公有云比私有云更安全?這似乎與慣性思維恰恰相反……

[[191476]] 

3天，150個國家，20余萬臺機器中毒，始于上周五的WannaCry索病毒真的讓很多人急了。

美國聯(lián)邦快遞FedEx、西班牙電信運營商Telefonica、法國汽車制造商雷諾、德國聯(lián)邦鐵路系統(tǒng)以及俄羅斯內(nèi)政部紛紛中招，最深受其害的是英國公眾醫(yī)療系統(tǒng)，手術(shù)排期被擾亂，患者無法實施搶救，而在中國，數(shù)所大學(xué)、政務(wù)網(wǎng)站、出入境公安網(wǎng)，甚至加油站都已經(jīng)被爆出現(xiàn)問題。

德國聯(lián)邦鐵路系統(tǒng)中毒后的候車大廳屏幕

表面上看，勒索病毒索要比特幣，但企業(yè)機構(gòu)因此而引發(fā)的后果往往是人財兩失，這也是服務(wù)器主機安全防護對穩(wěn)定性和性能更為強調(diào)，對事前防護更為看中的原因。

WannaCry勒索病毒這一重大信息安全事件雖已漸漸平息，但也引發(fā)了更深層次的思考：

• 把數(shù)據(jù)牢牢揣在懷里的私有云反而比采用公有云的企業(yè)，受到攻擊更廣，損失更嚴重;
• 從政務(wù)網(wǎng)站等政府機構(gòu)紛紛中招來看，號稱最安全的內(nèi)外網(wǎng)隔離也沒能逃過一劫;
• 如果說10年前引發(fā)大面積機器癱瘓的蠕蟲病毒尼姆達、熊貓燒香還主要影響PC端，那么在企業(yè)業(yè)務(wù)互聯(lián)網(wǎng)化，聯(lián)網(wǎng)設(shè)備IOT化的今天，WannaCry勒索病毒這樣的病毒很可能會常態(tài)化，影響也會越來越重大;
• ……

1. 公有云比私有云更安全?

5月15日，A股市場上網(wǎng)絡(luò)安全企業(yè)股票大片一字漲停，大家似乎都把抑制WannaCry病毒的期望寄托在這些“專業(yè)救火隊”的身上。而頗具諷刺意味的是，其中一家漲停安全公司的最大客戶，卻是被WannaCry勒索病毒肆虐的大型企業(yè)受害者之一。

外行看熱鬧，內(nèi)行看門道——“防患于未然”其實遠比事后“救火”要更有效。那么，誰能做好“防患于未然”誰顯然就更為有意義。

私有云+專業(yè)安全企業(yè)的服務(wù)方式，將一切都交給公有云企業(yè)的租用方式，在新的萬物互聯(lián)時代到底誰更安全?

據(jù)阿里云安全資深技術(shù)總監(jiān)肖力表示，早在4月初NSA就爆出這一漏洞，阿里云當(dāng)是在6小時內(nèi)根據(jù)漏洞分析和客戶場景做出分析報告，并在云平臺外圍構(gòu)建了防御層，以便公有云用戶有更多時間修復(fù)與補丁。也就是說，在513 WannaCry勒索病毒爆發(fā)之前，公有云就做到了“防患于未然”。

難道專業(yè)安全廠商不可以這么做嗎?

私有云+專業(yè)安全的模式通常是：客戶數(shù)據(jù)分散在上千個不同IDC中，而客戶對于安全產(chǎn)品的采購也往往是不同種類采購不同品牌，這種碎片化的結(jié)構(gòu)和部署，也造成私有云安全防范的不統(tǒng)一和不及時。

• 第一，專業(yè)安全廠商盡管有云安全的理念，但收集異常數(shù)據(jù)只能根據(jù)自身產(chǎn)品品類和覆蓋量發(fā)現(xiàn)病毒爆發(fā)異常，而無法像公有云企業(yè)一樣通盤看到從網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層到數(shù)據(jù)層的實時異常問題。
• 第二，由于專業(yè)安全廠商收集到的信息有限，無法像公有云企業(yè)一樣做到全數(shù)據(jù)分析，更難以基于大量網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用狀態(tài)來建立自動化的事前防御機制。
• 第三，專業(yè)安全廠商發(fā)現(xiàn)問題可以做到第一時間通知客戶，但更重要的防范措施卻由于自身產(chǎn)品類別所限，或是客戶采購的安全產(chǎn)品種類和品牌碎片化，而無法實現(xiàn)多層級聯(lián)動技術(shù)防護。

實際上，在今年2月全球頂級安全行業(yè)盛會RSA大會上，傳統(tǒng)安全廠商已經(jīng)意識到這一問題：

以前，全球的安全廠商無一例外地出售包裝在“盒子”內(nèi)的產(chǎn)品和服務(wù);從去年開始，基于 API 接口的云化服務(wù)開始冒頭;而今年，尋求與云服務(wù)提供商合作，提供基于公有云的云安全SaaS服務(wù)，成為大部分安全廠商的發(fā)展趨勢。

此外，今年4月底，Bitglass發(fā)布的對3000多名IT專業(yè)人士的《Threats Below the Surface》報告中也顯示：

公有云的云安全服務(wù)受到重視，這對AWS、Azure和阿里云這樣全方位的云服務(wù)提供商也是個好消息。但是，這樣的結(jié)論在多數(shù)企業(yè)用戶印象中，卻與“私有云比公有云安全”的慣性思維恰恰相反。

私有云數(shù)據(jù)在防火墻內(nèi)，客戶對數(shù)據(jù)似乎有著絕對的所有權(quán)和控制權(quán)，但這并不意味著數(shù)據(jù)更安全。

對于重要的數(shù)據(jù)隱私性方面，目前主流公有云提供商都引入第三方硬件加密機(HSM)，密鑰交與用戶，一定程度上消除了數(shù)據(jù)隱憂。

而在信息安全事件面前，由于目前主流的大型公有云企業(yè)自身可能就是超級大用戶，他們的應(yīng)用遭受安全攻擊更多，更集中，安全人員的分類也更廣更細，在安全“魔高一尺道高一丈”的攻防對峙中，最好的戰(zhàn)場總是鍛煉出最好的士兵。

對于多數(shù)用戶，公有云正在成為一個更專業(yè)更集中的安全避風(fēng)港。

2. 內(nèi)外網(wǎng)隔離也非世外桃源

那么私有云當(dāng)中可能出現(xiàn)的極端情況——內(nèi)外網(wǎng)隔離，是不是會更安全呢?

可為什么這次WannaCry勒索病毒事件中還是有公安網(wǎng)、政務(wù)網(wǎng)依然中招?其實，早在2010年伊朗首座核電站——布什爾核電站就遭受過蠕蟲病毒“震網(wǎng)”的襲擊，從而導(dǎo)致故障頻發(fā)，關(guān)鍵設(shè)備損毀。這樣的機要部門內(nèi)外網(wǎng)隔離是必要手段，但事后分析發(fā)現(xiàn)，“震網(wǎng)”原來是通過U盤在局域網(wǎng)內(nèi)部進行傳播的。

實際上，就算是安全最嚴格的物理隔離，內(nèi)外網(wǎng)之間的通信在實際操作中也不可避免，只不過是通過指定端口，最常見的是通過USB來完成通信過程。而WannaCry勒索病毒也屬于蠕蟲病毒，它的可怕性就在于無孔不入，任何漏洞和端口都會成為入侵入口。

此外，此次WannaCry的受害者包括加油站、機場、醫(yī)院等實體經(jīng)濟行業(yè)時，不得不承認萬物互聯(lián)的IoT時代已經(jīng)悄然到來，內(nèi)外網(wǎng)隔離的手段也會“因噎廢食”，在越來越多的場景下無法實施。

3. 公有云的價值

WannaCry的第一波攻擊似乎漸漸平息，但此類攻擊“一波未平一波又起”將呈常態(tài)化，企業(yè)在享受互聯(lián)網(wǎng)+紅利的同時，必然要有面臨更多風(fēng)險的心理準(zhǔn)備。

天生云化的云服務(wù)提供商則更強調(diào)對云平臺上豐富的數(shù)據(jù)資源的高效智能利用。AWS、Azure和阿里云等公有云紛紛將人工智能引入云安全，就說明將數(shù)據(jù)匯集、打通，進行實時計算才是云服務(wù)提供商在云安全上充當(dāng)“妙手神醫(yī)”的必備技能。

公有云之所以成為趨勢，彈性高和成本低并非最大價值。在這樣一個數(shù)據(jù)智能的時代，需要更多數(shù)據(jù)才能打通業(yè)務(wù)壁壘，發(fā)揮更大價值。具體到云安全，也許有一天公有云在打通數(shù)據(jù)后，不僅能夠防患于未然，甚至能夠第一時間定位攻擊者，幫助公安機構(gòu)第一時間抓住罪魁禍?zhǔn)住?/p>

【本文為51CTO專欄作者“陳翔”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文