网站首页    多媒体    云安全的12个阴暗面
  • 艺术学与美学的区别

    美学对象包括极广,凡人对于文化世界,精神世界,及全世界之美感,皆属于美学。即艺术学也可谓是美学的部分。但艺术除美的实现之外,尚有其他各种美以外的价值,俱非美之所能概括。艺术学研究对象不限于美感的价值,而尤注重一艺术品所包含、所表现之各种价值

    5 ¥ 0.00
  • 黑石,全球最大房东

    黑石一直疯狂地扩大自己在房地产领域中的规模。自2007年上市以来,投入房地产领域的主权资本增加了8倍,达1630亿美元。通过抵押贷款的方式来撬动更多资本,使它拥有的房产的总价值约为3250亿美元。根据《财富》估测,按此标准划分,黑石是全球最大的商业房地产公司

    6 ¥ 0.00
  • 26个战略常用分析模型

    麦肯锡、波士顿、贝恩等顶尖战略咨询是如何解决问题,为企业做战略规划,咨询公司常用分析模型功不可没。几乎每个大型快消企业的高管都或多或少接受过咨询公司的培训或者相互合作过,咨询公司的常用的商业分析模型往往很有效率。

    3 ¥ 0.00
  • 十年中国互联网烧钱史

    互联网的烧钱大战,积极一面,各行业的基础设施和生产服务能力快速提升,人们的衣食住行得到了全方位的变革;但很多资本烧在同质化竞争、恶性价格战、伪需求补贴、流量竞价采买、市场份额争夺、洗脑式品牌营销,或者低效资源投资和重复建设,产生了巨大的浪费

    21 ¥ 0.00
  • 技术哲学与技术史

    研究技术哲学的人应当通晓技术的历史,研究技术史的人应当掌握关于技术的哲学。套用康德的格言:“没有科学史的科学哲学是空洞的;没有科学哲学的科学史是盲目的。”我们是否也可以说:“没有技术史的技术哲学是空洞的,没有技术哲学的技术史是盲目的。”

    5 ¥ 0.00
  • 麦肯锡的智库

    “通过从最基础的层面上观察微观经济,从公司内部、从部门内部,从地区角度,进行研究和工作,在微观上了解商业和经济是如何运行的,再形成宏观的观点,这就是麦肯锡的最大优势所在——跨越微观透视的能力,在此基础上形成宏观观点”。“不是一个出售政策的商店”

    5 ¥ 0.00
  • 电竞俱乐部活得好不好?

    据Newzoo的报告,2020年,在全球77.95亿人中,有19.56亿的电竞人口,其中核心电竞爱好者占到了2.23亿。部分大型赛事的观赛量,已经超过了NBA季候赛等传统体育赛事。在庞大的注意力和流量加成下,电竞成为了世界上增长最快的产业之一。但电竞俱乐部还没有想象中的那么赚钱

    11 ¥ 0.00
  • 为啥争抢首席经济学家?

    “一方面,佣金规模大幅缩水,以佣金收入作为研究价值的唯一体现这条路越来越窄;另一方面,市场对于深度研究的供给依然不足,低端产能过剩。”卖方研究的门槛会越来越高,经过此轮竞争最终生存下来的研究团队有望塑造出中长期的品牌和核心竞争力。

    9 ¥ 0.00
  • 警惕ERP成为利益输送“帮凶”

    我们的研究发现,ERP应用的负面绩效仅在隶属于集团控制的上市公司中显著,而在非集团控制的情况下就消失殆尽。此外,大股东持股比例的增加会导致ERP的应用后ROA产生的负面影响随之缩小;当大股东持股比例增加至57%以上时,ERP的应用则开始带来正面财务绩效。

    0 ¥ 0.00
  • 自然科学与社会科学的真正区别

    物理学的是法则,比如牛顿定律。生物学只有一个进化论法则,下面有一大堆附属机制,那些机制都要符合进化论规律。社会科学只有机制,没有覆盖性法则,且各不隶属、互不相关。所以机制的运用有非常大的艺术性。用错了,错得一塌糊涂;用对了,解释就漂亮了。

    5 ¥ 0.00
  • 中国基建与地缘格局

    这次中国超30万亿基建规划,会影响到未来至少三十年的区域贸易和东亚地缘格局。与2009年不同,一个是仓促和被动,一个是着眼于长期规划,并主动。没有以经济建设为中心,没有对全球经济、周边经济的深入嵌套,工业资源难以支撑对全球分工和财富分配的影响。

    23 ¥ 0.00
  • 中国的财政体系

    对财政体制与政策理解的重要性不亚于货币政策。市场对货币政策有着更明显的体温感和感知度,但对于财政政策却往往仅限于减税等领域,这无疑限制了宏观经济金融的分析视野。事实上,财政政策与货币政策之间有着不可分割的关系,且前者的影响更加捉摸不定。

    4 ¥ 0.00
  • 中美最优贷款利率机制比较

    美国最优贷款利率实质上盯住的是银行市场融资的边际资金成本,而中国贷款报价利率盯住的MLF利率并不是银行市场融资的边际资金成本。这是两个定价机制的本质区别。
    美国最优贷款利率是银行用来对短期贷款定价的几个基准利率之一,中国的贷款市场报价利率是银行用于贷款定价的唯一基准利率。两者在使用范围上存在重大差别。

    4 ¥ 0.00
  • 北美地区,高科技公司欠钱最多

    在北美地区,非金融公司债务总计7.8万亿美元,其中包括了6万亿美元的未偿公司债券、1.4万亿美元的未偿贷款和4440亿美元的循环信贷。按行业划分,高科技公司9270亿美元的债务规模远远超过所有其他类别。石油和天然气以位列第二,而医疗和制药集团位列第三。

    2 ¥ 0.00
  • 华为背后,三大赛道的崛起与困境

    韩国产业升级的代表作,是三星拿下存储赛道;中国台湾产业升级的代表作,是台积电拿下制造赛道;而美国芯片产业除了无法撼动的Intel外,实力主要体现在Fabless设计赛道(高通、英伟达、苹果)。中国大陆产业升级需要拿下哪个?正确答案是:小孩子才做选择,大人全都要
    随着国家布局和以华为为代表的产业升级,三条半导体赛道逐渐展开:中芯国际为中心的代工Foundry赛道;华为海思为中心的Fabless设计赛道;合肥+武汉双中心的存储IDM赛道。资金、人才和市场,中国半导体行业都不缺,那缺什么?最缺的只有一样东西:时间。

    20 ¥ 0.00
  • 麦肯锡:工业人工智能规则

    据预测,仅制造业和供应链领域,人工智能业务变革将额外创造近2万亿美元价值。在全球26家“灯塔工厂”中,人工智能应用实现了工厂产出平均提升7%~10%、生产效率增加4%~17%、产品质量提升至少10%,并减少至少50%的延迟交付和2%~4%的能源消耗。但工业人工智能尚未“点亮”。
    而目前全球处于上升期或巅峰期的新兴技术中,一半以上与人工智能有关。预计2020年人工智能在全球产生约470亿美元收入,成为全球经济发展、科技创新及社会变革的一大驱动力。预计人工智能将为全球企业额外创造3.5万亿~5.8万亿美元经济价值。

    11 ¥ 0.00
  • 光刻机的世纪大交易

    物理和网络世界的交汇——光刻机,现在最先进光刻机约10w个零件(一辆汽车约5000个); “雕刻精度”是7nm,一根头发的万分之一。雕刻的过程中晶圆需要被快速移动,每次10厘米,误差必须被控制在纳米级别。要想让成品合格率大于95%,3000步工序的每一步失败率必须小于0.001%。

    11 ¥ 0.00
  • 星链,太空竞争

    铱星计划66颗卫星,SpaceX计划4.2万,OneWeb(已申请破产)申请1260颗、亚马逊计划3236颗。中国:虹云工程156颗卫星,鸿雁星座2022年60颗、2025年320颗;九天微星72颗等。数据:马斯克卫星平均带宽是5G核心标准带宽的1/4.4亿。目前地球轨道正常工作1700余颗,约800余颗已沦为太空垃圾。
    美媒说,马斯克的星链计划成功了会有300亿美元/年的收入。

    14 ¥ 0.00
  • 复杂的12306系统

    12306系统复杂性远超外界想象——在SKU(商品存货)数量计算难度远大于淘宝等电商的情况下,还要每天完成超过1500万个订单,并承受近1500亿次点击。计算量可能是普通电商产品的数百倍。对比2019年淘宝54.4万笔/秒的订单峰值,12306的最高访问量相当于其活跃用户每人点击超过300次

    6 ¥ 0.00
  • 量子计算机争霸:谷歌和IBM

    历史上,IBM制定了个人电脑的产业标准、却被英特尔特尔和微软斩获最大市场收益。量子计算机竞争中,说谁处于优势地位还为时过早。尽管IBM会从“全栈”技术中获益,会涵盖了材料科学、芯片制造以及对大公司客户的服务。但谷歌至少可以在规模迅速扩大的运营中获益

    20 ¥ 0.00

【作者:王萌;源自:IT经理网《云安全的12个阴暗面》2019.07】

 

过去十年,云计算和云安全已经取得长足进步,越来越多的企业对云安全的认知,从最初的顾忌和恐慌,转变为盲目的信任和依赖。但是近年来随着国内外云安全事件的不断发作,企业必须重新审视云安全问题,制定不偏不倚的云安全策略。以下,CTOCIO列举企业云计算安全问题的12个阴暗面,以期能够抛砖引玉,帮助企业在云时代树立正确的安全观:

 

同样的安全漏洞仍然存在

 

云计算并非企业安全的革命,云实例与我们的台式机或独立服务器其实运行着相同的操作系统。如果Ubuntu 14中有一个后门,可以让攻击者闯入你的服务器机房中的机器,那几乎可以肯定,同一个后门也会让某人进入你的云端的服务器版本。我们热爱的云实例能够替换我们的私有硬件,遗憾的是,同样的漏洞也会被替换到云端。

 

云服务商善意的偷窥

 

你在云服务商提供的私家泳池中一丝不挂地裸泳,却没有留意到树梢里暗藏的监控头正注视着你的一举一动,以便在你你溺水时第一时间发出警报。云服务商往往会在客户的系统中暗中植入对客户不可见的账户,以提高客户服务和系统调试的效率,这一切都是为了客户,但是不可否认的是,这种做法也可能会被用于恶意目的。

客户对云计算服务商的信任是无条件的,包括对其商业伦理和廉洁的100%授信,然鹅,没有企业能够确保100%的员工三观无暇。

 

云计算还有一层你无法控制

 

云实例通常附带一层额外的软件,位于操作系统下,完全超出您的控制范围。你可以获得对操作系统的root访问权限,但你不会知道下面发生了什么。这个大多数情况下都无文档记录可循的层可对流经的客户数据执行任何操作。

 

工作人员的老板不是你

 

云提供商鼓吹自己能提供额外的支持和安全团队,这些团队有助于云实例的安全性和稳定性。而大多数公司都没有能力自建这样的团队,因此云计算公司很容易解决小公司无法解决的问题。

但有一个基本事实需要明确,云安全团队的老板不是作为用户的你。他们不会向你报告,他们的未来与你的底线也没什么关系。你可能不会知道他们的名字,你最终可能会通过不露面的故障单与他们沟通 – 如果他们回信的话。也许这就是你所需要的一切,或者,你也可以双手合十祈祷。

 

你不知道谁在你的服务器上

 

云的巨大经济优势在于您与其他人分摊运维和物理成本,作为代价,你也将失去硬件的完全控制权。你不知道正在与谁共享同一台机器,可能是一些心地善良的教堂修女正在维护一个教区居民的数据库,也可能是一个精神病患者。更糟糕的是,它可能是一个试图窃取你的秘密或资金的小偷。

 

规模经济是柄双刃剑

 

云计算规模经济的好处是能够降低成本,因为云计算公司拥有大量的机架和硬件,但这也会导致单一化,使攻击者变得更轻松和高效,在一个实例中找到的漏洞可以快速覆盖所有类似实例。

 

云安全会增加云成本

 

云计算公司已经陷入了困境。他们可以通过关闭分支预测来抵御分支预测等攻击,但这会导致一切都变慢。结果,云服务商不想降低性能,客户也不想。而且,在云中,较慢的机器没有价格优势。

 

不同的公司有不同的安全需求

 

你可能会经营一项数十亿美元的银行业务,但也有客户也许只是一个图片社交创业公司。事实上,市场上并没有“万灵药”类型的安全业务,但云计算公司从事着标准化和产品化的业务,他们的安全标准是面向关键业务和应用的高标准?还是偷工减料为非关键应用程序提供低价套餐?没有正确的决定,因为每个客户都是不同的,实际上,客户也有不同的需求。甚至每个应用程序内的每个微服务都是不同的。

 

一切都是不透明的

 

云本质上是一个黑暗的计算能力池,这个不透明往往使我们陷入一种蜜汁自信——如果我们不知道自己的芯片在哪里,攻击者也不知道。但我们只是祈祷并假设攻击者无法找到共享我们机器的方法,原因很可笑,因为我们也不知道云服务商如何分配机器。但是,如果有一种模式可以被利用呢?如果有一些秘密漏洞可以用来大幅改变攻防赔率怎么办?

 

恶意访问依然能够“耗干”你的云资源

 

云计算的一个关键特性是它可以自动升级扩容来匹配需求波动。如果访问请求数量激增(例如恶意访问),云计算可以启动新的实例来保证性能。麻烦的是,创造虚假需求非常容易。攻击者可以触发您的某个应用,通过数千次快速访问来启动新实例。如果云计算公司在需求激增时为新硬件供电,该怎么办?如果所有新实例都停留在这个新启动的硬件上怎么办?攻击者可以在触发云扩展后立即请求新实例,这样一来,每个人共享相同内存空间的可能性要大得多。

 

太多克隆增加了攻击面

 

许多云架构师喜欢使用许多小型机器的模块,这些机器可以随着需求的上升和下降而启动和停止。大量克隆的小机器同时也意味着私密数据被不断克隆。如果有一些私钥用于签署文档或登录数据库,则所有克隆的实例都将拥有它。这意味着攻击者有N个目标而不是一个,大大增加了攻击者登陆相同物理硬件的可能性。

 

云安全的黑暗森林法则

 

虽然云计算的攻击已经不是假设,但并不容易执行。云安全的一大优势在于它是一个体量庞大的暗黑计算池。攻击者很难找到特定的目标数据?而且他们闯入同一个内存空间的几率也不高?大多数客户相信,在云计算的暗黑森林中,黑客很难找到我们,因此我们是安全的,是吗?

2019-09-12
过去十年,云计算和云安全取得长足进步,越来越多的企业对云安全的认知,从顾忌和恐慌,转变为盲目信任和依赖。但是近年来随着国内外云安全事件的不断发作,企业必须重新审视云安全问题,制定不偏不倚的云安全策略。以下,CTOCIO列举企业云计算安全问题12个阴暗面

云安全的12个阴暗面

无标题