猎云网1月5日报道 (编译:小白)
猎云网注:本文作者系“Windows 8”之父,微软前Windows事业部主管史蒂文·辛诺夫斯基(Steven Sinofsky)。他参与过微软早期的系统开发,经历过各种系统安全漏洞事件。在索尼黑客门事件之后,他在自己的博客上就此次事件发表了一篇极具远见的系统安全文章,文中一针见血地指出系统安全改革迫在眉睫。
计算机系统安全漏洞事件在已经过去的2014年频频发生,其传播范围之广,影响范围之大以及造成破坏之深远,可以说是空前绝后的。前段时间刚发生的索尼黑客门事件造成的影响更是严重,牵连甚广。但不论是从黑客攻击的方式还是从对计算机系统漏洞的毁灭性打击程度来看,这起事件都算不上有多特别。之所以索尼黑客门事件备受关注,是因为它给所有的公司和企业敲响了世纪警钟,提醒他们提防可能存在的计算机系统安全漏洞,敦促他们采取新的计算机体系结构。
当今系统安全漏洞的这种神出鬼没的特质不仅影响了企业的计算机终端系统建设,也影响了服务器基本结构设计。如同一切自然规律一样,这样的现状有它好的一面,也有坏的一面。重点在于你怎么看,怎么利用这种条件。
先说坏的一面。一直以来我们都在尽最大的努力保护现有的服务器基础结构,但是最近频繁发生的安全漏洞事件让我们越来越觉得力不从心。不得不承认,过于简单的安全架构是导致索尼黑客门事件发生的原因之一(把密码保存在一份Personal password.xls文件里的确一劳永逸但也绝不是一个好的主意)。再加上FBI又跳出来声称国内企业集团比起大型跨国公司更容易成为被攻击目标,于是情况变得更加不可收拾。
好在现在已经有越来越多的人开始使用云存储服务和移动设备,让我们至少看到了一些美好的希望。有了这些新一代的高科技,我们的安全保护机制正在发生革命性的变化,下一代的企业“云计算”系统离我们并不遥远。没有教程,没有学习视频,更没有培训老师,我们就那样非常自然地学会了使用手机,还有平板电脑,学会了用这些设备来我们的工作服务,这是一个神奇的技能。即使有了新一代的“云计算”系统,我相信人们完全可以在第一时间适应。
为了让读者们更好理解为什么索尼黑客门和现阶段的形势如此严峻,我很乐意与大家分享一下个人经历过的历史安全漏洞事件以及当时的应对和处理过程,就当是“安全漏洞简史”。如果熟悉了这段简史之后还不能理解我们正处于一个十分关键的时刻,那就……认真再看一遍吧!
早期计算机病毒与修复措施
现如今,我们每天都可以遇到一大堆杂七杂八的安全防护手段。比如各种各样的密码、防火墙、VPN、杀毒软件、提供管理者权限、无法正确安装软件,还有为了防止可能产生的威胁而设置的越来越多的网络安全设置。我们对此早已习以为常。但是在二十多年前,我刚刚进入微软那时,什么叫安全设置?防火墙又是什么?我们真的需要“杀毒”这个软件吗?不要说我,几乎所有人都对这些名词毫无概念。这一切都要从系统漏洞开始说起,如果你不知道这段历史,很显然,你就无法很好地理解我们正处于一个怎样关键的时刻。
我并不想让自己显得过于说教,所以下面我只介绍三个具有代表性的技术,每一个都在“安全漏洞简史”上的具有里程碑意义,而且对商业用户产生了至关重要的影响。他们分别是:MS-DOS 下的内存常驻程序(TSR),Word中的宏指令,还有Outlook的自动操作。围绕这些技术的内容一直在变化,同时也推动了当时的技术改革——就像我先前提到的安全设置,它在一定程度上会给系统带来运行不流畅和不方便等问题,因此在最开始的时候安全设置一直被丢在一边无人问津。
我们先说TSR技术。对于TSR,我真的是印象深刻。回到1989那一年,我刚刚入职微软,还是一个名不见经传的小程序员,却有幸接触到MS-DOS——微软磁盘操作系统(Windows 3.0还没有问市,大部分都在关注OS/2操作系统)。如果你是被大学推荐进入到Apps研发小组(是的,就是Apps,几十年前我们就开始这么说了),那么一整个暑假你都得捣鼓一个叫做“Apps Development College”的培训项目。说实话,我很喜欢这个项目,但是必须了解所有的计算机病毒还是让人有点崩溃。
另外,在我讲述这个故事的时候,你得记住在那个时候还没有像现在这样强大的互联网可以把所有的电脑都连接起来,那个时候大多数的台式机都是孤零零的一个,即使在局域网的工作组内,数据也不能共享。在这种情况下,电脑病毒的唯一传播途径就是插入受感染的软盘(或者从BBS上下载受感染的文件,当然前提是你能忍受300b的下载速度)。这种病毒主要采用一个完全不受限制的程序技术,叫做“Terminate and Stay Resident”(内存常驻程序),简称“TSR”。TSR是一个非常实用的程序,能在DOS环境下提供大量有用的工具。我最喜欢的一个TSR程序是“Borland Sidekick”,那些刚刚设置了冷战防火墙的台式机,都被我在第一时间安装了这个小程序,连续好几个暑假我都在埋头干这件事。但是很不幸的,跟实用程序不同,一个TRS病毒一旦被安装,它会跟踪键盘操作,或者干扰电脑屏幕、阻碍磁盘读写。
一个如此有用而且还是官方的系统功能竟然可以被用来做这些破坏和谐的事情,年纪轻轻未谙世事的我对此感到无比震惊。之后我们连续花了好几个星期的时间研究这些恶意的TSR程序,试图理解它们的工作传播特性。最后的结果是,我深爱着Sidekick,还有无数的人也跟我一样对Sidekick怀有深刻的感情,但是我们无法再拥有这个小程序,因为弥补TSR上的安全漏洞的代价实在太高,以当前的技术条件实在是回天乏术。再见了,我的Sidekick。再见了,其他友好的TSR程序。那些长期以来习惯于依赖TRS程序工作的人们,比如拨打电话、记录笔记、日历等等,顿时感到一下子回到了解放前,怨声此起彼伏。即使这样,我们仍然不得不放弃TSR。这次事故给我的一个教训是,放弃一个系统功能带来的痛苦和挑战所造成的影响远比打破人们的常规工作流要来得严重得多,哪怕在当时已有2000万的人已经习惯于使用电脑办公。
随着Windows系统和电子邮件的发展,企业在提高工作效率方面有了长足的进步,但是与此同时,病毒地传播也更加疯狂了。随着Windows系统越来越融入到企业办公事务中,Microsoft Word也渐渐地在企业中有了自己的地位,与公司员工之间的传统通讯方式也逐渐被电子邮件取代。电子邮件发送Word附件又取代了以往用软盘共享数据的方式。
于是风平浪静的日子还没享受几天,新的病毒又让所有人都傻眼了。1996年末,在大家毫无防备之际,几乎所有人的Word文档打开之后都变成了下面这幅令人绝望的模样:
虽然没有严重的破坏性,但是也足够让人抓狂,可以说是一种视觉乃至精神上的打击。这其实也是一个病毒,叫做“Word Concept”(准确来说,这是一个蠕虫病毒,在当时对这个病毒的定义也是一个巨大的争议)。利用Word中一个自动打开文件的宏指令,这个病毒迅速地感染了每一台打开了Word的计算机。说白了,就是我们给Word设计了一个十分酷炫的宏指令功能,有了这个酷炫的宏指令,基本上所有的Word文档操作都可以自动完成,用户只需要啪啪啪敲键盘就可以了。而自动打开就是当你打开文档的时候,所有的宏指令也立刻准备为你服务。所以这个恶意的病毒就是利用了这一点,在你接受到一份包含受感染的文档然后又自动打开时,病毒也立马篡改了默认模板Normal.dot,接着每一个你打开或者新创建的Word文档都会同样的受到感染。如果你再把受感染的文档通过邮件发送给其他人或者放在共享文件夹里,那么其他打开这个受感染文档的用户也会重复刚才的复制模式,如此一传十,十传百……几乎所有Word用户都中招了。这种病毒传播机制,后来被广为模仿。
面对这样的情况,整个研发团队都显得束手无策。这是一个很典型的商业案例。让我这么来解释吧,自动打开宏指令并不单单是一个自动打开文档指令,它牵连甚广。比如在打开文档的同时立即自动创建一个标准文档,其中包含了正确的格式和元数据,或者立即检查文档管理系统的工作环境。这些方便又实用的功能一直都是Word立足市场的关键。但是,现在看来我们的优势变成了威胁,这到底该如何取舍?
我们认为移除这项功能是最直接的解决办法,但是最后我们还是选择了一条曲折艰难的解决之路,一边不断地提醒用户不要随意打开不明文件一边设计宏指令的可信任级别,只为保持商业利润和商业竞争优势。有人可能会说这个选择不够明智但是实际上它的确是比较有效的,其他的可替代方案效果更差。问题如果到这里就解决的话,那也就没有任何里程碑式的意思了。重点不在于方案的选择,而在于更新。
对的,接下来我们又遇到了一个全新的问题。解决的方案有了,我们改进了我们的程序代码,但是怎样将更新应用到用户的电脑上去?不像现在,那个时候没有自动更新,而且大多数的公司都还没有接入互联网的能力。我们只好把补丁刻录到CD上,或者上传到FTP站点供用户下载。我们一次又一次地改进程序,发布了一次又一次地修正补丁(所有的这些细节都可以在网上搜索到,不过在这里细节不是重点)。病毒造成的破环已经存在,很长一段时间里,“Concept removal”竟然成了一个小型的工业体系。
Word的宏指令漏洞到这里可以告一段落。就这样安安稳稳地过了几年后,一场腥风血雨又席卷而来。1999年的某个阳光明媚的周末,我正在家中悠闲的享受远离工作的自由时光。突然我的电话响了起来(年轻人,这不是一个普通的电话,回家问问你们的爸妈吧,他们准知道是什么)。从意外的铃声中回过神来,我立刻拿起了我的AT&T 无线电话,电话另一头是一个编辑,她说她从一张公共关系联络表上找到了我的电话号码。淡定,淡定,深呼吸!尽管我努力保持平静,我还是脑子一片混乱,只听到她在不断地问我“Melissa”是什么。我根本不知道Melissa是什么玩意儿,我完全摸不着头脑。在这种混乱的情况下,我还不能同时去检查我的邮件,因为我特么只有一条电话线!(别以为我在骗人,回家问你爸妈去,他们比你们知道得多。)无奈之下我只好先挂了电话,告诉她一会在给她回电话,当然我也是说到做到的人。
挂了电话我立刻投入到工作状态中,火急火燎地开始下载我的新邮件,美好的周末就这么离我而去了。在整个过程中,我不仅是一个问题观察者,也是此次事件的一个受害者。我的收件箱史无前例的被朋友的邮件给挤爆了。这些邮件的主题栏里都写着:“这是你要的文件……不要告诉其他任何人哦!”每一个存在于我的通讯录里的好友,从高中同学到大学同学以及微软的同事,都给我发送了同样的邮件。这不是恶作剧,这就是著名的“Melissa”病毒——“啊哈!欢迎来到Melissa的疯狂世界!”
Melissa病毒准确来说是一个文档,利用Word和Outlook之间大量的重要业务功能恣意攻击用户。一旦打开带有病毒的附件,它的第一件事情就是攻击Word中的最新安全设置,并成功地使之不能正常工作。至于这个最新的安全设置我们就不用去管它了。总之,安全设置能不能正常工作影响不大,毕竟一大堆IT极客们早就破解了这个攻击,然而事实证明进展太顺利未必是件好事,只不过当时人们只是想着尽快地修补漏洞,使一切回到正轨而已。但是接下来发生的一切,简直是给了所有人当头一棒。
你得知道Outlook中有一个非常实用的扩展功能,叫做VBA目标模型。除了攻击安全设置外,病毒文档里的宏指令还利用了这个扩展功能访问了你的电子邮件通讯录,然后自动发送一封邮件到前50个联系人的邮箱里。我知道这个功能对大多数人数来说,就像在销售会议中点一支雪茄一样,毫无意义。但是不管你愿不愿意相信,对于商业活动来说,这个功能简直太棒了。没有Outlook的这个扩展功能,我们就无法方便地获得简单的客户管理系统,时间管理器,邮件整理等等。所有这些特性,可以写成一本书,供大家学习了。
又一次我们用了整个周末的时间来商量对策,这个扩展功能不仅有用而且深深地影响了商业活动的运作方式,我们不得不谨慎对待。我们评估了兼容性,评估我们对广大用户做出的承诺,但是这一次真的被打败了。
第二天就是周一,Melissa顺理成章地上了USA Today的头条新闻,报道说这个病毒传播之快一夜之间已经影响了近20%的电脑,解决成本预计将达到数十亿美金(具体的报道我现在找不到了,但我说的绝对是真实的事情)。对于大多数受害者来说,他们的状态就是这样的:我根本不认识Melissa,但是一觉醒来却发现好像我成了病毒传播的始作俑者,还让不让人愉快地生活了!正因为事情如此严重,才使得后来的选择和决定显得合情合理。不管怎么样,我们这些工程师是真的把命都豁出去了!
我们马不停蹄地赶出了一个解决方案(注意,是我们——我们的意思就是整个Outlook产品项目部们的125个工程师都在研究这一个解决方案)。我们推出了“Outlook E-mail Security Update(Outlook E-mail安全更新)”。这次更新的实质是关闭了Outlook中的目标模型,当然其中也包括之前说到的导致病毒疯狂传播的扩展功能;更新后也不会在批量打开所有附件,从而变成每次打开附件时都会弹出安全提醒。当然,我们还会更新所有的宏指令,保证它们在日后更加稳定不易被黑客利用。这些改变都是让人难以接受的也是从没有预见过的。让我们一起来回想一下在DOS时代我们删除了Sidekick这个功能后造成的抱怨,已经不小了对吧?但是跟这一次的抱怨比起来,只能说是小巫见大巫。我甚至敢说在此之前,从没有任何人或者任何公司经历过这样的事件——成千上万的企业用户立刻打爆了我们的客服电话,而事先我们根本没有时间去准备所谓的危机应对方案,一切都发生的太快,我们束手无策。最后我们只好跟第三方合作。我们甚至动用了客服顾问来重建工作流和插件。现在回想起来,或许是当初由于我们的疏忽才“造成”了数十亿的损失,但是最后的解决方案似乎造成的损失更大。所以我有时候会想,放弃治疗会不会更好一点?
提前预防真的比修复安全漏洞更有效吗?
让我们继续快速地略过“蠕虫王(Slammer)”、“冲击波病毒(Blaster)”、“爱虫病毒(ILOVEYOU)”等等。紧接着采取的应对方案分别是互联网局域网化、附件只读模式、Windows XP SP2补丁等等。看到了吧,所有的套路都几乎一模一样。我们的很多功能,它们设计的初衷是善良美好的,但是结果并不如愿。从企业资产的负面影响到全球的灾难性打击,有太多故事可以讲了。
以上提到的每一个事件都导致了某种程度的退步或前进方向的转变。尽管发展到今天,互联网和广泛使用的安全技术已经将大多数的安全漏洞隔离在外,计算机系统的稳定性有了长足的提高。但是恶狼始终是恶狼,他们从来都没有消失过,只是披了一张羊皮而已。在当今时代,这些黑客不再单独行动,有的背后有国家支持,有的则属于全球犯罪团伙。不管是出于什么原因,恐怖威胁、政治诉求还是经济利益,总之这对于他们来说是一笔获益不菲的交易。在当今时代,最最关键的基础设施保障系统都存在着主要的安全隐患。所有这些设施,价值数万亿美元,威胁无处不在。
从我个人来看,在我们已有的系统中,安全设置的数量已达极限,即使我们可以再增加更多的安全设置其结果也是治标不治本。路上已满是路障和锥形障碍,但是仍然拦不住潜在的威胁靠近我们。现代企业中的电脑和基础服务架构中充斥着各种各样的工具、进程和设置,只为减少各种潜在的危险。但是这些为了降低风险而采取的措施越变越复杂,越变越难以维护管理,以至于鲜有人真正地理解这些系统。那些正在使用这些复杂系统的人又接二连三地投向了手机和平板电脑的怀抱,因为新的设备没那么复杂,也没那么多不可预见的风险,哪怕是在最简单的工作中也没有什么威胁和挑战。
这就是我一直强调的关键时刻,告别过去复杂系统的时代即将到来。
问题到底出在哪里?
如果你愿意,你可以把目前计算系统所面临的问题都详细列出来,这个清单大概能有几米长吧。或者你也可以闲的无聊去和别人争论A系统和B系统到底哪个更好或者更差。但是真相是,无论是Windows系统还是苹果操作系统OS X,又或者是桌面版或者客户端版的Linux系统,他们的本质都是一样的:都是基于80年代创造的英特尔处理器的操作系统,再加上一些在那个时代属于用户级别的扩展功能包。
理论上来讲,我们完全可以配置一个尽可能安全的系统环境。但是问题在于,这个理想安全的系统能如你预期的那样工作吗?对于大多数的普通用户来说,他们有能力操作这个系统并且处理日常任务吗?显然答案是否定的。但我是专业的计算机工程师,当然我可以拍着胸脯说没问题,我也可以说我从没受到过这些安全问题的影响。等等,除了Melissa病毒爆发的那一次我也成了受害者,还有我在中国使用WiFi的那一次,还有我的U盘,还有……说起来好像受影响次数也蛮多的,我自己都有点记不清楚了。所以你看,在安全问题面前,几乎无人能幸免。
从最广泛的意义上来说,除了操作系统以外,在这个体系结构中还有三个核心的挑战因素,它们分别是硬件设备,周边设备以及这个平台上的应用程序。任何一个安全专家都会十分肯定地告诉你,每一个系统的最薄弱之处在于安全性。
终端用户和信息技术中的surface area旋钮和拨号。这二十年来,人们对软件的定义是广泛的兼容性,深度定制,或者是各个级别的个性化设定。最初的TSR只能捕捉非常简单的键盘操作(ALT键、Enter键一类),然后提供预期的功能。这个模型的更新发展实在太不稳定,即使是添加一个新的安全特性,也会使得其他大多数已有的保护进程瘫痪(比如宏安全性)。那些认为这个问题只存在于电脑客户端的人,不如想想企业的服务器系统和程序本质上是用来做什么的。在企业的服务器系统和程序上,大多数的工程计算工作是通过自定义代码或特殊配置来实现对表层应用的控制和指令传递。即使是登陆电脑这样一个非常基础的指令,其本质上也是通过执行引擎改变了电脑的行为,只不过这种改变我们普遍认为是安全的,没有恶意的。于是乎,我们可以知道,管理服务器或者终端设备的本质就是调整旋钮和拨号。哪个端口应该打开?哪一个程序要运行?权限是什么?防火墙的拦截规则是什么?协议怎么定?等等。这个原本为优化和创造商业价值而设计的surface area,同时也给黑客创造了破坏机会。单一的进程不会造成多少影响,但一系列的扩展事件可以串联到一起,就像多米诺骨牌一样,造成巨大的负面影响。发展到今天,整个架构堆栈中的surface area是巨大的,超出了任何可审查、管理甚至是备份的范围。显然,也没有任何一个安全工程师可以独自驾驭这一切。
高危漏洞潜在携带者:执行引擎。计算机系统的发展史也是程序内部执行引擎的更新换代史。宏语言、运行时间等等,都是程序或者执行引擎最顶层的元素。宏和自定义代码决定了程序的版本。所有的应用程序都可以调用自定义代码并且直接应用到本地操作系统中。这种执行引擎和在运行程序过程中的沟通能力不仅仅只是一个极佳的性能,也是提高商业竞争能力的一个必要条件。所有这一切的操作都在最底层、最广泛的层面。没有人会想到,这样一个有价值的服务,受到广泛好评的入伍,会被恶意利用造成极大的破坏。而如今,执行引擎早已遍布我们生活中的各种计算机系统平台。再说的直白一点,那些用来解决安全漏洞的工具其实质也仍是执行引擎,也是被攻击目标(比如杀毒软件、路由器前段等等,都存在可利用的漏洞,成为易受攻击的目标之一)。而在移动设备上,带有任何执行引擎的应用则很难通过应用商店的审核。
不可避免的社会推动力。技术的影响只能到此为止。人为因素的影响不可忽视。总有那么些时候,有那么些人,会莫名其妙地犯傻会被忽悠着莫名其妙地犯傻。正所谓常在河边走哪有不湿鞋,上网上多了中个几次病毒太正常了。文件的名字写着“不要打开”你就真的不会打开了?面对100多个密码,你说你不会拿个小本本把它们记下来?大学好友发来的邮件你又怎么忍心拒绝打开呢?用短信验证的方法注册一个服务,这么麻烦的事情总会有人无视的。世界领导人全球峰会上派发的U盘你会说你不用吗?或者你会放着一个国际商务级别的酒店WiFi不用去用速度几乎为0的2G网络或者干脆不接入网络吗? 那些让人们从固有的模式中解放出来的进步正在改变着我们的世界,使世界变得更加安全和高效(比如汽车、飞机、制造业),使我们能够解放更多的资源去探索更广阔的未知世界。但是尽管计算机为我们带来了诸多便利——沟通变得更近了,合作无国界了,创造力突飞猛进了,计算机却并不属于解放人类的技术进步行列。
当然你还可以从其他角度来描述我们当前所处的境遇,而且可以确定的是潜在的良性威胁仍在日益增长。当我回顾过去20年的发展变化时,我认为我们所面临的挑战不过是最最基础的。设置再多的安全防护措施也于事无补。
但是放心,情况没你想得那么糟!
但是如果你这么快就急着下定论,那么你一定会认为我在鼓吹关于计算机未来世界的悲观言论。其实不然,我只是偶尔会想起那个被神秘好友“Melissa”彻底毁掉的美好周末。索尼黑客门事件之后,我完全能够想象那些身处Sony、Target、Home Depot还有Neiman Marcus的工程师们如今的处境,以及多少个默默无闻的程序员不眠不休、放弃了周末时间奋斗在一线。我甚至完全可以理解即将发生的变化。
仔细检查系统漏洞,设置更多的安全保护,然后再次确认你的整个计算机系统运行是否良好固然是个良策,但是这也就意味着又有一大波计算机专家将为此不得不放弃假期娱乐时间被迫加班。谁都不希望发生这样的事情,但这就是工作,而且迫在眉睫。可悲的是,付出这么多的代价,仍然是治标不治本的节奏。
当一切都尘埃落定之后,我们需要一个新的解决方案。我们必须得一劳永逸地解决所有存在的问题,彻底扭转当前的局面。如果一定要从这篇文章中总结出一个经验教训的话,那就是无论造成多么强烈的破坏,任何一次攻击都不会得逞甚至不会持续很久,但是它仍会导致不可估量的退步并且对那些无辜的用户造成极大的不便。有的自带程序或者自称采用特殊技术的程序会以可信任或运行方式与众不同为借口要求解除系统安全检查。然而就是这么一个漏洞,然后系统就崩溃了。在这一点上,我过去的看法其实一直都是不正确的。
亡羊补牢为时未晚。我们正处于新一代计算体系诞生的边缘,这个体系完全独立于已有的系统基础之外,它的所有设计初衷都是以更加安全、稳定,更易管理,更具备实用性和操作更简便为根本原则。需要指出的是,零风险的体系几乎是不可能有的。我们只是把从前的路障搬到了另外一条全新的道路上。在这里,一切的战场都回归起点,与敌人的战争也从头开始。这就是我们期待的。你永远无法消灭这个世界上的所有敌人,但是你可以暂时甩开他们的干扰。
新的系统和应用架构。如今我们所使用的新一代操作系统是专为移动设备而设计的,它运行在微型处理器上,可以直接重置某些非常基础的攻击向量。我们可以抱怨应用商店(或者应用商店的审核)或者应用沙盒。我们也可以抱怨“这个应用总是企图访问我的手机相册”。但是你不得不承认这些架构的变化对我们的敌人来说绝对是最强大有力的武器。尽管如此,我们仍不能保证意外不会发生。也许某一天,就在你的电脑上,你不小心打开了一个恶意设计的图片附件结果导致缓冲区溢出,然后趁机在你的电脑上植入一段代码,然后为所欲为。接着第二天你发现同样的照片流在移动设备上无法正常显示了。毫无疑问,所有我们能够想到的安全设置、代码审查等等保护措施我们都已经做了,但是同样的事情仍在发生,因为20年来累计了太多的代码,想要修复这些可能存在漏洞的代码根本不可能。
云服务——API数据访问神器。比起虚拟主机和虚拟服务器,云服务远不止这些功能。事实上,虚拟一个服务器程序或者操作系统的确是一种保护手段但效果不佳。把现有的服务器转变成虚拟机存储到一个公共的或者“私人的”云服务上等于给你的系统增加了复杂性,也给攻击者设置了一个最基层的障碍。为什么这么说?因为来自可扩展性和可定制性的挑战仍然存在。更糟糕的是,那些进入到虚拟世界的用户会要求在两个世界中获得同等的能力。但是Cloud-Native产品的设计理念从一开始就完全不同于传统的追求可扩展性和可定制性的设计理念。与钩子和执行引擎不同,Cloud-Native的重点在于数据和API的可定制性。surface area在这里已经没那么重要。有的人可能觉得这个变化太过于微妙难以理解和接受,不过肯定也会有人认为转移到云服务是非常重要的一步。打个比方说,在云环境里,你无法从某个终端电脑上采用简单的拖拽功能批量访问或处理某个组织下的“所有文件”。而在我看来,现在是降低整个计算机体系结构复杂性的最佳时机。当然这个转变对于以往在企业需求定制和配置方面有着出色表现和经验的信息技术产业来说绝对是一个巨大的打击。
Cloud Native(原生云基础)相关的公司和产品。当工程师写惯了DOS程序的代码突然去写Windows程序代码时,整个脑回路都得重新刷新一遍,苦逼程度可见一斑。现在,又要他们从熟悉的客户端和服务器应用转移到移动设备和云服务领域,当真也不容易啊。几乎是百分之百地刷新大脑啊!从最初的设计和安全性考虑以及隔离措施开始,就已经彻底跟传统的设计理念说拜拜了。这个本地视图不仅扩展了功能的呈现方式,也扩展了产品的建立方式。开发者不再需要考虑随机访问或者系统钩子这些问题,因为在这里它们通通都不存在。更重要的一点,传统的系统认知对于现代工程师来说毫无意义。所有人都前进了一步,于是传统的surface area不见了,复杂性也降低了。考虑到他们所做的改变和建立维护一个高端复杂精妙的网络安全组群的能力,云技术公司在安全性方面势必会快人一步。对于云技术公司来说,安全性将决定整个公司的生存能力。尽管这听起来很疯狂,但我还是不得不说那些被攻击的公司都曾是著名的大公司,他们在非技术业务方面有着最复杂和最昂贵的安全维护团队,不信你去看看,到底是不是这样。那么一个主要的云服务提供商会不会被突破?很难说这样的事情不会发生。但是可以确定的是Cloud Native服务提供商被突破的几率远远大于那些十分优秀的企业。
新的认证和基础结构模型。未来的世界将被无处不在的短信认证和提醒所取代:更改密码通知、异地登陆提醒、潜在的生物识别技术以及非常简单的PIN码验证(即SIM卡的个人识别密码)。软件狗(软件保护器)、VPN和10分钟长的登陆脚本等等都将成为过去式。未来世界的防火墙也将以软件为基础,这些软件可以轻松访问所有应用和节点。过去那种长篇累牍的条条框框既复杂又不实用,最关键的是一遭到攻击就瘫痪,这样的架构注定将被时代所淘汰。而我们现在正在逐步搭建的新型基础结构模型就是以实现以上种种未来设想为最终目标。我说的这些例子还只是整个变化的冰山一角,软件设施和云服务将给未来世界的基本网络身份和基础格局带来发生翻天覆地的变化。
每一次企业计算机体系结构发生显著变革都是由于某一次的严重攻击或者服务器的崩溃,导致我们的体系结构不得不重新调整,其中代价着实难以估量。人们不断地抱怨,发牢骚,媒体开始谴责,因为已经习惯的商业进程和工作流一下子全被打乱了。但是混乱之后,我们要相信,迎来的必将是一个崭新的进步。
今天,移动设备应用和云服务已经初见端倪。这个进步不仅仅改变了我们曾经赖以使用了20多年的计算机体系结构,也充满了值得期待的优势。良好的合作性能、移动性、适应性,易推广性以及更多的优势性能等待挖掘开发。共享、格式化、电子邮件等等也会随之改变。我可以想象这个过程不容易,但是全新的管理控制和机会也必将随之而来。就像15年前的TSRs和后来的Melissa,我总相信暴风雨过后会有彩虹。至少在过去的时代里,确实是这样的。