公有云安全修炼之路,郭靖和周伯通带你走
本文作者:孙维,FreeBuf特约专家作者
之前聊过安全对公有云来讲是一条红线,不容有失。今天我们再来聊聊,在看似威胁众多的弱势背景下,为什么公有云安全性比私有云更胜一筹?
老规矩,先上段子。
老司机的妖娆
要取得驾驶资格,首先你得有本儿,要拿到本儿,你先得脱一层皮。
一般人拿个C照就可以开着私家车招摇过市了,当然前提是你能摇到号。但如果你想练练摊,夏天晚上在大学城宿舍楼门口卖卖西瓜,这个时候你就得考个B照了。如果哪一天你走上了人生巅峰,想拉轰地开着100多万一辆的公交车上下班,那么不好意思,你必须得考个A照。
当然CBA三个驾照考试的难易程度是递增的,所以很多时候,当你坐在大巴车里时,你会发现,在车身拐弯掉头的时候,前排的乘客经常会发出一阵阵紧张的提醒声,要撞到了撞到了,还不刹车。
这个时候司机大哥完全置若罔闻,满脸高冷,一只手妖娆地搭在方向盘上,左右一甩头,搓了一圈半方向盘,有惊无险地就掉好头了,乘客们长吁一口气,最后满脸通红带着崇拜的眼神向司机大哥致敬。
为什么要讲这些老司机的故事,因为老司机的背后有我们关注的东西。
城市公共交通设施发生交通事故的概率其实是远小于私家车的,而公交车司机的驾龄必须是5年以上。公共交通设施如公交、地铁必须执行每日的安全检查,而火车、高铁、飞机每次执勤前后都要执行安全检查,私家车则没有强行规定,你到期年检,按时保养就OK了。
为什么要强调公共交通工具与私家车的对比?
其实这也凸显了现阶段公有云在安全合规方面比私有云要严格很多。
当私有云的安全合规要求只需要达到基础安全的时候,公有云安全合规要求可能已经达到国际各类安全合规的顶级要求。换句话说,当私有云认不认证要看老板心情时,公有云已经在强制执行认证了。
这也正是公有云会获得国际国内各类最高安全合规认证的缘由所在。
高标准严要求,一方面是保障客户安全不可辱没的使命,一方面是有责任担当的大厂胸怀。
在安全合规能力方面,公有云走得更远,此为理由之一。
里山的黄柏树
前阵子看过NHK的纪录片《映像诗:里山》,这部纪录片讲述的是工业高度发达的日本竟然保留了一块人和自然紧密相依的土地,在这块土地上维持着微妙平衡的生态系统。
电影里有一个场景令人印象深刻,郁郁葱葱的山上,长着几棵年代久远的黄柏树,每隔一段时间,黄柏树的主人便会上来割走一块树皮,黄柏树的树皮很厚,内表面是金黄色的,可以作为染料,同样也可以入药,经济价值很高。
而黄柏树最大的特点则是自愈能力很强,割掉树皮的创口在经过一段时间的生长后,竟然可以自己恢复如初,不像科幻电影里金刚狼不着边际的自我恢复能力,黄柏树的自愈能力便是大自然造物主垂青于它的一份天赋。
其实在安全领域,自愈能力也是特别重要。当系统在遭受攻击的时候,它能够及时做出响应,在破坏扩大之前迅速修补好漏洞,消除系统的脆弱性,这便是安全领域的自愈能力。
毫无疑问,公有云遭遇数百倍于私有云的安全威胁为它自身的自愈能力提供了海量的训练样本和攻防场景,公有云得天独厚的开放特征使得它具备一个完整且丰富的攻防生态。
黑客团体、资深黑客、脚本小子,公有云上的业务无时无刻不在接受着这些安全威胁的考验。公有云本身就像是一个大的声纳系统,在网络海洋里探测各种已知和未知的风险,根据反馈不断地完善对各类攻击和威胁的画像,并迅速做出安全反馈,来消除这些威胁带来的巨大危害。
自愈能力极大地提升了公有云平台的安全效能,比如针对某个业务的不起眼的安全补丁或防护规则,可能会让海量不相关的云上客户受益。又比如4月底闹的沸沸扬扬的Struts2 S2-032漏洞,响应及时的公有云团队会在第一时间更新防护规则,使得云上客户免受其难。
在自愈能力方面,公有云特有的环境使得它成长更快,此为理由之二。
郭靖的江南七怪师傅
还记得小时候读过的枕边故事么,你有1个苹果,隔壁想想童鞋也有1个苹果,你们俩交换后,每人还是只有1个苹果。
如果把苹果换成故事,你就拥有2个故事了。
如果把苹果换成漏洞呢,你就知道2个漏洞了,而公有云上边拥有海量客户,假如每个客户反馈给你1个漏洞,那么公有云安全团队所知晓的漏洞数量就会多到吓人,然后再把这些漏洞一一修补,这对公有云平台的安全增强应该不是简单的1+1了。
这其实就是安全众筹带来的红利,就好比《射雕英雄转》里小郭靖有着江南七怪7名师傅,哪怕每人教他一套功夫,他学到的功夫也是远非一个师傅带出来的小娃所能比拟。
而现在公有云上,人人皆师傅,这些客户所遭受的攻击都会反馈给公有云本身,漏洞同样如此。
左手威胁情报,右手漏洞数据,再加上一个飞速运转的大脑,公有云就如同身怀左右互搏绝技的老顽童周伯通,足以在黑客江湖里立于不败之地。
当然安全众筹带来的红利远不止于此,从目前来看,公有云在安全方面的投入是超过私有云的。无论是团队建设、安全预算、技术平台还是防护能力,这些都是公有云安全众筹众包的大利是。
安全总是在短期内被高估,但是在长期又被低估。对于公有云亦是如此,短期内的云上业务需求迫切使得安全被高估,但随着公有云安全生态的发展和完善,公有云的技术隐形需求比实际业务需求要多得多,这也使得技术需求驱动带来的安全能力增强要远超乎市场期望。
在安全众筹众包方面,公有云的安全生态收益要大于私有云,此为理由之三。
尾
用了两篇文章来表明自己的观点,其实就是想改变大家的固有观念,封闭的不一定是最安全的,钱也并不是保管在自家才安全(第一篇可在公众号sunw3i中查看)。
公有云的开放和生态这些特有优势,使得其安全有了长足进步,并且在与私有云和传统IDC的比较中也早已脱颖而出。
公有云近在咫尺,你们准备好了吗?