连奥巴马都中招了，云计算安全到底谁能撑得住？

（引用来源：虎嗅网《连奥巴马都中招了，云计算安全到底谁能撑得住？》）

还记得几年前那场闹得沸沸扬扬的iCloud明星私照泄露事件吗？当时黑客攻破了苹果的云存储服务，导致包括詹妮弗·劳伦斯在内的一众好莱坞女星的私人照片在网上被疯传，这件事给很多人敲响了警钟：原来把东西存在云端，所谓的“云”上，也并不那么牢靠，但你可能不知道的是,就连前美国总统奥巴马也未能幸免。

（引用来源：The Verge报道）

据报道，奥巴马的一个私人电子邮件账户曾遭到入侵，这个账户虽然不直接用于处理国家机密，但也包含了他与亲密顾问、朋友之间的通信，入侵者正是通过一种常见的网络攻击手段——网络钓鱼，获取了账户的访问权限，这件事之所以引人关注，是因为它发生在一位对网络安全理应有着最高级别戒备的前国家元首身上，它传递出一个再清晰不过的信号：在当今这个万物上云的时代，安全问题无处不在,没有人是绝对安全的靶子。

问题就来了：连奥巴马都会“中招”，我们普通人和企业依赖的云计算，它的安全到底由谁来保障？或者说，谁能真正“撑得住”？

我们必须打破一个迷思：云服务商，比如亚马逊的AWS、微软的Azure、阿里巴巴的阿里云，它们提供的是一种“责任共担”的安全模型，这是什么意思呢？（引用来源：各大云服务商安全白皮书）云服务商负责的是“云本身”的安全，也就是保护那些庞大的数据中心、物理服务器、网络线路等底层基础设施不被破坏，这好比房地产开发商负责把大楼的地基、主体结构、安保系统建得固若金汤。

大楼安全了，并不代表你租用的那间办公室就万无一失，你办公室的门锁是否结实、保险柜密码会不会泄露、员工会不会随手把钥匙给陌生人，这些“云内部”的安全，很大程度上需要租户——也就是我们自己来负责，云计算也是同样的道理，云服务商确保了平台的基础安全，但你在云上创建的服务器如何配置防火墙、你的软件是否存在漏洞、你的员工密码是否过于简单、会不会点击了钓鱼邮件,这些安全责任落在了用户肩上。

回过头看奥巴马的案例，他的邮箱被入侵，问题大概率不是出在微软或谷歌的云服务平台本身被攻破，而更可能是他或他身边的人未能有效防范网络钓鱼攻击，这说明，技术再强大的安全围墙，也抵不过人为的疏忽,这恰恰是云计算安全最薄弱的环节之一。

那谁能撑得住这场安全战？答案不是某一个单一的“谁”，而是一个“协作体系”。

第一，云服务商必须持续投入巨资，像守护金库一样守护他们的数据中心，并不断更新防御技术，抵御来自全球的黑客攻击,这是基础中的基础。

第二，企业和个人用户必须提升自身的安全意识和能力，这包括但不限于：为不同账户设置复杂且不重复的密码、强制开启双因素认证、定期对员工进行安全培训、及时更新软件补丁、对敏感数据进行加密，不能再抱有“把数据扔给云服务商就高枕无忧”的天真想法。

第三，可能需要专业的安全公司介入，对于大型企业而言，雇佣专业的安全团队或购买第三方的安全监控服务，就像请了专业的物业公司和保镖，7x24小时巡逻,在黑客发动攻击的早期就发现并阻止它们。

（引用来源：Gartner研究报告）

法规和法律也扮演着重要角色，各国政府正在不断完善数据安全法和隐私保护法，对数据泄露事件进行严厉追责，这从外部施加了压力,迫使企业和云服务商不敢在安全问题上掉以轻心。

“奥巴马中招”事件不是一个让我们对云计算失去信心的理由，而是一记响亮的警钟，它告诉我们，云计算的安全不是一个可以一次性购买并永久生效的“产品”，而是一场动态的、持续的攻防战，这场战斗中，没有哪个神仙能单打独斗地“撑得住”，而是需要云服务商、用户、安全产业和监管机构共同构建一道立体的、纵深的安全防线，真正的安全,始于我们每个人都认识到自己也是这条防线上的重要一环。