现在云服务应用越来越广泛,从日常手机中以苹果iCloud为首的手机自带云备份,百度云盘为代表的各类网盘,再到阿里云,腾讯云为代表的云服务器厂商,还有GitHub为首的代码托管,各类SaaS服务,云操作系统,政务云,金融云等。这些云服务真的如宣传中的那样靠谱么?
写这篇文章是因为今天刷手机看到一则新闻,说“全球最大同性交友网站”(最大代码托管平台)挂了。虽然就几个小时(傍晚登录的时候已经可以访问,但只是能访问而已),却引起了不小的波澜,GitHub马上出来说明,说是数据存储系统除了问题。同样的悲剧还发生在去年,同样也是代码托管平台,gitlab因运维人员疲劳误删了超过300GB的数据,这对于几乎全是英文字母的代码来说,已经是超大量了。而这一错误仅仅是因为一行代码—— rm -rf。
再来说说国内的相关大事件。以前我们传文件多用U盘,邮件附件,或者QQ,微信等,现在我们会经常用百度云等在线网盘去储存和分享文件。就因为“分享”,百度打了自己的脸。用搜索引擎搜索“site:yun.baidu.com 来自:iphone”就会搜索到很多用户手机里的私密文件,照片等,运气好还能赶上直播(部分用户会开启百度云自动备份手机相机照片,如果在拍照的时候正好被人搜索到了,那绝对不亚于直播)。因为这个不算是漏洞的漏洞,百度没少费神。同样的,icloud等也或多或少地存在类似的问题。这里蒲同提醒大家,上传网盘的时候能不分享就别分享,能加密分享就加密分享,能分享同级/子文件夹就别分享父文件夹。
还有我们现在日常工作中最常用的SaaS服务。什么是SaaS服务大家可以先自行百度。举个简单的栗子,现在公司里常用的钉钉打卡,各种管理办公软件(通过输入网址直接可以用的,不需要下载软件)等。这些软件最大的特点就是方便,便宜又好用。这似乎是极高的评价,但这些带来的风险就是数据的安全性。一方面客观的,类似前文提到的GitHub等遇到的不可预知的系统问题;还有一方面是主观的,也是最有隐患的,使用这类软件,我们所有的数据都是储存在服务供应商那边的,所有操作,数据都会有记录,很多时候删掉都不好使。这在大数据时代,绝对是不可忽视的,如果再遇到几个用心不轨的员工,那拿到大批量用户数据去倒卖是不可避免的事情。小则影响业绩、声誉,大则影响生存(很多行业会因为掌握某些大数据而被提前透露商业机密或被垄断)。
相较普通的商用云服务,政务云和金融云的安全性会更高,但目前看来,没有什么是绝对安全的,一旦出现问题,带来的影响,无论是深度还是广度,都会更大。在电影《偷天换日》中电脑黑客莱尔黑进了交通控制中心,制造了一场洛杉机大堵车,控制市内各个路口的红绿灯,从而为他们的全城大逃亡开辟出一条绿色通道。在前几年,美国、东欧和俄罗斯的多家银行发生了网络盗窃事件,损失以数十亿记。
所有事物的出现必定有其合理性,云服务的飞速发展,也是因为它的方便,快捷,高效且对中小企业来说非常省钱。
写这篇文章不是为了唱衰什么,云服务带给大家的,目前来说没什么能替代,而且,未来会有越来越多的东西上云,我们的生活,工作也会因云服务而变得精彩。写这些主要是为了提醒大家云服务还是存在着不少问题,这些问题不是靠大厂家背书就能解决的。我听很多客服介绍自家产品时会说我们的所有业务都是部署在“阿里云”上的。我们大部分人提出问题期待的就是一个回答。而一推敲,就是个圆不上的回答。阿里云就等于绝对可靠么?所以,这里有几个小tip给大家。当购买或者使用云服务的时候,可以多问几个问题:有保密协议吗?数据是怎么加密的?服务出故障要多少时间排除?如果得到答案超出15分钟,那基本可以把这个厂商排出在外了。有没有常驻热备灾难恢复系统?(就是那种两处或者多处服务器同时运行着你的东西,其中一处不论受到怎样的攻击,就算是外星人入侵了,你的服务还是能正常在另一处服务器上应用)。
最后,推荐大家几个网站,可以在使用或者购买云服务前查一下,这些服务是否有漏洞。1、OWASP( https://www.owasp.org/ )可以提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。2、补天漏洞响应平台( https://butian.360.cn/ )是中国国家信息安全漏洞共享平台三个合作方之一(另外两个,乌云网和漏洞盒子因为一些特殊情况,服务到2016年7月就进入了无止尽的“暂时关闭升级”),可以查询实时漏洞。当然了,说再多还是要强调一点,随时备份!备份!