当读到此文时,你周围的人也许会为CVE-2015-7457而感到担忧。CVE数字代表的是在常见漏洞与披露(Common Vulnerabilities and Exposures)数据库中的问题,其本质上是一个由政府资助的安全问题分类数据库。CVE-2015-7457这一问题更为尖锐,该问题发生在linux操作系统的函数库中,会曝光所有应用程序所使用的DNS。一次具有目的性的DNS响应可以帮助他人顺利侵入你的应用程序。
“DNS……我听过这个词”,你开玩笑地说。但这并不是玩笑。
这一漏洞已存在于linux中超过八年,在IT世界里八年已经是相当长的时间,长到该漏洞已经可以渗透全部底层架构,足以影响企业和云端的一切。所有的经济体和公司都难以避免在基础设施层面遇到这一问题。被问题困扰的有AWS、Rackspace、Digital Ocean等公司,还有我们大多数的内部基础设施。
相比于基础设施层面,更严重的是问题发生在我们的应用程序层面。在企业内部私有云上运行的应用程序会受到影响,在企业内部公有云上运行的应用程序会也受到影响,因为它们都是在企业内部运行。事实上,更糟糕的是,因为应用程序在云端,同时属于内部实例,它们不可能具备如此多的安全选项。在这一层面上,基础设施即服务(IaaS)不能帮助我们避免任何相关安全问题。
我常说通往云端的旅程并非技术旅程,它只是IT领域人员的旅程。那些尝试过的人都是故意附和于我,没有人会质疑是我疯了。而IaaS并不能帮助我们避免修复任何安全漏洞,这就像我们十年前做的事,它允许我们改变流程。因为我们可以很快实例化新的容器、新的虚拟机以及新的操作系统镜像,并且我们可以将这些组件视为用后可任意处理的。当某个组件发生问题,我们就处理掉它然后实例化一个新的。面对安全问题我们这样的处理方法显然是不正确的。
重要的问题在于,使用企业软件,我们不能仅仅处理掉它们而部署一份全新的软件。诸如Oracle和微软这样的软件供应商不允许我们,也没有自动化处理能力,或不支持我们这样做,即使是我们有能力让它们恢复工作。因此即使我们已经习惯于云架构的心态,诸如自动化和服务部署,我们的行动却从一开始就被限制住了。
让我们抛开一切,事情的真相是,IT并非一个企业的竞争性优势。当我想到企业软件自动化的凄惨状态,我开始认识到也许我们太过于依赖旧有方法了。当虚拟化的概念刚刚出现时,曾有人被嘲笑成服务器痴迷者,他们曾尽全力维护自己的旧有方法。对于应用程序痴迷者来说,我们曾经花费了大量时间去争取权利,结果则是徒劳无功,一切都过去了。
其结果是,不难想象软件即服务(SaaS)成为大多数IT供应商最符合逻辑的首选。IaaS和DaaS并非总能很好地适应所有企业。当你能够采购现成格式的产品,为什么还要运行自制的三层应用程序?想象一下我们借助SaaS的API、集成接口所能做的事情,只要我们有时间处理,就能建立起实际的竞争优势。我们花费在打补丁和维护旧有应用程序上的时间,都将成为我们在过去的一种见证。
让这些都过去吧!我们最终还会把注意力转移到生活中更加重要的部分,然而这将出现在其他领域……