮等厂商因具备实力和财力同样不可小觑。2017年4月,华为高调宣布发力公有云市场,成立二级部门云业务部CloudBU;8月,华为宣布CloudBU升为一级部门;9月,华为轮值首席执行官郭平宣布华为公有云业务的目标——全球范围最终只会剩下“五朵云”,华为要做“其中一朵”。

在这个IT基础设施升级换代的阶段,许多大型企业不甘心任由互联网巨头的公有云基础设施将核心业务数据劫持,纷纷自主投入私有云平台建设。在私有云建设的热潮里,首批获益的便是自主可控的硬件厂商;其次,国产自主可控的云平台软件也开始规模化收获订单。仅在IaaS/PaaS领域,2017年获得超过亿元融资的私有云相关软件企业就包括云途腾T2Cloud、博云BoCloud、星辰天合Xsky、灵雀云Alauda等。与此同时,在私有云的细分市场里,逐渐形成了一些具备行业属性的行业云。除了政务领域以外,在金融、交通、能源、工业制造等行业也都在开始建设服务于自身行业的行业云。

混合云已成气候

虽然公有云与私有云发展猛烈,但在2017年的云计算市场中,混合云已是主旋律。云计算巨头都花了海量的心思在阐述其混合云战略,微软发布了AzureStack私有云IaaS平台,旨在与Azure公有云搭配使用;谷歌云平台与VMware和Nutanix合作提供混合云产品;甲骨文与IBM都开发出了自己内部混合云产品;华云与VMware合作打造VCPP混合云,华为还发布了混合云存储解决方案。

在2017年“双11”电商狂欢节的背后,总共有14万个明星品牌,1500万种商品的商业要协同,还要保证金融安全,阿里巴巴部署了在线计算、离线计算以及公共云,构建了全球最大规模的混合云。据悉,这个混合云能实现1小时内10万台服务器的快速扩容,支撑“双11”当天的买、卖、付、送各环节在云上的顺利进行。

“目前有超过一半的企业走向多云,每个企业平均使用5朵或以上的云服务。”在日前举行的第十二届中国IDC产业年度大典上,IBM大中华区云计算事业部首席技术官陈国豪表示,目前只有实行公有云及私有云集合的“多云策略”才能满足企业需求。根据报告得知,82%的企业已经制定了多云策略,55%的企业计划部署混合云。

陈国豪解释说,企业选择多云的原因主要有两个,一方面,传统数据、核心应用、核心平台都在私有云上,企业需要释放内部价值;另一方面,还需要利用公有云的社交、数据源来吸收外部的“养分”,加速企业创新。

在华云数据集团研发总监李德才看来,混合云之所以受欢迎,是在于其用户价值体现在灵活、满足更复杂的业务场景,“但是混合云并不是简单的公有云和私有云的加法,或者是统一管理,因为混合云至少应具备3个基本特点:服务的统一管理、虚拟网络的跨域高速互联互通还有灵活互备。”李德才强调说。

各方数据表明,混合云市场经过了过去几年的发展,已经逐渐形成了完整的技术路线和生态圈,2018将迎来混合云的黄金时代。

风险管理迫在眉睫

无论是“三朵云”中的哪一朵,在云时代,企业在迁移上云之后都会面临许多安全威胁,包括DDoS攻击、入侵在内的网络风险和业务风险。

在日前举行的2017IDC及云计算国际合作论坛上,中国信息通信研究院云计算与大数据研究所工程师郭雪表示,云计算发展进入平稳期,预计2017年整个云计算市场规模将达600多亿元。在当前形势下,云计算的风险管理应该说迫在眉睫。

数据显示,2017年前10个月,我国境内超过300G的DDoS攻击月均发生数百起,峰值超过1Tbps,形势极为严峻,几乎波及所有互联网的主要业务,这其中以游戏娱乐,电子商务、互联网金融为主要攻击目标。

“云计算风险肯定在所难免,为此,建立一个公共安全的平台,建立一套动态的威胁情报或者风险信息的共享机制势在必行。”郭雪表示。

郭雪表示,中国信息通信研究院已经开展云计算风险管理相关标准的研究,并于近日开始报批,并送审完毕。“针对云计算的风险评估,我们梳理了一些评估的方法,包括要对它的基础设施、网络、计算资源、存储资源应用、业务、数据、人员、管理规范、运营运维、风险整合划分等多个方面,多个点进行风险评估。”郭雪表示。

“在整个风险管理方面,一是要进行风险评估,二是要探索建立保险机制完善整个风险管理的链条。”郭雪介绍说,2014年10月,中国信息通信研究院组织多家云服务厂商与人保、平安、渤海等3三家保险公司共同启动云保险工作。经过多次会议的讨论,2015年5月确定云保险方案,2015年7月,中国电信、中国联通、UCloud等企业首批签约,随后制定云保险(客户版)方案。

据了解,以云服务商和用户签订的合同责任为基础,云保险主要针对云平台的服务中断、数据丢失和信息泄露等有关损失提供保障方案。保险责任人可以是云服务商也可以是云服务的用户,保险公司为云服商或第三方责任导致的云平台风险和损失进行赔偿,相关险种均已在保监会备案。

此外,郭雪还表示,“除了赔偿之外,我们想建的是一个保险的共同体,相当于作为投保企业要建一个小联盟,类似信息共享的平台。目前所有的投保企业有几十家,我们会做定期的信息共享,把事后的风险做到事前的预防。”

责任编辑:未丽燕 来源: 中国高新技术产业导报
相关推荐

2022-03-23 15:39:39

容器安全云平台

2015-03-24 13:21:12

云计算IT变革PaaS开发

2016-10-20 20:17:39

云计算云安全

2022-06-30 05:35:33

API网络安全

2021-08-26 23:10:04

数据安全云计算杀毒

2009-03-30 11:58:03

2014-07-10 15:35:28

2011-04-25 14:12:26

Windows PhoiPhoneAndroid

2010-09-08 21:53:59

2009-07-06 18:33:13

运维管理渠道商广通信达科技

2012-05-21 10:22:17

2010-03-02 15:36:50

2014-09-05 09:32:45

国产操作系统

2009-05-25 14:53:18

通信系统应急系统捷思锐

2021-09-08 10:05:35

数据安全

2017-12-13 17:35:32

2023-08-31 16:55:45

2010-08-24 15:22:35

2011-07-25 09:38:09

惠普IT转型

2023-09-19 13:46:57

点赞
收藏

51CTO技术栈公众号