騰訊雲丢數據?來源:國際金融報不得不說,企業上雲已是大趨勢,越來越多的企業正意識到上雲的重要性,從而選擇合适自己的上雲服務商但就在近期,騰訊雲因操作系統雲盤發生故障緻使用戶數據清零暴露出的數據安全問題,正在引發企業對于上雲安全性的擔憂,接下來我們就來聊聊關于騰訊雲丢數據?以下内容大家不妨參考一二希望能幫到您!
騰訊雲丢數據
來源:國際金融報
不得不說,企業上雲已是大趨勢,越來越多的企業正意識到上雲的重要性,從而選擇合适自己的上雲服務商。但就在近期,騰訊雲因操作系統雲盤發生故障緻使用戶數據清零暴露出的數據安全問題,正在引發企業對于上雲安全性的擔憂。
近日,騰訊雲用戶北京清博數控科技有限公司所屬“前沿數控”向騰訊雲提出千萬元的索賠要求,因其平台的操作系統雲盤受所在物理硬盤固件版本bug導緻的磁盤靜默錯誤(寫入數據和讀取出來的不一緻)影響,文件系統元數據損壞。然而,騰訊雲認為事故原因在于操作系統雲盤發生故障,提出的僅是“賠償 補償”總金額達十幾萬元的解決方案。
其後,由于賠償金額意見不一,雙方都表示有可能通過法律途徑解決問題。
《國際金融報》記者采訪了解得知,目前,騰訊雲和用戶之間已經達成和解。但從這次故障的背後,有兩個問題依然沒解決:第一是從騰訊雲的角度,三份備份全部消失匪夷所思;第二是從整個行業的角度,在幾乎所有數據都在雲端的情況下,雲安全問題躍然紙上。
千萬元數據丢失
這或許隻是騰訊雲的一起用戶事故,但對于“前沿數控”而言更似一場“災難”。
8月5日晚間,“前沿數控技術新媒體”在微博、今日頭條、百度等公衆平台上發布文章《騰訊雲到底安不安全?為什麼數據丢了不能恢複?——騰訊雲給一家創業公司帶來的災難!》,自述騰訊雲硬盤故障導緻其公司平台數據全部丢失。
“前沿數控”是一家于2014年從微信公衆号起家的創業公司,定位于數控、模具、機械行業,2016年獲得投資後,該公司轉型為打造行業的一站式平台,開發了包括網站、H5、小程序産品等。
文章顯示,該公司選用騰訊雲服務器是為應對迅速增加的流量趨勢以及安全可靠的需求。自稱是“前沿數控”創始人以及接口人的伍先生告訴《國際金融報》記者,“當時本來是想選擇阿裡雲的,但後來想到有一項短信驗證業務在騰訊雲辦的,一起做便于管理。”
萬萬沒有想到的是,這種“把所有雞蛋放在一個籃子裡”的操作,竟讓這家公司在數據丢失後一無所有。
7月20日晚間,“前沿數據”公司的網站、小程序、H5突然無法打開,且無法登陸雲服務器,在向騰訊雲後台發起求助後,騰訊雲迅速給出了答複:北京三區部分雲硬盤出現故障,正在緊急恢複中。
之後的兩天内,騰訊雲處理投訴的負責人向“前沿數控”表示,由于騰訊雲硬盤發生的故障導緻數據丢失,且幾乎沒有希望恢複數據,想聽取要求賠償的意見。
不過,“前沿數控”的第一需求并非賠償,而是希望騰訊雲盡全力恢複數據。一天後,上述負責人告知“前沿數據”,數據100%找不回來了。
“前沿數據”在文章中稱,這次事故導緻公司近千萬元級的平台數據全部丢失,包括經過長期推廣導流積累起來的精準注冊用戶以及内容數據,一瞬間一家創業公司被摧毀了……
因運維人員違規操作
事故發生後,“前沿數控”還咨詢了IT行業專業人士,得到的回應是,騰訊雲應該有容災機制和數據完整性驗證,以保證數據可恢複,即使全部損壞,隻要硬盤沒有物理毀滅也能恢複出數據。
騰訊雲官網也顯示,CVM(雲服務器)搭載的雲硬盤提供三副本存儲策略,保證了數據在任一副本出現故障時快速進行遷移和恢複。
因此,對于平台數據以及備份完全消失,且無法恢複,伍先生向《國際金融報》記者坦言難以置信。
那麼,雲硬盤上的數據以及三份備份全部消失,且無法恢複的可能性有多少?
上海交大信息安全工程學院院長李建華告訴《國際金融報》記者,三套備份同時消失的幾率非常小,如若是一般的文件删除或丢失,數據是有可能恢複的,如若是物理硬件損壞,數據就非常難以恢複。
8月7日,騰訊雲在其官方微信公衆号上發布了此次故障的技術複盤。複盤發現,該故障緣起于因磁盤靜默錯誤導緻的單副本數據錯誤,再加上數據遷移過程中的兩次不規範的操作,導緻雲盤的三副本安全機制失效,并最終導緻客戶數據完整性受損。
事故源自磁盤靜默錯誤導緻的單副本數據錯誤。如果事故就到此,備份不發生意外,數據還是有可能恢複的。但據騰訊雲的故障過程複盤,其運維人員在數據搬遷過程中進行了兩項違規操作:
第一是正常數據搬遷流程默認開啟數據校驗,開啟之後可以有效發現并規避源端數據異常,保障搬遷數據正确性,但是運維人員為了加速完成搬遷任務,違規關閉了數據校驗。
第二是正常數據搬遷完成之後,源倉庫數據應保留24小時,用于搬遷異常情況下的數據恢複,但是運維人員為了盡快降低倉庫使用率,違規對源倉庫進行了數據回收。
運維人員的違規操作導緻異常數據擴散至三副本,進而導緻客戶數據完整性受損。
賠償意見之争
在确認數據無法恢複後,雙方在賠償金額的訴求上産生了不小的矛盾。
騰訊雲給出了“賠償 補償”總金額為136469元的解決方案。賠償部分為“前沿數控”自2017年12月開戶至今産生的實際消耗為3569元,騰訊雲按賠償條款中的上限現金全額返還;補償部分為132900元現金或雲資源的額外補償。
《騰訊雲服務協議》中關于違約服務補償責任的内容顯示,騰訊雲公司的補償責任總額不超過騰訊雲公司就違約服務向客戶收取的當次服務費用總額。
“其實,騰訊雲這件事大家都覺得有些出乎意料。盡管它(騰訊雲)說是一個極端小概率的事件,但确實是個低級失誤。”達睿咨詢創始人、首席分析師馬繼華認為,做雲計算的公司,安全必須是第一位的,特别是存儲安全。把用戶的數據弄丢,這對任何企業來講都是非常嚴重的失誤,并非騰訊雲所說的賠十幾萬元就能解決問題。
當然,“前沿數控”對于騰訊雲的所謂解決方案也并不買賬,其很快提出的賠償金額為1101.6萬元,雙方提出的賠償金額相差近81倍。
7月27日,“前沿數控”向騰訊雲發送了文件《前沿數控技術平台損失預估》,包括前沿數控技術産品線發展及相關情況、丢失的數據、給前沿數控技術平台帶來的影響、平台損失價值評估。
至于上述文件,伍先生以涉及商業機密為由拒絕向記者提供。他表示,1101.6萬元是結合用戶數、内容數以及成本計算得出。
那麼,《騰訊雲服務協議》的條款在法律層面是否有效?賠償金額應該如何制定?
北京市康達律師事務所律師韓骁告訴《國際金融報》記者,若合同有明确的違約條款,則應當按照合同約定的賠償方式進行賠償。但如果合同約定的賠償額度與客戶的實際經濟損失差距過大,可以依據實際損失額主張權利,而在直接經濟損失的數額主張方面,“前沿數控”應當承擔舉證責任。
不過,雙方的聲明中還有另一個矛盾值得注意。騰訊雲曾于8月6日的聲明中提到,在雙方的溝通中,“前沿數控”還提出希望以“獲得騰訊投資”、“騰訊官方引流”等方式得到補償。
随後,“前沿數據”發布嚴正聲明稱,“前沿數控平台與騰訊雲的溝通既不是為了索賠,也不是為了獲得騰訊投資、導流,更不希望對騰訊雲産生诽謗……是騰訊雲工作人員在表達數據恢複不了的情況下,主動提出希望利用騰訊可利用的資源來幫助我們恢複平台的運營、恢複流量。”
關于上述矛盾,《國際金融報》記者在騰訊雲方面并未得到任何回應,而伍先生則向記者表示,與騰訊雲溝通的整個過程都有錄音。
此外,伍先生還主動向記者透露,“發送所有文件前都在騰訊的處理群裡讓他們确認過。”
意外的是,8月8日,當記者再次翻看“前沿數控技術新媒體”微博時發現,其“指控”騰訊雲的三條微博已經删除,該公司在今日頭條發布的文章也已經删除,騰訊雲的官方微博上也看不到其于8月6日發布的相關聲明。
随後,記者詢問伍先生事件是否有了新的進展,伍先生回應:“我們與騰訊雲還是希望可以盡快恢複前沿數控平台業務運營,因此已協商制定出雙方認可的業務解決方案。”
不過,伍先生并未向記者透露業務解決方案的具體内容,随後記者試圖向騰訊雲求證,騰訊雲直至記者截稿也未給出回複。
對于雙方能夠短時間内達成和解,北京志霖律師事務所副主任趙占領并不感到意外。他向《國際金融報》記者坦言,不管法院會判騰訊雲賠償多少,這個事情對騰訊雲的聲譽是有很大負面影響的。
不做本地備份有責任?
此次事件中,不少業内人士提出一個質疑:為何“前沿數控”自己沒有進行數據本地備份?但“前沿數控”此前也搬出了騰訊雲的宣傳文案:“雲服務器聲稱99.9999999%的數據可靠性,搭載了雲硬盤提供三副本存儲策略,也就是說隻要把數據放在騰訊雲上,隻有十億分之一出現數據丢失的可能性,另外還對數據提供了3個備份”。
騰訊雲在8月6日的聲明中曾提到:“基于雲計算特性,為了杜絕概率極低的意外事故發生,我們在做好雲平台數據備份保障外,也按照行業慣例在相關協議中提醒用戶對自身重要數據,尤其是客戶信息、程序代碼、網頁素材等進行數據本地備份。遺憾的是,在這次故障中,‘前沿數控’也表示目前沒有任何本地備份數據可以用來恢複業務。”
伍先生卻不這麼認為,他向記者表示,網站上的數據是不斷變化的,備份動态數據與拷貝固定文件是不一樣的。
在李建華看來,“前沿數據”所給出的理由并不成立,無論是靜态數據還是動态數據,都有方法進行本地備份。“‘前沿數控’不能把服務的責任全部轉嫁到騰訊雲上,這家公司本身在數據安全保護上有一定的漏洞。”
對此,伍先生則給出了這樣的說法:“因為我們是創業公司,還沒有做到那麼完美。”
在馬繼華看來,雲計算的确給很多初創公司降低了成本,不過成本雖然降低了,但風險确實也同樣存在。
“我覺得騰訊雲這方面的技術可能還不夠成熟,畢竟騰訊雲的客戶并不是很多,這會對騰訊雲的品牌形成一定影響。創業公司不一定能承擔購買全部雲設備的成本,核心數據确實有必要不能全部放在公有雲上。”互聯網經濟雜志主編向坤告訴《國際金融報》記者,公有雲有備份也是十分重要的,比如碰到一些數據并發數量太大的時候,即使很成熟的雲服務也遇到過宕機的情況。雲安全未來會存在很多問題,這個圍繞雲計算的安全問題會使得細分的雲安全企業有更大的發展空間。
沒有絕對安全
可以說,自雲計算的概念産生以來,各類與雲相關的服務紛紛湧現,随之而來的就是人們對雲安全問題的關注。
CIC灼識咨詢執行董事朱悅在接受《國際金融報》記者采訪時表示,不論是面向公衆服務的公有雲還是主要面向企業的行業(私有)雲,一個共同的問題就是如何提升安全防護能力。目前各個運營商、服務提供商以及安全廠商所提的雲安全解決方案,大多根據自己企業對雲平台安全的理解,結合本企業專長,專注于某一方面的安全。然而,對于用戶來說雲平台是一個整體,需要構建雲平台的整體安全防護體系。
在朱悅看來,盡管私有雲的安全性和可控性更高,但由于相對公有雲而言相似的服務更加昂貴,初創企業在考慮運行成本和規模經濟的情況下,往往更傾向于公有雲。
朱悅認為,無論是公有雲還是私有雲都不是絕對安全的,對于特定核心數據的備份是必要的。“未來雲服務,尤其是公有雲會變得更為标準化。中國在個人數據和雲計算數據安全領域的立法仍然處于發展階段,相關法律主要從數據處理合法、用戶權利、數據安全和披露等方面對數據保護提出了要求。而參考美國标準 TIA-942《數據中心的通信基礎設施标準》從可用性、穩定性和安全性分為四個等級,用戶根據需求選擇相對應的雲服務,在出現故障按标準化的渠道選擇應對方案。”
那麼,公有雲是否也要數據災備呢?
朱悅對此解釋稱,災備是指容災和備份,是指通過建立多套相同的IT系統互相監視切換或者通過異地備份的方式來增加數據的安全性。通常來說,任何形式的雲服務都應有相應的災備來增加數據安全性。中國公有雲目前的災備仍在發展當中,還沒有形成相應标準化的解決方案和災備評級,以至于企業在選擇公有雲的時候并沒有一個可比的安全性标準。而同時,企業在選擇公有雲的時候常常處于一個經濟效率和彈性需求的考慮,而對于數據安全意識并不強。在公有雲被大量運用和數據損失案例頻出後,對于數據安全的考慮勢必增加,從而反向從企業需求方催生雲服務的災備市場。
按照朱悅的說法,當前的國内公有雲市場呈現出四大陣營,以阿裡雲、騰訊雲和百度雲為代表的互聯網企業陣營;以華為雲為代表的IT基礎設施廠商陣營;與微軟Windows Azure結盟國内運營的世紀互聯等國外廠商陣營;最後就是中國電信(港股00728)、中國聯通(港股00762)和中國移動(港股00941)所組成的運營商陣營。在市場份額占比當中,阿裡雲約占市場超過40%的市場份額,緊随阿裡雲之後的雲廠商有騰訊雲、華為雲、金山雲等。
“目前中國公有雲市場玩家各有特色,例如阿裡雲成立之初就是為了解決自己的需求,解決阿裡巴巴、淘寶平台商家的需求,而紫光集團旗下的新華三,是企業級市場的巨頭玩家,在政務、國企、行業等市場上具有一定的積澱。不過,由于雲計算在中國市場尚處于初期階段,一些中部玩家如金山雲、Ucloud、青雲QingCloud等,主要是先在遊戲雲、視頻雲、金融雲等領域建立優勢、形成口碑,然後再向其他領域橫向拓展,它們也逐漸擁有了自己的市場競争力,所以未來的市場格局仍然充滿變數。”朱悅如是表示。
,