2017年,勒索病毒袭击了全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。中招的用户被要求在72小时内支付价值300美元的比特币,如果7天后拒付赎金,计算机将被永久锁住。
据硅谷网络风险建模公司Cyence的首席技术官George Ng估算,此次网络攻击造成的全球电脑死机直接成本总计约80亿美元(约合人民币550亿元)。
勒索病毒页面
同样是2017年,著名的网络服务商CloudFlare被曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间,一度被媒体称为史上最大的云安全事故。
CloudFlare网站客户大面积遭殃,包括优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息在网上泄露。
万物上云确实给广大企业带来了诸多便利,可由于云计算数据资源规模化和集中化的特征,一旦云安全得不到保障,就会造成巨大的影响。所以,在云计算的概念得到普及后,云安全一直是上云用户最为关切的问题之一。
- 1 -
国内外云安全现状
欧美标准先行,国内尚有差距
根据Gartner2017年6月的预测,全球云安全服务将保持强劲增长势头,在2017年达到59亿美元,相比2016年增长21%,云安全服务市场将在2020年接近90亿美元。
上表显示出的云安全服务的几个重要细分市场,包括安全电子邮件网关,安全Web网关,IAM、IDaaS、用户认证等多个维度。
Gartner研究总监Ruggero Contu在接受媒体采访时表示:“电子邮件安全、web安全以及身份与访问管理(IAM)仍是各企业机构的前三大云业务重点。”
关于云安全的问题,各国采取了不同的策略。
美国要求为联邦政府提供的云计算服务必须通过安全审查,在政策法规指导下,美国以评估、授权、建设为监管抓手实施云计算安全监管。
欧盟为了保护云服务安全,出台了监管政策,并制定了相应指南,规范服务商行为。欧盟的《安全港协议》要求确保其他国家和地区能达到欧盟要求,并促进数据共享,同时可以限制云服务数据跨境随意流动。
虽然中国这两年的上云步调可谓突飞猛进,可中国的云安全标准管理工作却推进得较为缓慢。相关媒体表示,由于数据加密人才的匮乏、大平台对小公司的不信任、企业和个人对数据隐私不敏感、对数据重要性的认知度不足等原因,国内的云安全市场一直与欧美等发达国家有所差距。
不过,即便国内云安全服务发展的还不够成熟,可上云已经成了大势所趋的一件事。对此,国内知名数据库安全厂商安华金和的CEO刘晓韬曾对企服行业头条(微信ID:wwwqifu)表示:
“未来企业上公有云的趋势是不可避免的,将有更多创新型公司会把业务系统放在云上处理,所以包括安华金和在内的很多安全企业,都会把更多的安全技术以合适的产品形态搬到云上。”
- 2 -
国内各大云厂商
已经覆盖了大部分安全场景
Crowd Research最新的“2017年云安全报告”调查了35,000多个信息安全社群的网络安全专业人士,其中有1/3的企业都表示将在未来12个月内增加云安全预算。同时,云安全在IT安全各领域预算增长中占有最大份额,达到了33%。
Crowd Research2017年云安全报告
因此,在云安全越来越得到重视的情况下,如果没法充分保护用户的数据安全,云服务行业的整体发展都会受到限制。
浏览阿里云(云盾)的安全产品目录我们发现,阿里云盾的安全防护分为网络、主机、应用、数据、业务安全等多个维度,其中DDoS高防IP、Web应用防火墙、主机安全中的安骑士被标为hot,与上文Gartner对全球云安全市场的主攻点分析基本一致。
腾讯云(大禹)也优先将安防力量放在了BGP高防(抗DDoS攻击)、网站管家(WAF)、主机安全、Web漏斗扫描等层面,与阿里云在安全方面的布局方向也并没有太大区别。
金山云的布局方向也大同小异,除了名称略有变化,但在安全领域提供的服务并无两样。
企服行业头条(微信ID:wwwqifu)查询UCloud(优盾)、青云QINGCLOUD、华为云等国内知名云服务厂商提供的安全服务后,发现在安全领域各大云厂商的覆盖面都比较全,不管是产品类型还是价格,差别都不是很大。
可如果大型云服务厂商把所有云安全的事情全做了,那国内诸如启明星辰、绿盟、青藤云安全、青松云安全、安华云(安华金和的云业务)、云屏科技等细分垂直的中小型云厂商要靠什么存活呢?
- 3 -
中小型云安全厂商的发展之路
技术高度垂直,策略选择合作
其实在国内的云安全市场,不管是抗DDoS、数据库安全还是主机服务器安全,国内都有一些垂直厂商耕耘其中。这些厂商的核心就是垂直、深度、专一,与大厂商的全面覆盖可谓完全不同。
针对这种模式,企服行业头条(微信ID:wwwqifu)曾在采访青松云安全问到过这个问题。
由于青松云安全是一家专注为企业提供抗DDoS攻击的垂直型云安全服务公司,所以企服君问到:“阿里云盾、腾讯大禹等产品都在做 DDoS 和云安全,如果巨头依靠低价免费的打法攻占市场,青松云安全要怎样应对?”
青松云安全的副总裁吴祖欣表示:“与巨头对抗就像是攻城战,比拼的不是产品,而是粮草,谁有能力维持更长时间的消耗,谁就能赢。因此,打粮草战,小厂肯定打不过大厂。
所以,青松一定不会和巨头硬碰硬,而是转战侧翼,先维护好自己的B 类客户和政府机构的安全类大项目。同时,与安全能力较弱的传统IDC厂商开展合作,输出自己的安全能力,与传统巨头一起搭建平台。”
因此,早在2015年,青松云安全就开始和传统巨头展开合作,与中国电信、华为联合创建云清联盟,促进DDoS防护的产业合作,统一云清洗标准接口,构建DDoS威胁情报库,推动DDoS防护行业标准制订。
云清联盟网站首页
与青松云安全技术垂直、合作共生的策略相似,专注做云数据安全的安华云(安华金和的云事业部)在发展业务的同时,也成为了阿里云的战略合作方。
安华金和副总裁、云安全事业部COO付蓉洁在接受企服行业头条专访时表示:
“在安全领域里角色感很重要,哪些是云平台做的,哪些是安华云安全做的,哪些是第三方做的,都需要界定清楚。阿里擅长做平台,但在数据安全领域,安华云安全更具优势。”因此不管是对于巨头,还是对于垂直厂商而言,合作都是一件合理的事。
不过,与巨头合作的前提是自身的技术一定要过硬。以服务器安全为核心的青藤云安全认为,“整个安全市场是爆发式、井喷式的增长,这个环境里面,创业公司是有机会能够走出来的,就是不依赖于巨头或者即便和巨头竞争也能走出来,唯一需要的是找准一个巨大的市场。”
青藤云安全CEO张福曾表示:“这个领域青藤云安全的产品是最好的。即便去问阿里或者腾讯,他们也会这么告诉你。”由此不难发现,即便巨头可以把自己的云安全服务覆盖到每一个层面,可跑出来且有特色的垂直厂商仍旧有自己的生存点,只要技术过硬,就不会丧失市场。
须知一个好汉三个帮,当前国内的企服领域已经在发展过程中逐渐达成了一种共识,即:做平台的企业专注做平台,做技术的企业专注做技术,两相合作远比一家企业全面布局、大包大揽来得更为划算。
在此,企服君也选取了一些国内比较有代表性的垂直云安全服务厂商,因篇幅有限,无法一一列举,权当抛砖引玉。
- 4 -
说了这么多云厂商
企业该为自己做点什么?
不过,我们明确知道的是,所有的安全防护都不能完全依靠云厂商,只有企业从自身角度真正重视安全,才可能把风险降到最低。
今年7月,一家名为“前沿数据”的公司保存在腾讯云上的数据完全丢失,损失高达上千万。即便腾讯云宣称自己的安全率达到了99.9999999%,采用了三备份数据,可数据还是丢了。
此图已被腾讯云撤换
事已至此,我们就算谴责腾讯也不可能拿回数据,那企业以后还要不要赌运气相信自己不是那0.0000001%呢?在此,我们不禁要问,前沿数据这家公司真的无法在上腾讯云之前,再把自己的数据丢失风险降低几个层级吗?
针对此事,企服行业头条(微信ID:wwwqifu)专访了业界首家提出云灾备解决方案的公司英方。英方CTO周华表示:“概率之外的数据和业务安全,需要租户自己去做好保护。比如云端挂载应用,做好数据本地备份。”
同时,周华为企业保护数据提供了三个简单有效的建议:
一是不管生产系统在云端还是本地机房,都需要做好本地的数据备份,最好采用CDP持续数据保护技术,哪怕数据中了病毒被锁、被删除,也可以恢复出来。
二是应用接管也要建设,这是确保生产端的业务中断时,备端的服务器能够快速接管过来,继续对外提供服务。
三是各类用户在不断提高灾备保护意识的同时,也要对建设好的灾备系统进行定期的灾备演练,及时发现问题,完善灾备系统的各项功能。
同时,企服行业头条(微信ID:wwwqifu)还要强调,企业应该在部署云之前就要创建自己的云安全政策。不仅要做好数据分类,知道数据重要性的优先级,还要考虑允许将数据存放在什么位置及其他问题。
最后,企业仍要牢记,这个世界上没有100%的绝对安全,因此买一份云保险始终是一个好选择。保险的介入将有利推动服务中断的赔偿力度及执行程度,同时降低云服务商的经济损失。当前云保险已成为保障用户权益的经济手段,成为云计算合同的必要内容。
据了解,目前,中国电信、联通云数据、中国移动、百度云、UCloud、迅达云、浪潮云、睿江云等多家云服务商均已为云平台购买保险。保险方案中,对用户的最高赔偿可达千万,目前已出险案件中,累计赔付金额超过百万。
中国的云服务市场虽然正在高歌猛进,可云安全服务却没能更好的匹配节奏。在此,企服行业头条(微信ID:wwwqifu)希望不管是大型云厂商,还是垂直的云安全企业,包括企业和个人在内,都需要更多关注云安全问题,共同促进国内云服务的整体发展。
点赞(0)
说点什么
全部评论