昨天,一则关于“熟人可以篡改你支付宝密码”的消息在网上流传——支付宝被发现新的漏洞,熟人只要知道你最近买过的东西,且二人有共同好友,就能较为轻易地通过找回密码的方式通过验证,登录你的支付宝账户。
虽然支付宝官方随后回应称,已经进一步提高了风控系统的安全等级,用户资金安全可以得到保障。尽管如此,移动互联时代的网络安全,依然再一次引起了广泛关注。
国王走出了城堡
实际上,互联网+时代,云计算实现了软硬件资源的解耦,也因此满足了用户“按需部署”和降低成本的需求。然而,云环境内部资源的动态性、业务集中性、流量不可视等特点,同时还有物联网的爆发式增长,都导致了安全问题的升级。
“国王走出了城堡。”F5公司大中华区总裁黄彦文曾经举过这样一个形象的例子,“原来传统IT国王是在城堡里的,而今在移动互联时代,国王要出来巡游,保镖的任务就很重。网络安全变成一个持续对抗的过程,任何一个点如果有疏漏,都有可能被黑客突破。”
应该说,传统孤立的安全解决方案或许对个体攻击有效,但在如今在移动互联、云计算、物联网时代,已经无法应对各种新兴的复杂威胁。
网络安全911
举个例子,去年10月,美国出现了一次大规模的网络瘫痪,让一个DNS的名词甚至抢了希拉里VS川普之美国总统大选电视辩论的风头——很多美国东部居民原本只是想上Spotify听个音乐,发现网断了;欢欣鼓舞地准备上Twitter吐槽一下,结果Twitter也挂掉了……
所谓“DNS”,是Domain Name System,即域名系统的缩写。DNS是全球互联网通信的基础,几乎相当于互联网的中枢神经。DDoS的原理很简单,就是黑客利用合理的服务请求去占用尽可能多的服务资源,从而使得用户无法得到服务响应。当DDoS攻击美国主要DNS供应商Dyn公司,很多DNS查询无法完成,用户也就无法通过域名访问Twitter、Airbnb等站点了。
不仅如此,此次DDoS攻击,其实是针对IoT(物联网)设备的僵尸网络发起的。所谓的IoT设备,其实就是交通摄像头——对于交通系统来说,管理每一个摄像头的密码是固定且一致的,这就意味只要突破一个摄像头的密码,感染的摄像头可以递推感染,而且蠕虫还没有清除。这对于网络安全体系来说,无异于一个虚拟世界的911。
构建可编程的防御架构
实际上,今天的企业IT,越来越多是部署在私有云+公有云的混合IT架构之上的。问题的关键,是如何帮助企业形成立体化的全方位的防御体系。
“公有云解决基础网络安全问题,而企业基于应用场景的IT部署,需要一个全代理架构的安全服务商。”F5公司安全解决方案架构师金飞解释说。
实际上,例如DDoS攻击这样的基础安全,应该是由公有云服务商借用云的能力,通过资源共享,带宽共享去进行防护。比如阿里云的云解析企业版已经具备300G+5亿QPS防御峰值能力的权威DNS服务器集群。
而企业的内部IT,由于复杂度大大增加,这时候有必要引入应用交付和全代理架构的安全防护提供商去完成,而企业CIO、CTO则可以把更多精力花在自身业务的IT应用领域。
“比如,F5的应用交付技术现在被广泛应用在金融业的双活、多活数据中心中,帮助用户在多个数据中心间进行资源池化、切换以及安全防护的工作。”F5公司亚太区区域副总裁、中国区总经理张毅强解释说,F5的解决方案不仅面向大行业客户,同时也推出了虚拟版的面向更多中小企业客户的应用交付解决方案和安全解决方案,帮助他们控制成本。
值得一提的是,过去一两年受到热捧的Docker这样的容器解决方案,可以在构建微服务应用方面降低应用交付的复杂度,但如何能解决安全问题,仍然是企业未来要花大力气投入的领域。
因此,从负载均衡转型到应用交付领域的F5应对市场变化也在寻找新的市场机会,比如把其过往已经有深入积累的安全运维融入到应用交付之中——把如今满足企业快速迭代开发的DevOps与Security结合,构建可编程的防御架构,形成SecDevOps。换句话说,开发、运营和安全之间有效协作的软件定义安全,将为越来越灵活的企业业务及应用打造“免疫系统”,从而真正实现主动防御,降低企业开发运维的安全风险。
在笔者看来,F5的策略是从负载均衡、应用交付和安全防护的角度出发,构建一套应用交付的一体化解决方案,而这套解决方案,类似于Nutanix从存储角度出发的超融合——两者都是未来企业私有云或混合云上,软件定义数据中心的重要组成部分。
而对于企业来说,这样的安全理念,也拓宽了企业在未来复杂架构的混合云环境下的IT部署思路,不是吗?
