便宜VPS网2022/12/28阿里云原因
阿里云宕机的主要原因是机房主备水冷机组共用了同一个水路循环系统。根据查询相关公开信息显示:12月28日,阿里云香港可用区C部分发生大规模服务中断事故,故障超过12小时,主要原因是机房主备水冷机组共用了同一个水路循环系统。
阿里又出事了!发现网络安全漏洞,不上报工信部,却通知外国机构
突发!工信部宣布暂停与阿里云信息共享平台合作。这是怎么回事?阿里云犯了什么事?要了解这些疑问,首先我们要知道阿帕奇 Log4j2组件。
据悉,阿帕奇 Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。而在11月24日,阿里云发现阿帕奇(Apache) Log4j2存在安全漏洞。但阿里云没第一时间向工信部报告,反而率先向阿帕奇软件基金会披露该漏洞。
而阿帕奇软件基金会是专门为支持开源软件项目而成立的一个非盈利性组织,于1999年6月在美国特拉华州注册成立。
在阿里向他们披露漏洞后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。
根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应当在2日内向工信部报送相关漏洞信息,而工信部12月9日发现上述漏洞,距阿里云首次发现已经过去15天。
值得注意的是:这次的漏洞被认为是“计算机 历史 上最大的漏洞”。多名云计算业内人士指出,这是一个非常基础的日志库漏洞。由于组件使用量很大,几乎所有的java程序都会涉及,所以影响面很大。
工信部指出,这一漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本,以降低网络安全风险。
看完上述,相信大家都知道阿里云犯了什么事了吧!根据工信部要求,网络产品提供者发现漏洞,应当在2日内向工信部报送相关漏洞信息。
有此要求是因为通常情况下,发现的早,知道的快,能及时防备、解决漏洞,避免造成损失。反之,知道得越晚,损失越大。
此次的阿帕奇 Log4j2漏洞,几乎影响全球,原本我国本应该能在11月24日就应对的,最后却滞后了15天,15天有多少设备受到了“入侵”呢?
所以,也难怪工信部宣布暂停与阿里云信息共享平台合作。工信部称,阿里云公司发现阿帕奇 Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
阿里又被重罚,这回做错了什么?
公众号:大树乡长
昨天,阿里云因为未依法及时向工信部报告发现的安全漏洞信息,被工信部决定暂停6个月阿里云的工信部网络安全威胁信息共享平台合作单位。
随即,阿里美股暴跌4.21%,预计接下来还将继续下跌。
就在今天,阿里云发布说明,表示将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险规范工作。
事情发生后,已经有很多人写了些文章,小镇也看到朋友转发的,具体不点名了,多数还是老一套,就喜欢用流量思维动辄把一件事上升到危害国家安全、中美对抗、中国网络安全裸奔等等。
首先,阿里云确实做错了,但不要过度夸张,更不要急着喊打喊杀。
云计算对人类发展非常重要。相比传统的分散式,云计算大大降低了成本、扩展性极强,由于设备在云端,大大提高了整个信息系统的可靠性和稳定性,避免因为服务器发生故障导致的损失,而且可以不断保持更新升级,大大增加了工作的流动性。
因此,云计算带来的种种变化是革命性的,也因此成为大国之争的关键领域之一,当然说白了还是中美两国。
在云计算领域,世界前五大云计算厂商,美国3个中国2个,只不过美国占据第一、第二的实力近乎压倒性的,尤其是第一的亚马逊,2020年的时候全球市场份额超过40%,第二的微软市场占比也达到了19.7%,然后就是阿里云,全球占比9.5%,华为云位居第五,全球占比4.2%,整体同第四的谷歌云接近。
从整体规模上,2020年美国3大厂商全球市场占比高达66.6%,中国两大厂商是13.7%,其他一切企业加起来占19.7%。
力量对比很明显,也正说明数字经济时代,中美已经成为了唯二的角逐者,在其他各领域也都类似。
站在国家的角度,阿里云和华为云都是中国的企业。纵然它们有些这样那样的缺点,可只要不是跟某些企业那样无可救药、不思进取地沉迷于赚快钱,肯定还是要支持的,毕竟这是自家的高 科技 竞争力。
当然,错了还是要敲打下、教训下,但这就是小惩大戒。
小惩大戒的前提确实是没造成多大危害,这就要回到这件事本身。
第二:从技术角度,阿里云程序员的做法没什么问题。
必须强调一件事,阿帕奇基金会绝不是某些自媒体渲染的是一个多么“邪恶”的外国势力,实际上这就是一个管理开源软件项目的非营利组织,这次出问题的log4j项目是阿帕奇基金会下一个开源项目。
在程序员的世界里,开放始终是互联网世界的底色,全人类在虚拟世界面临的许多共同问题,需要凝聚所有程序员的力量共同解决,于是就有了各种开源项目。
各开源项目的程序员来自全世界,阿帕奇基金会只是作为开源项目的管理方,并不参与具体的代码开发。既然项目是开源的,源代码向全世界公开,程序员又来自全世界,所以从根本上就不存在美国政府通过种种手段胁迫阿帕奇基金会的情况,更不可能去要求这家基金会或者开源项目隐藏漏洞,从而让美国人任意妄为。
道理很简单。
开源的基本就是源代码向全世界开放,任何人都可以通过阅读源代码进行操作或者开发,换言之,只要一个水平过关的程序员,通过认真阅读源代码,就完全可以发现这个号称核弹级别的log4j漏洞。
log4j作为一个开源的日志组件,本来就是免费的,按照开源协议,发现漏洞后本就是需要报告到作为开源项目管理方的阿帕奇基金会,在此之前也要求不能泄露给任何第三方,避免漏洞被利用。
这也是为什么我们国家要求发现之后2日内报告,而没有要求必须第一时间优先报告,也有这方面的考虑。
而上报的漏洞,也已经同步更新在开源社区,按照常规,各国、大企业还有很多程序员都会紧跟技术发展,登录这类开源社区进行查看、学习是日常习惯,正常来说,一般在漏洞上报后一两天,就能够发现这件事,并且开始处理。
分散在各公司的程序员们并不是只有当接收到工信部要求后才开始填补漏洞,他们的工作本身就要求迅速反应。
当然这里面有一个疏漏点,就是可能有的机构需要等工信部这类官方下令才会进行处理,又或者有的机构的程序员缺少主动工作的动力,一些领导者也可能不懂甚至漠视风险。
但是仅仅从程序员本身,优先向开源项目管理方报告没什么错,换成别的国家、别的公司,也都大致如此处理。
只不过这次有三个非常不同的点:
第一:发现者是阿里云,是一个大平台,而且正处于加大监管的大环境下;
第二:发现的log4j漏洞确实太离谱;
第三:上报15天后,阿里云仍然没有主动上报,国内竟然没有人发现并且补位上报,以至于等第四方国家吵起来才知道,结果这时候发现,竟然是中国人第一个发现。
种种原因叠加,也就有了工信部对阿里云的惩罚。
第三:阿里云错在内部管理和沟通
在互联网大公司,由于组织庞大,内部沟通常常出现问题,内耗极为严重,有的大平台,内部机构复杂到内部人都搞不明白,更别说协同了。
各部门也存在诸多不同或者说优劣势。
而负责对接政府的政府事务或者公共事务部门,基本上技术肯定是不懂的,多数人对政策也了解不怎么样,别看很多本来就是公务员,有的在中央部委干到处级,但认知水平其实也就那样。
这些人去了企业,往往就是通过自己在体制内呆久了、认识些人,在公司和政府之间来回要挟,有过就躲、有功就抢,拿着政府要求逼迫业务和技术部门,拿着平台资源去找政府等等;还有的在公司里成长起来的,连对体制的感觉也比较缺乏。
当然一般情况下,经常做政府事务工作的,还是有一定敏锐性,如果接到技术部门的通报,多半还是会及时上报,但假如没有形成一套完整、动态调整的机制呢。
比如:及时跟进解读政策变化,将政策变化与公司内部相关部门同步,对应调整信息同步流程和内容等等,这样的机制基本是欠缺的。
这里面有组织太大、政策跟进不及时、内部跨部门沟通困难甚至还有些个人的问题等等。
说这些,是尽可能深入的剖析下这么一个离谱的错误是怎么发生的,并非很多自媒体渲染的,阿里“卖国”等等。这其实就是种种机缘巧合之下叠加大组织病导致的。当然,其中也存在意识不足的问题。
说这些不是为了给阿里云脱责,仅仅是提醒更多的企业好好想想如何解决。
有的公司想出了不是办法的办法,比如某大平台要求所有员工,不分职责,对于安全监管问题人人有责、人人补位,虽然导致工作量大增,但起码也是个应急的办法,所以这家公司就明显少出现很多问题,股价也稳得多。
对于阿里,当然是要敲打的,一家如此大的平台,享受了中国巨大的发展红利和政策优待,就理应担负起与能力对应的责任,无论什么理由,责任没有尽到就是问题,就要罚。
就算是技术人员,遇到问题后也肯定上报了技术主管,技术主管有没有上报?
我国也要求上了规模的公司要成立信息安全机构,由公司高层直接负责,这些问题理应上报到负责信息安全的高层,这里面出现了什么问题?
当然,阿里也付出了代价,整个阿里集团核心业务实际就是三驾马车:电商、金融和阿里云为首的 科技 产业。
金融不说了,电商今年受到严重冲击,头部主播被严查还将面临一系列的税收问题,本来今年阿里股价已经跌掉了三分之二,剩下的三分之一就是靠着阿里云这样的支柱撑着。
现在被工信部暂停6个月的合作伙伴资格,必然会影响到国内很多机构同阿里云的合作,业绩受挫是必然的了。
所以就出现了昨晚阿里美股暴跌,损失不可谓不惨重。
最后,还是要说一句:
阿里确实有错,但错不致死,毕竟还是中国自家的高 科技 竞争力,罚就罚了,没必要上纲上线,更不能干出来亲者痛、仇者快的事,如果中国云计算两大支柱之一受重创,占便宜的只有美国。
小惩大戒,以观后效就好了。
阿里作为一家扎根中国的企业,不会真的不明白应该怎么做,相信一定会积极整改。但是也得提醒很多企业,千万不要轻视组织内部的沟通问题,安全更是红线,否则阿里云就是前车之鉴。
