[设为首页] [加入收藏]
爱靓网,时尚女士,服装,发型,美容,减肥瘦身,2021年美丽与爱靓网同在
网站首页 爱靓网 企业文化 新闻中心 社区 减肥瘦身 美容 服装 发型 时尚 流行
您的当前位置:主页 > 流行 >  
著名信息安全专家邱实、牟承晋对于断网断服的观点
2021-07-20 10:43    来源: 未知      点击:

  2021年6月6日,“内容分发网络”(CDN,下同)服务提供商Fastly(快速)公司发生技术问题,造成被托管的公司网站断服断网,其中包括亚马逊、eBay、Reddit、Spotify、Twitch、Pinterest和全球第一大IT门户网站CNET等。CNET将其所遭遇的状况形容为“互联网崩溃的一天”(the day the Internet broke)。

  6月17日,全球排名前三的CDN服务提供商Akamai(阿卡迈)也出现技术故障,导致一些银行和航空公司受到断服断网的影响,其中包括美国西南航空公司和联合航空公司、澳大利亚联邦银行和西太平洋银行、澳大利亚和新西兰银行集团,以及香港证券交易所的网站。

  2016年甲骨文(Oracle)DYN断服,2020年Cloudflare、微软Azure和亚马逊AWS断网等类似事件发生后,业内普遍缺乏采取相应的行动,足以证明:对于没有直接受到断服断网事件影响的人们,可能会持“无所谓”的观望态度。倘若继续如此,类似Fastly和Akamai的事件必将会再次发生,或将波及你、我、他。

  近年来,“零信任”已成为网信安全(Cyber Security)领域中非常流行的概念,形成一种覆盖整个网络架构(Network Architecture)安全风险管理的理念。与此同时,“零信任”理念与信息技术(IT)和安全专业人员对云服务依赖性的坚定观念(有时甚至与“信任”不相适应),形成了鲜明反差,即网信安全有差别的风险管理与对技术产品和服务“深度依赖”的不对等,或本末倒置。

  2020年11月6日,谷歌(Google)发表了一篇题为“云信任之悖论”(the cloud trust paradox)的文章,阐述了在使用云服务中的信赖及作用,即:“使用公有云的基本观念”与“信任你的云服务商”关系密不可分;使得在现实中普遍存在的状态是,安全风险被外包给“可信赖”的代理厂商,而不是构建真正的“零信任”网络。

  业内专家们呼吁,在信息技术安全领域,必须开始减少对CDN和云资源的信赖性,以维护更好的安全态势。

  2019年2月26日,互联网协会(ISOC)发布了一份题为《互联网(Internet,下同)经济的整合》重要报告。其中阐述:互联网基础设施被集中于少数服务提供商的状态,给全球互联网和更为广泛的社会带来安全风险。

  虽然互联网的整合不是信息技术(IT)和安全界的常见讨论主题,但是必须认识到:互联网的整合和集中,是Fastly和Akamai事件的根本原因之一。任何有意义、有效地缓解安全风险的策略和对策,都应该是以这个(非技术性)角度为基点进行考量和驱动。

  互联网被整合的后果之一是,产生了只对少数服务提供商的深度依赖,一旦这些服务提供商出现问题或发生事故,也就导致互联网的断服断网。Fastly和Akamai的事件就是最新的例证www.011ru.cn

  在互联网协会(ISOC)的报告中,描述了互联网的整合,主要发生在三个方面:

  如今,少数公司运营和经营着一些互联网最流行的服务。仅Google就占据了全球搜索市场的90%、超过60%的网络浏览器、(迄今为止)排名第一的移动操作系统(Android)、顶级的用户自媒体视频平台(YouTube),并且拥有超过15亿活跃用户的电子邮件服务(Gmail)。

  在中国也有类似整合的集中度,阿里巴巴和腾讯公司分别主导着电子商务和社交媒体平台。互联网在应用层面的集中度显而易见。这种状态本身就产生了一些问题。

  由于收入基础降低和进入成本高,更加推动了互联网服务提供商的整合(集中)。

  CDN和云服务提供商之间正在发生整合,而这两者都是基础设施的基本组成部分。在全球排名前1,000的网站中,CDN的使用率从2014年6月的50%,增长到2018年8月(估计)的87.5%。

  在对应用CDN采样网站的分析样本中,CDN服务的市场分布为:亚马逊(CloudFront)占比27%,Akamai占比27%,而Fastly占比8%。

  2021年7月3日,思科(Cisco)公司的“千眼”(Thousand Eyes)对Fastly和Akamai事件深入调查并发布的“互联网报告”中,给出了至少两个相互关联的现象,且是值得关注的事实:

  1)互联网环境已经变得如此之集中,以至于即使是CDN和云服务提供商本身的冗余(热备份)方式,也只是在几个主要玩家之间的操作。结果是,(例如)某客户使用Akamai的CDN服务,而实际上可能正在通过Fastly传输一些数据流量;当Fastly断服时,它也影响了使用Akamai的CDN客户端。这种不透明的关联操作以及交叉和深度的依赖性,在事实上已经远远超出大多数人的想象。

  2)受断服断网影响的企业最有可能使用域名服务器(DNS)恢复连接和服务,实际上有些企业比Fastly恢复得更快。

  由此,再回顾互联网协会(ISOC)在其报告中强调的另一个关键服务基础设施DNS(域名系统),并指出,递归域名系统(DNS)和权威域名系统(DNS)以及相关的域名解析服务,都经历过(或完成了)重大整合。

  2020年10月,美国卡内基梅隆大学的专业研究人员调查和分析了从2016年甲骨文(Oracle)DYN的DNS大规模断服断网事件中市场是否由此汲取了教训。

  ● 指出,在该事件的四年后,集中化的DNS服务提供商对市场及应用的影响,不仅几乎没有改变,而且反而大大地增强了;只有托管顶级域名的少数DNS服务提供商,支持DNS多样性并鼓励客户进行最佳实践。

  ● 强调,一个关键问题是,市场应用最广泛的DNS服务提供商,也正是最大的CDN和云服务提供商,这就造成了另一层面的垂直集中和整合,使安全状况趋于更加恶化。

  卡内基梅隆大学专业研究人员给出的结论是:如果 Cloudflare、亚马逊AWS或GoDaddy(域名注册和服务提供商)的DNS断服,在Alexa的全球网站排名中前100,000个网站中约有40%的网站也会因此而断网。因此,DNS的功能定位及其关联作用必须得到明确强调以及部署实施。

  虽然CDN被归类为网络关键基础结构,但它只影响CDN所承载的在线数据和服务。在Fastly和Akamai的事件中,任何未直接连接到CDN的业务和服务(如电子邮件服务器)基本上不受影响。但是,DNS几乎从局域网到互联网都关系到所有互联互通的行为,包括用户和客户连接到CDN和任何云服务,以及这些连接被动态地“导航”,而用户和客户对此并不知情(或无须知晓)。

  因此,集中式(CDN和云服务)的DNS对行业和企业的整体安全态势影响,决不可低估、小觑。此外,由于DNS是一些公司用来从断服断网事件中恢复服务的手段,进一步印证了DNS在现代网络和网络互联互通设计中的关键地位。

  虽然已知互联网集中化存在严重的安全问题,但必须强调的是,互联网的整合也带来了很多积极因素。例如,CDN提供商的集中,为内容交付创造了规模化数字经济,也显著地降低了网络数据传输的成本。DNS服务提供商的集中化,使得拥有足够的能力以应对太比特级(Terabit)的DDoS攻击。类似于谷歌的突出地位,还有助于互联网关键新协议的测试和开发。

  因此,对于业务、服务和运营高度依赖互联网,且仍在维护自有网络基础设施环境的行业和企业,首先应利用互联网整合的集中化优点,有差别地将服务转移和托管到适当的CDN、云和DNS,以降低成本并提高适应性(和弹性)。但并不应局限和止步于此。

  一旦成本因素得到控制,安全基线状况(BSP)得到改善,就应考虑如何利用这些关键基础设施的多样化降低安全风险。优先与重点意味着在发展过程中的事物变化,以及重要性和关键性的适时调整。怎么确定CDN、云和DNS中哪里更关键呢?

  互联网的标量(Invariants)是互联网的基本组成部分,而且标量无论如何都不会被改变。热搜:QQ 这版本凉了;苹果天气出现色情广告;京东涨,用互联网协会(ISOC)的话来说,互联网的标量是“真正重要的”(What really matters)。

  互联网标量的一个实际示例是:互联网协议(IP),奠定了互联网的互操作性基础。此外,DNS也是互联网标量,因为互联网需要“全球性可管理的寻址和域名解析服务”,才能保持高度一致性的运行。不论是在本地还是在云上托管服务器,或是如何加速网站的访问响应速度,都会随着时间而演变;而且,互联网协议(IP)的作用和域名系统(DNS)的功能不会被改变。

  因此,业内专家一直强调DNS是最为关键的互联网基础设施之一,应该被作为更高的优先重点;并且DNS应该与其他互联网服务基础设施分离,依托于专业专职的DNS技术研发和服务提供商,以避免对集中性服务的深度依赖。

  ● 横向(horizontally)集中,是指大多数CDN服务被整合到诸如Akamai、Cloudflare的巨头以及其他一些非主流厂商(再整合)。

  ● 垂直(vertically)集中,是指行业或企业将其自身的业务和服务被整合到单个服务提供商,包括CDN、云托管和DNS的集中。

  垂直整合和集中可能是在客户不知情的状态下发生(或是由于对服务提供商的深度依赖)。因此,为了降低安全风险,行业和企业必须开始与这些大型服务供应商之间的复杂且相互依赖的关系网“脱钩”(decoupling)。最好的初始方法是,通过分离和多样化CDN、云托管和DNS服务提供商,以尽量减少垂直集中和整合。

  互联网服务基础设施之所以非常重要,是因为其中(供应链)的任何一个组成部分都可以造成单点故障,并且导致严重的断服断网。因此,应尽可能地避免垂直整合和集中。

  在“垂直”整合和集中的背后,往往是由业务和服务的需求驱动,但却也不乏是缺少关键技术(或是资本操纵)的托管代管、外包转包(数据资产)。以Akamai的CDN为例,其以“一致性哈希”(Consistent Hashing)和“随机树”(Random Tree)的原创算法为基础,拥有700多项技术专利。可是,DNS的开源开放软件BIND不仅是“事实上的标准”,且提供免费的下载应用。

  另一方面,2015年6月,谷歌提出互联网关键新协议“QUIC”草案,之后经过34次修改,于2021年5月成为因特网工程任务组(IETF)的“拟议标准”(RFC 9000),或将成为互联网传输层协议UDP的新标准。一旦“QUIC”成为新标准,对DNS、浏览器、操作系统等都将会产生一次重大变革。

  换言之,对CDN、云托管和DNS服务提供商的“深度依赖”,不能不说缺乏底层和关键技术是主要原因之一。所以,尽可能地避免垂直整合,踏实、认真地在“卡脖子的地方下大功夫”(如协议栈)至关重要,不可或缺、不可偏颇、不可掉以轻心。

  以DNS管理为例,可以依托于一个服务提供商作为主营,同时所有更新将自动复制到DNS的辅助基础结构。在选择提供互联网服务基础设施的服务供应商时,将多元化服务基础设施作为其中一个因素,同时选择的服务提供商具有必要的安全级别和技术实力。多元化的互联网最终更加稳定和安全,但只有通过统一管理,才能更有效、更好地实现之。

  综上,在网信空间,“零信任”与“深度依赖”不仅涉及以数据占有权(即所有权)和数据管辖权及主权为重点的地缘政治问题,甚至是跨越了数字比特和字节的范围,一直延伸到整个社会的情绪衍伸问题。

  所以,“零信任”不仅是网信三元组(triad)“安全性、隐私性和合规性”的关键基础,而且是信任与信赖的(杠杆)支点,以及对避免“深度依赖”技术和服务的权衡点。这是网信安全不可逆转的必然趋势。

  (邱实是网络信息安全技术专家,牟承晋是昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。2021年7月17日整理)

 推荐新闻
 酷图热图
四川企业高管培训
四川企业高管培训
昆明建筑工程三级资质注册【转让干净公司】
昆明建筑工程三级资质
保险单图片在线生成器 车险保单制作
保险单图片在线生成器
国考分数线日起报名调剂
国考分数线日起报名调
 热点文章
爱靓网是以时尚界人士为主要供稿人的最流行时尚女性网站,拥有最时尚的女性资讯以及实用性很强的时尚打扮,美容护肤,时尚发型,潮流服装,瘦身美体等时尚女性知识。