“WannaCry”过后,再聊安全

2017-06-07 15:23:00 作者:zhanggl 分类 : 比特网

  不久前,在“WannaCry”勒索病毒肆虐之际,有一个现代版“扁鹊见蔡桓公”的故事爆红朋友圈儿。故事产生的缘由在于,微软在今年3月份就已经发布了针对SMB漏洞的MS17-010 安全更新,但很多用户毫不知情,没有主动更新安全补丁;亦或是在这些用户的Windows系统中,“自动更新”一直处于关闭状态,导致病毒有机可趁。

  结果,一个“WannaCry”(想哭),真的让很多Windows用户哭了起来。从北京时间5月12日晚开始,全球范围有100多个国家遭到大规模网络攻击,病毒在中国多家高校大肆传播,部分加油站受到波及,某市公积金管理中心暂停业务,病毒甚至影响到交通管理网络和公安网。

  据国外风险建模公司预计,此次事件造成的经济损失超过80亿美元。

  其实“WannaCry”的入侵机制和传播机制并不复杂,它是利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝),扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金,勒索金额为300至600美元。

  但就是这样一个看似简单的勒索病毒,却给全球用户带来如此大的损失,所暴露出的是企业和民众在网络安全意识方面的欠缺。如果用户安全意识足够强,提前开启防火墙,并及时更新安全补丁,“WannaCry”也就无从下手。如果企业具专业的安全研究和运维团队,也不难防患于未然。

  然而事与愿违。普通用户大多不是IT专家,并不了解如何处理安全漏洞;而很多企业用户的应用环境也并不安全,有很多企业还在使用较早版本的操作系统,如WinXP,微软早已停止支持;也有很多企业并没有严格的安全机制和管控措施,没有及时弥补安全漏洞,给了病毒可趁之机。

  那么,有没有一种方式,让普通用户和企业用户都能够放心地使用办公或者开发环境?让他们的数据安全无忧

  公有比你想象的更安全

  答案是云,特别是公有云。

  相信这会让很多人疑惑,自从云计算诞生,关于云安全的讨论就一直未曾休止过,特别是对于公有云而言。在很多人看来,采用第三方云服务商所提供的应用环境,或是将数据托管在云上,总不是那么让人放心。

  实际上,“安全”和“不安全”都是相对而言,它并不是非黑即白。

  传统的企业IT应用环境一般是本地化、分散的。由于客户端众多,难于统一管理,如果没有严格的安全策略和管控机制,安全风险实则很高,多年来,由于企业员工缺乏安全意识所造成的病毒传播和数据泄露问题屡见不鲜。

  故而,近年来我们看到越来越多的企业采用VDI,对客户端进行统一管理,降低安全风险。

  相比传统的分散式企业IT环境,企业构建私有云环境能够有效降低安全风险。私有云环境一般不对外开放,仅供企业内部使用,关键数据集中统一管理,如果安全策略、管控、备份、容灾都做得到位,私有云是一种相对安全的环境。但凡事都不绝对,并不是每一家企业都拥有强大的安全和IT团队,管理水平参差不齐,如果疏于管理,一样存在不小的安全风险。

  而相比传统的企业IT环境和私有云,公有云的安全性一度受到过更多的置疑。大多数企业对于将生产、开发环境以及关键数据放到公有云上并不那么放心。故而当前选择公有云服务的大多是初创企业、互联网企业,或者是大中型企业的非关键业务。

  尽管很多人会将“不安全”和“公有云”画上等号,然而正如前文所提,“安全”并不是一个非黑即白的论题,而是有很强的相对性。很多人并不清楚、但是已经成为事实的一件事是,相对传统的企业IT环境和多数企业的私有云环境,公有云反而更加安全。

  有若干理由。

  其一,公有云是一种规模化的云计算形态,云服务提供商通常需要运维大量数据中心,有着专业的、全方位的安全人员实时在线维护企业IT安全。同时公有云上的安全服务通常都由安全专家编写,并提供24小时的安全监控。对于新的入侵方式和安全威胁,公有云服务能够迅速做出反应。

  例如,华为拥有专职专业的安全研发和运维团队,在安全上的投入力度在业内位居前列。

  其二,为提升云服务质量和安全性,众多云服务厂商纷纷注入巨额投资,将高级别安全性融入各自的产品中,以确保它们的数据更加安全。这些资金的量级远超大多数大型企业可以承担的费用,更勿论一般的中小企业了。

  其三,公有云服务通常要合规并通过安全认证。在全球,云安全有着一个权威的认证标准,即由国际云安全联盟(Cloud Security Alliance,下称“CSA”)所推出的CSA STAR认证。2015年6月15日,CSA与广州赛宝认证中心服务有限公司合作推出的国内首个全球认可的云安全评估服务“C-STAR”落地中国,华为成为全球首家通过该认证的公有云服务商。

  因此,公有云服务获得了越来越多企业的信任,而安全性也正在成为企业选择公有云服务的重要理由。Gartner预计,到2018年,提升的安全性将取代成本节约和敏捷性成为政府部门在其权限内采用公有云的首要动力。

  Gartner副总裁Ed Anderson曾经表示:“Gartner在云安全的立场一直是坚定的,领先的云提供商提供的公共云服务是安全的,企业面临的真正挑战应该是如何安全的使用这些云服务。”

  所以, 我们对于公有云的安全性应当有所改观,公有云的安全性正在进一步提升,它已经能够更加安全、全面、快速地保护用户应用环境和数据的安全。

  对于安全,华为公有云很有的谈

  今年3月9日,在长沙华为中国生态伙伴大会2017上,华为轮值CEO徐直军宣布,华为将成立专门负责公有云的Cloud BU,在2017年增加投入2000人。在此之前,华为公有云还是“犹抱琵琶半遮面”,此次宣布标志着华为已经明确了路线,将大举进军公有云服务。

  华为公有云将在六大方面发力,包括基础设施、公有云服务、视频和通讯、软件开发、应用迁移和开发工具。概括而言,相比其他公有云提供商,华为公有云在可靠性、开放性、全球化的线下服务能力、生态建设和行业聚焦等方面颇具优势。

  同时,华为公有云构建了一整套从机房安全、软硬件安全、管理安全到认证安全等层面在内的全方位安全防护体系,让用户更加安全的使用公有云服务。

  其中,在安全投入上,华为投入了专职的安全研发队伍,每年能够防范百万次外部安全攻击。

  在合规性和安全认证方面,华为公有云已经取得超过十项安全及合规认证,除了国内首个全球认可的CSA C-STAR云安全认证之外,还通过了等保三级认证、可信云认证、ISO27001、DJCP认证、TUV认证等,能够满足不同区域和行业的安全及合规要求。

  在管理安全上,华为公有云要求运维人员通过专用运维通道进行运维,在未经授权的情况不能访问接触客户数据,同时有专业的审计人员对运维操作进行审计。

  在软硬件安全上,华为公有云提供了防DDos攻击、WAF防护、VPC、安全组、Web漏洞扫描、虚拟机安全、网络隔离、安全传输协议、加密存储、角色权限等多种技术手段,以降低被攻击的风险。在运维上,华为公有云建立应急响应小组,对业界发现的安全漏洞及时进行风险分析并通过升级降低安全风险。

  在机房安全上,华为公有云采用了T3+级机房标准、双回路供电、冗余备件,最大程度保证基础设施的安全稳固。

  值得一提的是,基于华为公有云,华为已经将20多年的软件开发能力全部开放出来,构建了“华为软件开发云”。如今这朵云已经相继在大连和青岛落地。

  “华为软件开发云”是为中小软件企业、外包企业、双创企业、互联网企业、高校和广大软件开发者所打造的一个“一站式”云端DevOps平台,它包含了项目管理、配置管理、代码检查、编译构成、测试、部署、发布等一系列模块,覆盖软件开发的全生命周期。

  华为软件开发云全面继承了华为公有云的安全保障,并针对软件开发场景增强了更多安全特性。

  例如,在开发过程中,华为软件开发云严格遵从网络安全要求进行产品开发,采用黑盒与白盒等多种工具及手段检测评估安全漏洞,并进行安全加固,充分降低了安全漏洞存在并被利用的风险。

  在客户使用上,客户系统与华为软件开发云之间的传输全部采用HTTPS/SSH等安全协议,对协议的版本及加密算法进行严格处理,以确保使用安全的版本协议以及加密算法。

  在权限控制上,开发项目的不同角色人员在使用华为软件开发云的过程中,可以分配不同权限,控制对不同资源的访问,通过最小授权原则降低研发资产泄露的风险。如:设置不同的代码库,用来存放核心代码或者普通代码,不同权限的人员访问不同的代码库。

  Gartner曾经指出,安全必须成为DevOps中的必备部分,也就是所谓的DevSecOps。华为软件开发云正是一个融入了业界先进安全技术的云端DevOps平台,为开发者提供了更加便捷、安全、一站式的云端开发服务。

  近年来,全球公有云市场一直保持着高速增长,且这种势头还会持续下去。Gartner预测,从2016年到2026年,全球公有云服务市场将增加18%,从2092亿美元增长到2468亿美元。而随着公有云的大规模应用,公有云用户也将更加注重云安全,对于公有云提供商来说,唯有抓住了“安全”这一关键要素,才能让自身更具竞争力。

  从华为软件开发云“以安全为第一要务”的做法能够看出,华为早已洞悉了公有云的未来趋势,这让华为公有云在日趋激烈的公有云竞争中能够占据更多的主动性;华为能够提供更加安全的云,这给予了用户、合作伙伴更强的信心,有助于华为更加快速的扩大云生态,迅速扩大公有云战果。

  面对一朵更安全的云,为什么不去尝试一下呢?

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。