雲之變3：宕機背後，雲端的安全戰爭_風聞

今日，各行各業想要探尋技術對產業價值的吸力，一個毋庸置疑的選擇，就是——上雲。

對於絕大部分公有云用户來説，將業務遷移到雲端的好處是顯而易見的。一方面，雲計算提供了節省成本、加快某些流程的網絡方案，使企業管理和存儲信息變得更加容易；同時，利用雲將AI的各種能力移植到產業，也為不少傳統領域賦予了能量和新的想象空間。

但基礎設施變革序幕的拉開，也意味着企業面臨的內外部環境迎來前所未有的挑戰。在過去一年的時間裏，全球主流的雲服務廠商發生過數十起大規模宕機事件，個別廠商甚至多次“中招”，背後是成千上萬個雲端企業或項目的業務損失，甚至夭折。

顯而易見，對公有云廠商來説，想要讓千行萬業依託雲計算構築新的產業效率壁壘，進而做好這門時代的大生意，並非易事。在我們看來，至少需要回答好兩個問題：一是如何減少公有云的安全隱患？另一個則是如何在深入產業的過程中讓企業重新理解雲安全？

生於憂患的雲安全水位

過去一兩年的時間裏，即使是當前應用最為廣泛的雲服務商，從AWS、微軟Azure到谷歌雲、阿里雲等，任何一家都沒能實現100%的可靠性。雲服務的安全隱患，也一次次被突發的宕機事件推到風口浪尖上。

儘管事後雲服務商都對造成網絡故障、數據損失的客户進行了一定的賠償，但比起“亡羊補牢”，業內人士與觀望者顯然都對宕機背後所折射出的雲端安全問題更加關注，且心有餘悸。雲服務的安全機制與技術，是時候來到“被變革”的拐點了嗎？

我們知道，雲計算與產業融合，包含兩個層面的含義：一是通過共享式的雲端服務器向各行各業提供更強大、成本可控的網絡支持；二是向海量IoT物聯網設備提供龐大算力和智能技術落地，觸發邊緣智能與社會生產的融合。

雲，即生產力，這一個充滿希望的市場，也帶來了全新的問題。

首先，隨着越來越多的企業將業務系統、敏感數據部署在雲上，作為基礎網絡支撐的雲服務器一旦宕機，將像停電一樣，讓遊戲、電商、流媒體等移動應用直接癱瘓，除了影響用户體驗與增長，更有甚者還可能導致生死攸關的業務損失。

如果説前者映射的是傳統安全技術的升級需求，那麼物聯網時代設備間的互聯互通，則讓我們看到了雲服務商未來突圍的標準線。

從勒索病毒頻發襲擊醫院、銀行等的終端設備，到智能家居、車聯網、工業物聯網等邊緣智能的高速發展，也反映了，接入雲服務之後面臨的複雜網絡環境與數據勾連，一旦宕機，漏洞也很容易“被共享”，然後讓黑客“一波帶走”。抵禦物聯網襲擊，也成為用户對雲廠商技術實力的基本要求與信任座標。

不難發現，頻發的宕機事件背後，其實正對應着社會組織對雲服務部署方式的躊躇，以及雲計算想要進入複雜產業應用所必備的安全水位。

蔽障叢生的雲安全“天梯”

一場雲巨頭間的安全攻防戰，正一觸即發。而站在此時此刻，我們會發現，雲計算技術本身想要滿足社會應用的需求，其安全的“水槽”既有着先天的短板，也在與惡意的鬥法中不斷觸及新的瓶頸。

比如雲服務的共享性，某種程度上來説就是雲計算的先天隱患。

我們知道，公有云服務商往往會通過共享技術設施、平台或應用程度來實現規模化服務，這就需要部署大量的硬件，以及多種虛擬化管理組件，如虛擬機監視器、網絡策略控制器，存儲控制器等等，來實現多租户共享硬件並隔離業務和數據的需要。

而這樣用户規模龐大、數據多樣化強的數據中心，卻更容易成為被攻擊的目標。從國家互聯網應急中心發佈的《2018年互聯網網絡安全報告》中來看，雲平台已成為發生網絡攻擊的重災區，在各類型的網絡安全事件數量中，雲平台上的DDoS攻擊次數、被植入後門的網站數量、被篡改的網站數量佔比均超過了50%。

在這樣的環境下，一旦某些軟件類漏洞被惡意利用，攻擊者可以輕鬆快速地覆蓋所有類似的實例，其他租户自然也就在享受“即服務”便利的同時，也把安全威脅也一起“共享”了。

既然使用單一雲讓人提心吊膽，那麼把雞蛋（敏感數據）放在不同的籃子（雲）裏，能不能避免“火燒連營”呢？

目前越來越多的企業開始選用“多雲”部署，選擇多個雲服務供應商互為主備作為災備預案。也有的會租用多個雲服務或自建機房，讓私有云或專有云來承載關鍵服務與數據。

“混合雲”方案在提升業務安全性的同時，也意味着企業成本和技術複雜度會成倍地增加。不一樣的資源管理，不同的底層架構，不一致的安全工具，意味着企業需要更多的安全產品及運維人員，一旦內部安全管理對整個IT系統缺少宏觀把控的視角，就很難在數據加密、策略上達成統一，從而讓不安全的API、混亂的密鑰身份管理等問題趁虛而入。

事實上，從發現漏洞到被利用的平均時間每年都在減少，而正如Gartner公司在調查報告中預測，“其實95%的雲安全故障都是客户（錯誤操作）的錯。”

這裏就不得不提到雲安全的另一個“短板”，對於部署在雲端系統的網絡，保證企業存儲在雲平台中的內容安全，被視為是雲服務廠商的責任。但僅僅靠雲服務商還遠遠不夠，用户相對應的安全防護意識、應用能力、控制能力不一定能及時跟進，也會進一步加劇安全隱患。

對此，安全軟件提供商XYPRO Technology公司表示，“企業將其應用程序遷移到雲端，並不意味着可以將網絡安全責任轉移到雲計算提供商身上。” 換句話説，在新的安全機制沒有達成共識之前，漏洞與安全風險就會伴隨着雲服務的狂熱迸發而愈演愈烈，讓雲服務廠商們在補漏填坑中疲於奔命。

總而言之，新的攻擊方式、混亂的身份管理、高級持續性威脅、惡意SaaS應用、共享技術問題等等，都是雲安全“水槽”要一一拔高的短板。如何儘可能高效無死角地找到那些隱藏在意想不到的角落裏的漏洞，是雲服務商搶奪市場、建立優勢的先決挑戰。

正在被AI治癒的“雲恐慌”

當然，問題也意味着機會。我們都知道，AI的強大算力與邏輯推理，正在不斷與產業結合，創造超出想象的經濟價值。那麼在安全實踐中，智能革命也能發揮作用嗎？

顯然，不斷向產業端批量輸出AI能力的雲服務商，也正圍繞AI展開了安全戰役賽點的“奪旗賽”，來解決各個行業的顧慮，與不同企業雲計算的落地需求。

比如主打AI能力的谷歌雲，就在海外快速蠶食這AWS的市場份額；國內我們耳熟能詳的華為雲、百度智能雲、阿里雲智能，都將智能防禦作為雲解決方案中的核心能力。

總的來看，AI的技術特質正在被雲服務商在安全全流程中全面調用，集體將雲端安全推向了原生、智能的位面：

首先是大規模數據的處理能力。我們知道，雲端需要部署多種安全設備和軟件，涉及到海量安全數據和重複報警，依靠運維人員人工在海量數據中提取有效的信息，在雲時代顯然不太現實，而AI恰好是應對規模數據的最優解。

舉個例子，AI對大規模、實時網絡安全威脅數據，能夠快速對多源數據的清洗、歸併和關聯分析，讓運維人員能夠高效地掌握最新的安全事件、重大漏洞等信息，在風險挖掘、應急響應上，達到人工所無法實現的準確率，來識別已知的高級威脅以及一些未知的新型攻擊。

其次是推理決策能力。對於大企業和公共網絡來説，以漏洞為準心的攻擊，比如物聯網攻擊、勒索病毒劫持等等，往往需要主動預判來將防患於未然。而這是傳統型防火牆無法實現的，也將AI能力與雲計算推向了主動防禦的結合點。

比如在用户行為分析上，引入AI對IP、指紋、歷史行為等多維數據進行分析，精準地刻畫用户畫像、挖掘風險點，建立異常檢測模型來感知異常行為並預警，從而有效避免內外部威脅。

此外，AI還能夠利用起深度學習技術來模擬自動化攻擊，來提供安全問題的自動化監測和修復。比如微軟Azure就打造了一套芯片、雲和操作系統一整條的雲計算安全運行鏈。

除了在外部攻擊端通過智能自動化來提質增效之外，AI在企業內部安全管理上的優化，也進一步提高了雲計算的安全水位。

其中比較典型的智能化安全產品，比如態勢感知平台。通過AI對能夠引起雲環境態勢發生變化的安全要素進行獲取、理解、預測，能夠有效對虛擬機等雲資產進行動態變化管理和處理。同時，利用AI的彈性識別，雲平台能夠對漏洞的優先級進行優先級排序，利用NLP技術結合網絡上下文分析企業安全的暴露面，評估對業務的影響，優先修復風險最大的漏洞。

另外，內部秘鑰的智能化管理，也讓企業安全變得可控、透明、合規。AI可以在動態環境中授於不同人不同權限，實現雲端系統的精細化管理，讓任何人在任何時間、任何地點，正確地訪問相應資源，統一管理好內部的邊界安全。

如果説“多雲戰略”是企業為自身雲安全所上的一份雙保險，那麼智能安全，也正在雲服務玩家自身基礎服務穩定性的佐證，也是説服用户的戰略性選擇。

某種意義上來説，雲服務深入產業核心的過程中，往往不僅是技術問題，安全意識、市場教育能力，包括對成本的考量，都會讓這場雲巨頭的博弈充滿變數。而AI，正是成為讓大量未知因素與“黑天鵝”被提前鎖定的產業“基座”。