网站首页    多媒体    云安全的12个阴暗面

  •  “资本之王”黑石

    自1985年成立,两位连杠杆并购都没真正做过的创始人,如今凭借1.1万亿美元的管理规模,让黑石足以跨界比肩世界顶级的主权财富基金。黑石的业务虽多但却有着科学的分类和管理,并且随着大环境的变化而实时调整。2024年,黑石仍在对其业务进行归类和整合。

    8 ¥ 0.00

  • ESG披露标准启示

    目前主流披露标准主要分为两大类:第一类为综合性的披露标准,以GRI、SASB等为代表。第二类为聚焦气候变化、水资源等领域的披露标准,以TCFD、CDP等为代表。第二类标准适用于不同的领域,很难横向比较。GRI标准是全球使用最为广泛的披露标准,引用占比超过90%。

    8 ¥ 0.00

  • 中国钾盐缺口

    中国有56%的耕地需要“补钾”,总体上越往东南越严重,闽、湘、鄂、粤、海南以及江淮地区土壤钾含量都十分稀少,高效钾含量只有新疆、关中农业区的二分之一甚至四分之一。2023年,中国钾盐缺口68%,需进口1000多万吨,而由于钾的高度垄断,进口选项非常有限。

    45 ¥ 0.00

  • 三井物产的情报网

    微软的情报系统对企业经营的贡献率大约是17%左右,而三井这种贸易财团则是以信息为最终的经济效益,其情报就是整个公司的命脉。作为民间研究机构,从研究的深度、广度和企业接受程度来看,比政府研究机构更有效率。其成果被日本企业界认为是经济变化的风向标。

    78 ¥ 0.00

  • 为什么盒装奶是950毫升?

    国内的一些牛奶包装沿用了美国的可折叠屋顶式纸盒设计,用的模具一样,那标注的容量也跟别人一样,取近似值950毫升。制造商在保持包装大小和价格不变的情况下,稍微减少产品的体积。这可以帮助公司在生产成本上升时控制开支,而不会显著提高零售价格。

    20 ¥ 0.00

  • 一个县城与打火机

    12道工序、32个零配件、15项测试标准……制造出1元打火机。全球一年销售200亿只,约七成来自中国湖南邵东。这里年产打火机150亿只,远销120个国家和地区,串起来能绕地球20圈。在邵东,平均每1分钟就有2.8万个打火机下线,其打火机生产技术也在不断创新。

    21 ¥ 0.00

  • 重生的俄罗斯农业

    2002年俄出台《农业用土地流通法》后,一系列法律让农用土地流通得以明确、透明地进行,保证了农业政策的稳定性。2007年对农业发展做出规划,实行农业保护政策和农产品价格调控政策,对农作物保险费实施补贴。次年俄罗斯农业从粮食净进口国转变为粮食净出口国。

    105 ¥ 0.00

  • 印度,用糊糊驯服味蕾

    谷物的富余,让印度不怕浪费粮食,人们发现,面粉和米粉作为糊糊的增稠剂,质地更浓郁粘稠、香料与食材融合度更好,且可以保温和解腻,缓解糊油脂和肉类的油腻感。原本粗劣的糊糊,在不断融合的过程中,越来越能驯服各种各样的食材,并形成另一条美食路径。

    83 ¥ 0.00

  • 拜耳伤痕

    买下孟山都,彻底改变了拜耳的发展轨迹。拜耳最大的三项并购是2006年以199.5亿美元的价格收购先灵公司,2014年以142亿美元收购默沙东的OTC业务,以及2016-2018年间以630亿美元收购孟山都。前两项并购起码还增强了拜耳的制药业务竞争力,最糟糕的是对孟山都的收购。

    33 ¥ 0.00

  • 全球家族办公室现状

    只有少数家族办公室将注意力放在促进家族团结和长期稳定上。在职能专业化方面,投资管理进展最为显著,而其他职能专业化水平则存在差异。家族本身的专业化水平也呈现出类似的情况。许多家族和家族办公室都缺乏领导人接班规划,并且未为下一代制定教育规划

    126 ¥ 0.00

  • 全球文科倒闭潮

    文科衰退,是个全球性的问题。经合组织报告显示,过去10年人文学科的入学人数都在下降。在这股浪潮中,有的大学是迫于财政压力削减人文学科,有的则是出于对“教育优势”进行结构性的优化,也就是把跟不上时代的文科专业淘汰掉,去拥抱更具竞争优势的STEM学科。

    9 ¥ 0.00

  • 2024年最失败的八大技术

    麻省理工科技评论的年度科技失败案例盘点,记录了过去一年中的失误、骗局与灾难。有些失败带着荒诞色彩,如谷歌“觉醒AI”生成黑人纳粹图像而将公司推上舆论风口浪尖。另一些则更加严重,如CrowdStrike的一次计算机错误,导致数千名达美航空乘客被迫滞留机场,引发法律诉讼。

    4 ¥ 0.00

  • 游戏行业的肉与汤

    AI会不会彻底改变这个行业,“不好说”,“AI原生游戏大概率不会是我们先搞出来,可能是哪个做AI的实验室先做出来,然后其他人会在他们的基础上往下走,”卢竑岩表示,目前还没有看到离实用特别接近的科研成果,“但也很难说,会不会突然有爆发性地增长。”

    24 ¥ 0.00

  • 120年美国房价历史和规律

    从1890年到2013年的123年中,有28年下跌,95年上涨。其中跌得最深的是2008年,跌幅达18%。连续下跌达到5年的只有两次,第一次是1929-1933年累积跌幅达26%;2006-2011年累积跌幅达33%。在过去的123年中,美国房价平均增长率为3.07%,CPI 通胀率为2.82%。在扣除通胀率后,房价就基本不涨了。

    45 ¥ 0.00

  • 枢纽城市之争

    超级承运人与枢纽机场相辅相成,带来大量客流、物流,从而拉动当地经济发展。无论是超级承运人,还是枢纽机场,都强调“集中”,如达美航空在亚特兰大份额超过80%,堪称“堡垒枢纽”。而中国目前有57家航司,三大航在北上广基地份额都仅在40%-50%之间,市场份额较为分散。

    46 ¥ 0.00

  • 波音从工程奇迹到信任危机

    批评人士说,波音公司把安全当成了利润的牺牲品。”这样做是为了让波音的运营更像一家企业,而不是一家伟大的工程公司。波音的确是一家伟大的工程公司,但人们投资一家公司是因为他们想赚钱。”今天的波音既不是一家伟大的工程公司,也不是一个好的投资对象。

    44 ¥ 0.00

  • 计算机产业史

    本文从1946年第一台计算机ENIAC发明开始,阐述计算机作为不同效用工具为人所用。从科学计算、数据处理、适时控制,到线上社交、个人玩乐、办公效率、图形工具,再到内容平台、互联网与云计算时代,最后计算机已经融入到我们生活方方面面,无处不在。

    互联网之所以能够大而统一,发挥最大网络效应,与其去中心化的基础定位有很大关系:数据包发送方式和发送内容无关,任何设备都可以加入互联网,唯一中心化的域名管理机构获得了独立且非营利地位,互联网治理更多依赖社交机制,而不是靠特定机构来管理。

    44 ¥ 0.00

  • 墨西哥的中国工厂

    中国企业到墨西哥以前,目光紧盯着美国,到墨西哥后却发现了许多新机会。同时到了墨西哥后,它们惊觉,中国经验失灵了。不同于过去从欧美日企业到亚洲四小龙再到中国,再从中国到东南亚的产业转移,中资企业到墨西哥是一场大国博弈背景下的应变之策。

    224 ¥ 0.00

  • 像研究人类一样研究ChatGPT

    一篇有关“机器心理”的预印本。他在其中提出,把LLM当作一个人类对象来对话,可以揭示底层简单的计算之中产生的复杂行为。Google的研究引入“思维链提示”,来描述一种让LLM展示“想法”的做法,会让模型按相似的流程行事。它会输出思维链,这么做更可能获得正确答案

    45 ¥ 0.00

  • 欧亚电网互联的地缘要素

    欧亚电网互联问题上,欧盟和俄罗斯等传统“电力中心”依然重要,新“中心”如中国、印度、土耳其、伊朗等也在崛起。随着技术发展,电网容易受外部力量影响,美国也在不断尝试渗透。电网联通可以建立包容、平等、开放的政治空间;同时,也可以成为政治制度堡垒。

    144 ¥ 0.00

【作者:王萌;源自:IT经理网《云安全的12个阴暗面》2019.07】

 

过去十年,云计算和云安全已经取得长足进步,越来越多的企业对云安全的认知,从最初的顾忌和恐慌,转变为盲目的信任和依赖。但是近年来随着国内外云安全事件的不断发作,企业必须重新审视云安全问题,制定不偏不倚的云安全策略。以下,CTOCIO列举企业云计算安全问题的12个阴暗面,以期能够抛砖引玉,帮助企业在云时代树立正确的安全观:

 

同样的安全漏洞仍然存在

 

云计算并非企业安全的革命,云实例与我们的台式机或独立服务器其实运行着相同的操作系统。如果Ubuntu 14中有一个后门,可以让攻击者闯入你的服务器机房中的机器,那几乎可以肯定,同一个后门也会让某人进入你的云端的服务器版本。我们热爱的云实例能够替换我们的私有硬件,遗憾的是,同样的漏洞也会被替换到云端。

 

云服务商善意的偷窥

 

你在云服务商提供的私家泳池中一丝不挂地裸泳,却没有留意到树梢里暗藏的监控头正注视着你的一举一动,以便在你你溺水时第一时间发出警报。云服务商往往会在客户的系统中暗中植入对客户不可见的账户,以提高客户服务和系统调试的效率,这一切都是为了客户,但是不可否认的是,这种做法也可能会被用于恶意目的。

客户对云计算服务商的信任是无条件的,包括对其商业伦理和廉洁的100%授信,然鹅,没有企业能够确保100%的员工三观无暇。

 

云计算还有一层你无法控制

 

云实例通常附带一层额外的软件,位于操作系统下,完全超出您的控制范围。你可以获得对操作系统的root访问权限,但你不会知道下面发生了什么。这个大多数情况下都无文档记录可循的层可对流经的客户数据执行任何操作。

 

工作人员的老板不是你

 

云提供商鼓吹自己能提供额外的支持和安全团队,这些团队有助于云实例的安全性和稳定性。而大多数公司都没有能力自建这样的团队,因此云计算公司很容易解决小公司无法解决的问题。

但有一个基本事实需要明确,云安全团队的老板不是作为用户的你。他们不会向你报告,他们的未来与你的底线也没什么关系。你可能不会知道他们的名字,你最终可能会通过不露面的故障单与他们沟通 – 如果他们回信的话。也许这就是你所需要的一切,或者,你也可以双手合十祈祷。

 

你不知道谁在你的服务器上

 

云的巨大经济优势在于您与其他人分摊运维和物理成本,作为代价,你也将失去硬件的完全控制权。你不知道正在与谁共享同一台机器,可能是一些心地善良的教堂修女正在维护一个教区居民的数据库,也可能是一个精神病患者。更糟糕的是,它可能是一个试图窃取你的秘密或资金的小偷。

 

规模经济是柄双刃剑

 

云计算规模经济的好处是能够降低成本,因为云计算公司拥有大量的机架和硬件,但这也会导致单一化,使攻击者变得更轻松和高效,在一个实例中找到的漏洞可以快速覆盖所有类似实例。

 

云安全会增加云成本

 

云计算公司已经陷入了困境。他们可以通过关闭分支预测来抵御分支预测等攻击,但这会导致一切都变慢。结果,云服务商不想降低性能,客户也不想。而且,在云中,较慢的机器没有价格优势。

 

不同的公司有不同的安全需求

 

你可能会经营一项数十亿美元的银行业务,但也有客户也许只是一个图片社交创业公司。事实上,市场上并没有“万灵药”类型的安全业务,但云计算公司从事着标准化和产品化的业务,他们的安全标准是面向关键业务和应用的高标准?还是偷工减料为非关键应用程序提供低价套餐?没有正确的决定,因为每个客户都是不同的,实际上,客户也有不同的需求。甚至每个应用程序内的每个微服务都是不同的。

 

一切都是不透明的

 

云本质上是一个黑暗的计算能力池,这个不透明往往使我们陷入一种蜜汁自信——如果我们不知道自己的芯片在哪里,攻击者也不知道。但我们只是祈祷并假设攻击者无法找到共享我们机器的方法,原因很可笑,因为我们也不知道云服务商如何分配机器。但是,如果有一种模式可以被利用呢?如果有一些秘密漏洞可以用来大幅改变攻防赔率怎么办?

 

恶意访问依然能够“耗干”你的云资源

 

云计算的一个关键特性是它可以自动升级扩容来匹配需求波动。如果访问请求数量激增(例如恶意访问),云计算可以启动新的实例来保证性能。麻烦的是,创造虚假需求非常容易。攻击者可以触发您的某个应用,通过数千次快速访问来启动新实例。如果云计算公司在需求激增时为新硬件供电,该怎么办?如果所有新实例都停留在这个新启动的硬件上怎么办?攻击者可以在触发云扩展后立即请求新实例,这样一来,每个人共享相同内存空间的可能性要大得多。

 

太多克隆增加了攻击面

 

许多云架构师喜欢使用许多小型机器的模块,这些机器可以随着需求的上升和下降而启动和停止。大量克隆的小机器同时也意味着私密数据被不断克隆。如果有一些私钥用于签署文档或登录数据库,则所有克隆的实例都将拥有它。这意味着攻击者有N个目标而不是一个,大大增加了攻击者登陆相同物理硬件的可能性。

 

云安全的黑暗森林法则

 

虽然云计算的攻击已经不是假设,但并不容易执行。云安全的一大优势在于它是一个体量庞大的暗黑计算池。攻击者很难找到特定的目标数据?而且他们闯入同一个内存空间的几率也不高?大多数客户相信,在云计算的暗黑森林中,黑客很难找到我们,因此我们是安全的,是吗?

后一个: 游戏,从终端到云端
前一个: 高精地图江湖
2019-09-12
过去十年,云计算和云安全取得长足进步,越来越多的企业对云安全的认知,从顾忌和恐慌,转变为盲目信任和依赖。但是近年来随着国内外云安全事件的不断发作,企业必须重新审视云安全问题,制定不偏不倚的云安全策略。以下,CTOCIO列举企业云计算安全问题12个阴暗面

云安全的12个阴暗面

无标题