盘点：云安全事故给企业云安全防护带来的启示

msmkmm2012

在个人云存储已经进入瓶颈状态的情况下企业云将代替个人云存储成为云计算企业未来发展的主流这是我最一段时间一直坚持的一个观点。未来随着企业上云需求的增长，将会带动更多云服务基础资源的消耗，特别在it云平台服务的水平上，企业也会更加关注云化转型过程中，云服务与核心业务场景和产业生态的深度结合。

但是企业云在发展的过程中会遇到什么困难在危险发生之我们是无法预料的。不过最一段时间关于阿里云的一些争论让我们看到了企业云在发展过程中有可能会遇到的一些风险。我们甚至可以这样说阿里云事件给企业云的发展上了一课!

关于阿里云段时间遇到的问题由于上披露的信息并不十分完整所以我们只能保守的看待这件事。目可知的大概情况是下面这样的。

91阿里云出现故障有多位用户在微博爆出运行在阿里云上的系统命令及可执行文件被删除。然后阿里云发布声明称因云盾安骑士组件的恶意文件查杀功能升级触发了导致部分服务器的少量可执行文件被误隔离。

关于这件事情公开的新闻不多。在知乎上有人发问：91号阿里云误删文件是怎么回事?但一些回答遮遮掩掩。

可以肯定的是阿里云出问题的应该是企业云业务。还可以肯定的是阿里云出现的问题并非是因为外来因素。这时我开始考虑两个问题。我一个问题是这种非外来因素的安全事故企业云应该如何最大限度的避免呢?二个问题是：这次事故是内部安全软件因素所致。那么阿里云这种自己监管自己出了问题的事件对企业云的安全防护有什么启示呢?

按我个人理解对于非外来因素造成的安全事故企业云应该是有一个应急的防御措施的。比如火险、水险之类的灾害应该是把发生灾害的区域先封闭起来使其不能继续拓展然后再施救。所以企业云最大限度的避免非外来风险因素就应该赋予企业云用户一个可封闭、可控的空间一旦问题发生最大限度的限制风险外延。而安全产品究竟应该在企业云中发挥什么样的作用我想这个是个见仁见智的问题问题的焦点在于安全产品是否有权利监控企业云用户的数据。当然在我理解企业云自有安全产品的主要职责还是对外。

关于我考虑的这两个问题笔者向国内领先的某云计算企业云业务的技术负责人进行了咨询他说了两点。

一关于云服务商的内控措施保障。

一个未经完全测试的且具有威协性的安全监控产品便投入到实际应用是很难想象的灾难这表明团队内控发生了问题也就是说没有人对质量和风险负责没有相应的安全部门对所应面临的操作风险进行预警。这样的任性对千百万个企业都是一种致命的灾难试想如果有关系性命的企业应用在上面比如医疗应用可能会造成弥补不了的损失。

二、云服务提供商不应劫持用户的数据控制权。

对于平台型的云服务厂商需要提供给租户以独立的服务空间采用完善的系统隔离机制。没有这样子的措施用户要随时担心会被劫持随时会被误删除企业的数据安全和隐私保护将得不到保障。这里我们建议的方式是给予用户独立的系统隔离空间(可以简单理解为租户租给你一个始人空间)一旦空间有异动将进行整体的封锁而不是跨到空间里行使帮对方整理的责任。一方面保障可能出现的误伤(安全隐私问题)一方面也便于封存取证(服务商的安全问题)。

这位技术负责人的观点可以归纳为两点：一是安全监控产品的威胁性应该事先得到测试二是应该采取完善的系统隔离机制。

最后在谈及企业云发展景的关键时该人士有一句话很值得我们思考他说：(企业云的发展)我认为技术并不是难题难得的是企业的服务精神和道德品质。更多的是人的问题而非技术。

所以我想阿里云事件给企业云上的这一课可以归纳为这样几句话：要防患于未然不能越俎代庖责任与技术同样重要!从事企业云业务的应该谨记!

盘点：云安全事故给企业云安全防护带来的启示

浏览过的版块