云端安全之二:面临的挑战

黑色安全产业链

在网络上,充斥着形形色色的黑客论坛、内容五花八门,兜售盗号木马,买卖“肉鸡”,流量攻击等。为什么称之为“黑色”的安全产业链,因为这是敏感的,地下的不见光的”攻击”产业链。当然也有一些“防御”产业链中的安全公司,比如卡巴斯基、360、安全狗等。比如,08年奥运会的安全防御的民间黑客团队。

在计算机领域,都知道游戏行业的各项福利都不错。相比黑色的安全产业链,那真是小巫见大巫了。我记得刚毕业那会儿,去面试一个黑客岗位,月薪5w起,不算分红。我记忆犹新的是,那人问了我一个问题,就让我说说实现的原理:腾讯游戏的欢乐斗地主,怎么样用程序实现看对方的底牌。

由于安全领域涉及到复杂的高端技术,决定了安全领域攻防的成本也是高昂的,所以这是黑色安全产业链暴利的核心原因。

云端安全之二:面临的挑战_第1张图片
图1

如上图经典的ddos攻击,骇客需要通过漏洞大量去“抓鸡”,从而通过控制肉鸡产生流量攻击。这个过程的成本往往是高昂的,比如一些地下市面价格,10G的流量打1小时约4-5万。而当然,通过技术手段想要防御这些攻击,往往也不是那么容易的。这也是为什么传统一台硬件防火墙高达几十万。这也是为什么阿里云的20G高防ip的产品,一个月的费用要将近两万。而往往很多用户不理解、也接受不了,抱怨一台云主机每个月只要几百块钱,但为什么买个安全产品每个月却要花几万。我淡然笑之,是因为大多数人对安全行业缺乏了解。

云端的安全挑战

误区:使用了云,安全问题就得到了控制

云计算的确给我们带来了成本、效率、灵活性上面质的飞跃,很多人误以为使用了云,安全问题就得到了控制。通过阿里云安全态势反馈,在云端环境下,安全领域的防御依旧给我们带来严峻的挑战。


云端安全之二:面临的挑战_第2张图片
图2

相比传统的IDC单一模式,云计算涉及的安全问题,是在跟整个互联网公司做安全防御。并不是上云后安全问题都解决了,安全问题依旧存在。只不过云端安全,将很多防御类技术做出相应的云端安全产品(比如“十年攻防,一朝成盾”的阿里云云盾),让我们解决对应安全问题变得更加高效,也进一步体现了云计算在效率、灵活性上面的优势。例如 很多用户就是为了云盾免费的5G ddos流量防御而来,即买一台1核1G的服务器,一个月成本才70块左右。但就能免费获得5G的ddos流量防御,何乐而不为呢。

挑战之一:信任问题
虽然云计算是种趋势,必将取代传统IDC这种模式,带来IT时代转向DT时代的变革。但到现在,“老一辈”依旧很多人受到传统IDC“封建”思想的固化。很多人缺乏对云的了解,认为把应用及数据放在云端是种冒险行为。13年我从事阿里云架构师的时候,我印象很深刻,那时候云计算还不普及。在跟客户介绍的时候,更多是在阐述安全性的概念性的解释,即跟客户一再解释云端是如何的安全等。
我深有体会的是,随着这几年云计算的发展及普及。现在客户遇到我,更多的是向我询问怎么样解决云端的业务遇到的安全问题。所以如今如果还停留在,纠结云端是否安全等概念性的问题上面。那么你跟竞争对手的差距会越来越大,你必然会被云时代所out掉。

挑战之二:安全意识
最大的安全问题,并不是黑客技术有多么的高超,而是我们的安全意识有多么的低下。
例如,总有人把密码设置为123456、自己的生日、自己的手机号等,总有人把所有服务器的密码都设置一样,总有人把密码放在excel/word/邮件中传送。
例如,很多人不太明白,为什么有可能自己互联网上面的所有账号及密码都会被窃取。随着互联网上的系统越来越多,很多人为了图方便,把所有系统的账户名、密码都设置成一样。比如,淘宝账号、微博、QQ密码等。并不是黑客的本领有多大,黑客只需要简单的破解你一处的密码,便可以拿这个账号及密码到其他系统试一试就知道能不能登陆了。
例如,明明我系统安全做的足够好了,但为什么系统还是被入侵了。这也是黑客利用了安全意识薄弱,总有人把很多系统部署在一起、或者同个局域网内。黑客利用“旁注”的攻击手段,只需要攻击“弱小”那个系统为突破口,再通过“旁注”入侵另外的系统。

挑战之三:使用问题
即使跟你造了飞机大炮,但敌人来了,你却不会使用。最大的安全问题,并不是敌人有多强大。而是敌人打你,但你不懂得如何使用武器反抗。劈开上面让大家有足够的安全意识不说外,现在又要让大家运用好云计算解决安全问题,这未免有点为难大家了。就拿阿里云来说,当前阿里云提供了一百款左右的云产品。让大家能够灵活的运用这些云产品,解决安全问题,的确是比较牵强。这已经是个非常专业的要求了,这也是我到现在总会发现,总有些客户喜欢拿16核/64G的服务器仅部署一台tomcat。这也是很多客户经常问我,为什么一台ECS前面要加台SLB。
更有不会使用的,还耍赖说云不安全等。比如之前遇到的一个客户,一个传统的在线直播小网站,放在IDC的经常被打,一下子网站就瘫了。后来自己迁移到了阿里云,问题还没解决,最终被迫又迁回了阿里云。后来我们接手解决了这个问题,我们再次迁到阿里云,只不过这次我们再架构上进行了简单调整,采用SLB+ECS,并对系统进行了安全加固及优化。另外一方面,在云盾进行了更加细粒度的阀值触发调整。最后不但解决了安全问题,我们还对ECS配置进行了优化调整(把固定带宽变更为按量带宽),每个月能节省3000元左右阿里云费用。

具体在云端安全的最佳实践,在下一篇为大家技术干货详细的分享。

我为自己带盐,原创作者:乔锐杰

你可能感兴趣的:(云端安全之二:面临的挑战)