始料不及的是AWS re:Invent 2015居然在朋友圈刷屏,而Gartner Symposium却没什么动静。云计算领域最受瞩目的AWS大会已经是产业标杆,每年会上发布的新服务也是各大厂商竞相模仿和追赶的对象。这种大会都是各看各的热闹和门道,而对于笔者来说,最大的变化是,AWS果然开始做安全了。
我一直认为,安全,继运维之后,会是云基础设施服务商的核心竞争热点。因为基础安全任务具有很明显的运维特征,是云用户的广泛需求,亦能发挥云计算种种节省成本提高效率等等优势。
然而这个观点在国内似乎并不招人喜欢。你一个做基础设施的不安分守己,安全你做得好吗?出了问题你承担得起吗?前阵子国内某某云在帮用户做安全上出了点小问题,一时间口诛笔伐铺天盖地。估计其安全团队必然受到了巨大的来自业务部门的压力,日子过得一定不顺心。
我却是偏偏觉得云基础设施提供商能做得好基础安全服务。安全是个高投入的领域,一个几十人的创业团队,在基础安全上,号称比上千人的专业团队做得好,我只能呵呵笑而不语。稍后我们看看AWS公布的新安全服务,大家心里掂量一下小创业团队是否有可能做好。另一个角度来说,软件产品有bug出故障是无法避免的,谁敢拍着胸脯保证说自己的产品绝对稳定可靠,那他一定与我们不在同一个世界里写代码。既然迟早肯定出问题,体量大的敢赔用户百倍时间,小团队拿什么去赔?
大家看我平时不亦乐乎地大讲机器学习和行为分析这些听起来高大上的buzzwords,其实不知道我每天都在担心头疼的是内部网络的基础安全。好吧,我承认,我们内部采用了最初级容易被人嘲笑的方式:断网。原因很简单,我们没有足够的资源去保障基础安全。我也不觉得招两三个专职进来就能带来改变,让安全水平上一个台阶。其实绝大部分公司都有此担忧,这也是为什么MSS在发达市场盛行的原因。同理,在云上,我更没有基础安全能力。那么,只要服务商不偷我数据,他愿意努力帮我守门,我求之不得。
生态是必要的,作为一个创业者,笔者也是非常希望行业有个健康生态链,我们也能加入进去提供价值,并获得相应回报。但是,我们也应该清醒认识到商业有其自身规律,规模效应在某些领域有着无可匹敌的竞争优势,小团队硬生生去撞,也许暂时赚了噱头搏了彩头,几年后发现自己还是在裸奔。
几个月前曾经跟朋友聊过,我坚持认为云基础设施提供商做基础安全是再正确不过的商业决策。当然,愣上也不可取,市场策略和PR都需要仔细规划,随时调整。
下面摘录一些AWS发布安全服务的幻灯片,供大家参考。
三款安全新服务
Amazon Inspector
AWS WAF
AWS Config Rules
DDoS
HIPAA
限于篇幅和时间,就不多写了,感兴趣的可以自行阅读AWS的文档。