沒有絕對安全的云?從“數(shù)據(jù)丟失”事件看如何選擇云計算平臺

億歐網(wǎng)
楊曉鶴
近期騰訊云因為物理硬盤固件版本Bug導(dǎo)致的靜默錯誤,致使互聯(lián)網(wǎng)創(chuàng)業(yè)公司“前沿數(shù)控技術(shù)”的線上數(shù)據(jù)丟失事件引起了廣泛關(guān)注。盡管騰訊云方面稱搭載了云硬盤提供三副本存儲策略,高達99.99999%的數(shù)據(jù)可靠性...

近期騰訊云因為物理硬盤固件版本Bug導(dǎo)致的靜默錯誤,致使互聯(lián)網(wǎng)創(chuàng)業(yè)公司“前沿數(shù)控技術(shù)”的線上數(shù)據(jù)丟失事件引起了廣泛關(guān)注。盡管騰訊云方面稱搭載了云硬盤提供三副本存儲策略,高達99.99999%的數(shù)據(jù)可靠性,但是此次事件還是讓企業(yè)用戶產(chǎn)生了云計算到底安不安全的顧慮。

不僅是騰訊云出現(xiàn)故障,近期很多國內(nèi)國外的云計算平臺都發(fā)生了故障事件?;仡櫾朴嬎憬谑录?,都是小幾率事件導(dǎo)致了平臺故障,進而導(dǎo)致用戶受損,不過客戶事故無小事。以下是近期出現(xiàn)云故障事件盤點:

7月24日,騰訊云廣州區(qū)域部分用戶出現(xiàn)資源訪問失敗、控制臺登錄異常等情況。經(jīng)排查,是因騰訊云廣州一區(qū)的主備兩條運營商網(wǎng)絡(luò)鏈路同時中斷所導(dǎo)致。實際上主備兩條運營商網(wǎng)絡(luò)鏈路同時被挖斷并不常見。

6月27日,阿里云出現(xiàn)運維失誤,導(dǎo)致一些客戶訪問阿里云官網(wǎng)控制臺和使用部分產(chǎn)品功能出現(xiàn)問題。受影響范圍包括阿里云官網(wǎng)控制臺,以及MQ、NAS、OSS等產(chǎn)品功能。據(jù)悉這次故障被阿里云內(nèi)部定義為S1級別(在阿里巴巴的線上業(yè)務(wù)故障級別中,對S1的定義是:核心業(yè)務(wù)重要功能不可用,影響部分用戶,造成一定損失)。

6月15日,因重復(fù)分配內(nèi)部IP地址,谷歌云虛擬機實例大量出現(xiàn)聯(lián)不上網(wǎng)的問題。

4月6日,微軟Office 365 和 Azure Active Directory訪問出現(xiàn)問題……

這些安全事故有出現(xiàn)在運維層面,有出現(xiàn)在產(chǎn)品層面,有出現(xiàn)在網(wǎng)絡(luò)攻擊方面,還有出現(xiàn)在物理設(shè)施故障(如容災(zāi))層面。應(yīng)該說絕對安全的云并不存在,在上云成為既定趨勢下,行業(yè)客戶了解各家云計算廠商如何做云計算安全,應(yīng)該說有助于在選擇云計算廠商時更有思考余地。

AWS:

AWS提出安全責任共擔模型,集合AWS、AWS客戶、APN合作伙伴三方共同做客戶的安全。其中,AWS管理和控制云服務(wù)所在的物理設(shè)施安全,以及托管操作系統(tǒng)和虛擬層的安全,并構(gòu)建安全的應(yīng)用。APN合作伙伴提供涵蓋網(wǎng)絡(luò)安全、配置管理、訪問控制和數(shù)據(jù)加密的工具服務(wù)。

另外AWS在2017年末推出了智能安全服務(wù)GuardDuty,打造主動檢測和持續(xù)性防護能力。

在容災(zāi)方面,AWS每個可用區(qū)具有獨立的電源、冷卻和物理安全性,并通過運營商的高速光纖網(wǎng)絡(luò)連接到國家骨干網(wǎng)絡(luò)。AWS客戶可以將其應(yīng)用程序構(gòu)建在多個可用區(qū)運行,或在兩個AWS中國區(qū)域分別運行以實現(xiàn)更高的容錯。

阿里云:

阿里云同樣提出了安全責任共擔模型,阿里云負責云平臺基礎(chǔ)安全防護,用戶負責虛擬化層以上的組件安全、業(yè)務(wù)安全等。阿里云為用戶提供了安全管理、系統(tǒng)安全、業(yè)務(wù)及內(nèi)容安全三方面安全能力。安全管理包括云賬號安全管理及訪問控制、安全審計和遠程運維,它們大多源于云產(chǎn)品本身的安全功能;系統(tǒng)安全包括了網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、安全態(tài)勢感知等多方面安全服務(wù)。

阿里云最知名的安全產(chǎn)品是云盾,云盾在DDoS攻擊、OWASP常見攻擊都有很好的防御效果,不過在今年3月份的史上首個核彈級DDoS攻擊面前,很多阿里云盾的免費用戶都遭受了攻擊。

類似AWS,阿里云也在態(tài)勢感知方面努力,利用機器學(xué)習(xí)和威脅情報發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊,回溯攻擊歷史,預(yù)測即將發(fā)生的安全事件。

騰訊云:

騰訊云是基于“云管端”的體系做安全,騰訊云在數(shù)據(jù)安全、網(wǎng)絡(luò)安全、主機安全、安全服務(wù)、風(fēng)控安全、流量安全、內(nèi)容安全、終端安全的能力方面正在形成布局;同時,騰訊云已聯(lián)手100多家生態(tài)伙伴聯(lián)防聯(lián)控,為用戶提供云上防御產(chǎn)品和解決方案。

另一重要消息是,5月29日,騰訊宣布騰訊貴安七星數(shù)據(jù)中心正式開啟一期試運行。未來貴安七星數(shù)據(jù)中心將被用于存儲騰訊最核心的大數(shù)據(jù)。按照規(guī)劃,這將是一座綠色災(zāi)備數(shù)據(jù)中心,會存放30萬臺服務(wù)器。應(yīng)該說這一數(shù)據(jù)中心的逐步啟用,將有助于數(shù)據(jù)安全。

金山云:

金山云從漏洞對抗、業(yè)務(wù)安全對抗、虛擬化安全對抗和DDoS對抗四個維度來進行布局,希望形成智能的安全平臺和可視化的風(fēng)險數(shù)據(jù)預(yù)警體系。

金山云通過提供系統(tǒng)補丁、更新yum源等服務(wù),建立自定義安全組拒絕非信任來源的訪問請求,提防系統(tǒng)漏洞帶來的黑產(chǎn)入侵。

在業(yè)務(wù)安全對抗方面,主要包括惡意刷單對抗和帳號安全防護。

在虛擬化安全對抗方面,金山云通過主機層隔離、租戶內(nèi)網(wǎng)絡(luò)隔離、租戶間網(wǎng)絡(luò)隔、主機監(jiān)控和網(wǎng)絡(luò)監(jiān)控等方式,來應(yīng)對虛擬化安全問題。

針對用戶數(shù)據(jù)的存儲,金山云提供包括對象存儲、關(guān)系型數(shù)據(jù)庫、Redis數(shù)據(jù)庫等多種存儲方式,并加持安全隔離、加密存儲、訪問控制、隱私保護、數(shù)據(jù)監(jiān)控等技術(shù)手段保證數(shù)據(jù)安全。

另外結(jié)合此前推出的同區(qū)域多可用區(qū)部署和跨區(qū)域VPC對等連接服務(wù),金山云如今可為用戶提供同機房、同城、異地三級服務(wù)容災(zāi)部署能力,為企業(yè)級客戶打造云上災(zāi)備解決方案。

青云QingCloud:

青云QingCloud組建了網(wǎng)絡(luò)安全、數(shù)據(jù)安全、賬號安全、高可用的系統(tǒng)架構(gòu)、應(yīng)用安全及攻擊防范等多方面安全防護。青云QingCloud提供塊設(shè)備級(block device level)的硬盤備份與恢復(fù), 可以同時對多張硬盤做備份(包括系統(tǒng)盤和數(shù)據(jù)盤),也可以對正在運行的主機做在線備份。

值得一提的是青云QingCloud 在基礎(chǔ)網(wǎng)絡(luò)之外,還提供了私有網(wǎng)絡(luò)(VxNet)功能。私有網(wǎng)絡(luò)類似物理世界中的局域網(wǎng),可保障在公有云多租戶的場景下,用戶之間100%的二層隔離,這是青云QingCloud在網(wǎng)絡(luò)安全的布局。

如何做好云安全?企業(yè)除了需要考察廠商的整體云安全體系是否完善、強大外,也要考察云廠商是否真正落地三副本存儲、同城雙活這些措施。同時使用云計算的企業(yè)可以考慮將業(yè)務(wù)部署在多云上,也是防止單一云計算平臺出現(xiàn)故障時,導(dǎo)致業(yè)務(wù)完全中斷。生產(chǎn)數(shù)據(jù)本地備份也十分關(guān)鍵,本次騰訊云故障引起的數(shù)據(jù)丟失事件中,如果“前沿數(shù)控技術(shù)”做快照、或者多機備份、或者業(yè)務(wù)部署在多可用區(qū),也是可以恢復(fù)數(shù)據(jù)的。

另外針對中心化存儲的數(shù)據(jù)丟失這類事故,我們也看到一些行業(yè)專家提出的技術(shù)解決方案。比如Lambda的創(chuàng)始人何曉陽認為基于區(qū)塊鏈技術(shù)的Lambda存儲,具有去中心化、可證明的持有性和可恢復(fù)性、可證明的刪除及遺忘、數(shù)據(jù)流向清晰等特點,盡管當下還存在成本高、技術(shù)落地難,但可能是未來數(shù)據(jù)存儲的發(fā)展方向。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論