黑色安全產業鏈
在網絡上,充斥著形形色色的黑客論壇、內容五花八門,兜售盜號木馬,買賣“肉雞”,流量攻擊等。為什麼稱之為“黑色”的安全產業鏈,因為這是敏感的,地下的不見光的”攻擊”產業鏈。當然也有一些“防禦”產業鏈中的安全公司,比如卡巴斯基、360、安全狗等。比如,08年奧運會的安全防禦的民間黑客團隊。
在計算機領域,都知道遊戲行業的各項福利都不錯。相比黑色的安全產業鏈,那真是小巫見大巫了。我記得剛畢業那會兒,去面試一個黑客崗位,月薪5w起,不算分紅。我記憶猶新的是,那人問了我一個問題,就讓我說說實現的原理:騰訊遊戲的歡樂鬥地主,怎麼樣用程序實現看對方的底牌。
由於安全領域涉及到複雜的高端技術,決定了安全領域攻防的成本也是高昂的,所以這是黑色安全產業鏈暴利的核心原因。
如上圖經典的DDOS攻擊,駭客需要通過漏洞大量去“抓雞”,從而通過控制肉雞產生流量攻擊。這個過程的成本往往是高昂的,比如一些地下市面價格,10G的流量打1小時約4-5萬。而當然,通過技術手段想要防禦這些攻擊,往往也不是那麼容易的。這也是為什麼傳統一臺硬件防火牆高達幾十萬。這也是為什麼阿里雲的20G高防ip的產品,一個月的費用要將近兩萬。而往往很多用戶不理解、也接受不了,抱怨一臺雲主機每個月只要幾百塊錢,但為什麼買個安全產品每個月卻要花幾萬。我淡然笑之,是因為大多數人對安全行業缺乏瞭解。
雲端的安全挑戰
誤區:使用了雲,安全問題就得到了控制
雲計算的確給我們帶來了成本、效率、靈活性上面質的飛躍,很多人誤以為使用了雲,安全問題就得到了控制。通過阿里雲安全態勢反饋,在雲端環境下,安全領域的防禦依舊給我們帶來嚴峻的挑戰。
相比傳統的IDC單一模式,雲計算涉及的安全問題,是在跟整個互聯網公司做安全防禦。並不是上雲後安全問題都解決了,安全問題依舊存在。只不過雲端安全,將很多防禦類技術做出相應的雲端安全產品(比如“十年攻防,一朝成盾”的阿里云云盾),讓我們解決對應安全問題變得更加高效,也進一步體現了雲計算在效率、靈活性上面的優勢。例如很多用戶就是為了雲盾免費的5G DDOS流量防禦而來,即買一臺1核1G的服務器,一個月成本才70塊左右。但就能免費獲得5G的DDOS流量防禦,何樂而不為呢。
挑戰之一:信任問題
雖然雲計算是種趨勢,必將取代傳統IDC這種模式,帶來IT時代轉向DT時代的變革。但到現在,“老一輩”依舊很多人受到傳統IDC“封建”思想的固化。很多人缺乏對雲的瞭解,認為把應用及數據放在雲端是種冒險行為。13年我從事阿里雲架構師的時候,我印象很深刻,那時候雲計算還不普及。在跟客戶介紹的時候,更多是在闡述安全性的概念性的解釋,即跟客戶一再解釋雲端是如何的安全等。
我深有體會的是,隨著這幾年雲計算的發展及普及。現在客戶遇到我,更多的是向我詢問怎麼樣解決雲端的業務遇到的安全問題。所以如今如果還停留在,糾結雲端是否安全等概念性的問題上面。那麼你跟競爭對手的差距會越來越大,你必然會被雲時代所out掉。
挑戰之二:安全意識
最大的安全問題,並不是黑客技術有多麼的高超,而是我們的安全意識有多麼的低下。
例如,總有人把密碼設置為123456、自己的生日、自己的手機號等,總有人把所有服務器的密碼都設置一樣,總有人把密碼放在excel/word/郵件中傳送。
例如,很多人不太明白,為什麼有可能自己互聯網上面的所有賬號及密碼都會被竊取。隨著互聯網上的系統越來越多,很多人為了圖方便,把所有系統的賬戶名、密碼都設置成一樣。比如,淘寶賬號、微博、QQ密碼等。並不是黑客的本領有多大,黑客只需要簡單的破解你一處的密碼,便可以拿這個賬號及密碼到其他系統試一試就知道能不能登陸了。
例如,明明我係統安全做的足夠好了,但為什麼系統還是被入侵了。這也是黑客利用了安全意識薄弱,總有人把很多系統部署在一起、或者同個局域網內。黑客利用“旁註”的攻擊手段,只需要攻擊“弱小”那個系統為突破口,再通過“旁註”入侵另外的系統。
挑戰之三:使用問題
即使跟你造了飛機大炮,但敵人來了,你卻不會使用。最大的安全問題,並不是敵人有多強大。而是敵人打你,但你不懂得如何使用武器反抗。劈開上面讓大家有足夠的安全意識不說外,現在又要讓大家運用好雲計算解決安全問題,這未免有點為難大家了。就拿阿里雲來說,當前阿里雲提供了一百款左右的雲產品。讓大家能夠靈活的運用這些雲產品,解決安全問題,的確是比較牽強。這已經是個非常專業的要求了,這也是我到現在總會發現,總有些客戶喜歡拿16核/64G的服務器僅部署一臺tomcat。這也是很多客戶經常問我,為什麼一臺ECS前面要加臺SLB。
更有不會使用的,還耍賴說雲不安全等。比如之前遇到的一個客戶,一個傳統的在線直播小網站,放在IDC的經常被打,一下子網站就癱了。後來自己遷移到了阿里雲,問題還沒解決,最終被迫又遷回了阿里雲。後來我們接手解決了這個問題,我們再次遷到阿里雲,只不過這次我們再架構上進行了簡單調整,採用SLB+ECS,並對系統進行了安全加固及優化。另外一方面,在雲盾進行了更加細粒度的閥值觸發調整。最後不但解決了安全問題,我們還對ECS配置進行了優化調整(把固定帶寬變更為按量帶寬),每個月能節省3000元左右阿里雲費用。
具體在雲端安全的最佳實踐,在下一篇為大家技術乾貨詳細的分享。
閱讀更多 駐雲老王CloudCare 的文章
