過去十年,全球公有云市場規(guī)模增長了5.4倍,中國云計算市場增長了十幾倍,在云計算快速發(fā)展的過程中,與云計算相伴而生的云安全市場卻沒有得到同步的發(fā)展。
以前企業(yè)對于云安全可能不夠了解,由于缺少與云環(huán)境相匹配的安全防御體系,許多行業(yè)的核心數(shù)據(jù)和用戶隱私面臨很大的暴露風(fēng)險。近幾年云端攻擊事件爆發(fā)得越來越頻繁,給企業(yè)造成的損失呈幾何倍數(shù)增長,云安全已逐漸成為企業(yè)IT建設(shè)中非常關(guān)注的話題。
那么,在過去一年中,云安全在國內(nèi)的發(fā)展形勢是否發(fā)生了變化?云安全建設(shè)是否真正被提上企業(yè)議程?企業(yè)在云安全建設(shè)過程中又存在哪些問題?此次科技云報道專訪360企業(yè)安全集團云安全事業(yè)部總經(jīng)理劉浩,就企業(yè)云安全建設(shè)落地情況及面臨的挑戰(zhàn)進行了交流。
360企業(yè)安全集團云安全事業(yè)部總經(jīng)理劉浩
云安全觀念從無到有,但企業(yè)依然存在困惑
近年來,在國家政策引導(dǎo)及合規(guī)需求拉動下,各行業(yè)正在加速業(yè)務(wù)上云落地。劉浩表示,在這種大背景下,國內(nèi)大多數(shù)企業(yè)對云安全有了從無到有的認(rèn)識,在云安全方面的預(yù)算也有了大幅提升。
“2016-2017年,我們?nèi)ズ推髽I(yè)講云安全,先要和企業(yè)聊什么是云計算,那時候很多企業(yè)的業(yè)務(wù)都還沒有上云,云概念還不清楚,就更不用提云安全是什么了。從2018年開始,我們明顯感覺到這種狀況有了很大的改變,很多企業(yè)主動來找我們聊云安全。”
劉浩表示,各行各業(yè)在云安全建設(shè)方面發(fā)展都很迅猛,對云安全的理解和實踐有了很大提升。比如說金融、運營商和政府,以不同行業(yè)屬性的安全需求構(gòu)建的在云安全體系思想已然非常成熟。
在運營商行業(yè),因SDN/NFV等技術(shù)發(fā)展、移動互聯(lián)網(wǎng)發(fā)展、大數(shù)據(jù)的應(yīng)用深化等給通信產(chǎn)業(yè)鏈帶來了巨大變革,云計落地最早最充分,在其發(fā)展過程中積累了大量云安全訴求,也經(jīng)歷了大量的云安全實踐。
在金融機構(gòu),技術(shù)向來是重要的驅(qū)動力,移動互聯(lián)網(wǎng)的發(fā)展為傳統(tǒng)金融行業(yè)開創(chuàng)了嶄新的業(yè)務(wù)模式。同時,金融行業(yè)是監(jiān)管機構(gòu)的重點看護區(qū),其數(shù)據(jù)敏感性遠(yuǎn)高于其他行業(yè),所以云安全的理解和實踐水平都更高。
在政府機構(gòu),由于國家政策的大力推動,政務(wù)云建設(shè)較之其他行業(yè)推進得更加迅速和徹底。政務(wù)云提供的是關(guān)系國計民生的政務(wù)服務(wù),同時也涉及到國家信息安全,因此政務(wù)云對安全極為重視,從原先滿足合規(guī)要求走向了如今對安全的整體規(guī)劃,在安全建設(shè)上有了質(zhì)的飛躍。
劉浩認(rèn)為,雖然國內(nèi)云安全的發(fā)展整體走勢向好,但是很多企業(yè)對云安全的認(rèn)識還存在誤區(qū),例如:合規(guī)通過就能證明安全,云基礎(chǔ)架構(gòu)邊界上了安全防護設(shè)備云內(nèi)部就是安全的......與此同時,企業(yè)在云安全建設(shè)上充滿了“迷茫”。
一方面,企業(yè)面對云計算龐大而復(fù)雜的系統(tǒng),不知道該怎么做云安全,也沒有專業(yè)的云安全團隊來運營。由于云計算系統(tǒng)涉及計算、網(wǎng)絡(luò)、存儲各方面技術(shù),再加上業(yè)務(wù)的多元化,云安全成為一個涉及多種技術(shù)手段、多種業(yè)務(wù)場景、多種應(yīng)用模式的多元化集中業(yè)務(wù)安全領(lǐng)域。
另一方面,企業(yè)從以前的自建機房、系統(tǒng)、應(yīng)用到半托管或全托管理式,控制權(quán)發(fā)生根本改變,客戶從意識上還尚未完全接受控制權(quán)轉(zhuǎn)移所帶來的“不安全感”。傳統(tǒng)模式下,按照誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)的原則,信息安全責(zé)任相對清楚。在云計算模式下,云計算平臺的管理和運行主體與數(shù)據(jù)安全的責(zé)任主體不同,安全責(zé)任該如何界定?
倒轉(zhuǎn)思路
從頂層到執(zhí)行構(gòu)建云安全
針對企業(yè)在云安全建設(shè)方面的困惑,劉浩認(rèn)為,企業(yè)首先需要梳理清楚自身的安全訴求,是基于政策牽引、合規(guī)拉動,還是出于特定的安全功能需要,立足自身需求再參考行業(yè)內(nèi)、領(lǐng)域內(nèi)的優(yōu)秀安全實踐,循序漸進完善整體安全體系。
“過去企業(yè)大多是有多少預(yù)算就做多少安全,合規(guī)要求多少就做多少,方案怎么寫就做什么,想到什么就做什么,并沒有深刻考慮做安全是為了什么,自己所處的行業(yè)、領(lǐng)域、生產(chǎn)屬性需要怎樣的安全。”
劉浩表示,現(xiàn)在安全建設(shè)從合規(guī)要求走向了實際需求,“全面以結(jié)果為導(dǎo)向”成為云安全的核心理念,企業(yè)應(yīng)該倒轉(zhuǎn)思路,從“零”開始,重新審視云安全。
360企業(yè)安全根據(jù)過去豐富的建云經(jīng)驗及眾多成功云安全實踐,認(rèn)為構(gòu)建云安全建設(shè)全命周期的理念體系,從頂層到執(zhí)行主要分為4個步驟:
頂層設(shè)計:從事后修補到全局視角的頂層設(shè)計。前瞻布局,至上而下、目標(biāo)明確;
系統(tǒng)規(guī)劃:從單一防護到整體協(xié)防的系統(tǒng)規(guī)劃。統(tǒng)籌規(guī)劃、拉通考慮、計劃明確;
疊加建設(shè):面向新技術(shù)新趨勢的疊加建設(shè)路線。緊跟新理念、擁抱新技術(shù)、建設(shè)新思路;
協(xié)同運營:安全能力、安全服務(wù)協(xié)同的運營思路。以人為本、能力附加、協(xié)同運營。
對此,劉浩舉了一個例子,“這就好比裝修房子,承重墻已經(jīng)做好了,再想改房屋結(jié)構(gòu)就來不及了,只能根據(jù)已有的結(jié)構(gòu)做一些貼片式的裝修。在安全建設(shè)里,我們把這種事后打補丁的安全方式叫做‘創(chuàng)可貼式安全’,效果肯定不如從一開始就做好整體規(guī)劃、原生的安全系統(tǒng)好。”
針對云安全頂層設(shè)計,劉浩進一步解釋需要從四個技術(shù)思路進行規(guī)劃:
零信任
零信任的策略就是默認(rèn)不相信任何人、任何設(shè)備。在云環(huán)境中,企業(yè)的工作負(fù)載會在不同的云環(huán)境中遷移,業(yè)務(wù)邊界的概念已不再存在。基于零信任的策略,對工作負(fù)載構(gòu)建一個微隔離環(huán)境,對云環(huán)境中東西向、南北向流量實現(xiàn)完整的安全防護。
數(shù)據(jù)驅(qū)動安全
圍墻式、塔防式安全防護方式都已過時,基于數(shù)據(jù)驅(qū)動的協(xié)同聯(lián)動防御是未來方向。例如,360企業(yè)安全云安全基于底層云平臺實現(xiàn)安全NFV組件的生命周期管理,實現(xiàn)運維數(shù)據(jù)全量記錄,對不同來源、不同維度的安全數(shù)據(jù)進行快速匯集,深度關(guān)聯(lián),自動化的高級智能分析,并與云端威脅情報相結(jié)合,實現(xiàn)快速發(fā)現(xiàn)、精準(zhǔn)定位和攻擊溯源。
“三位一體”網(wǎng)絡(luò)安全體系
從能力維度構(gòu)建了低位、中位、高位“三位能力”系統(tǒng),建立協(xié)同聯(lián)動的云安全運營體系。低位能力是傳統(tǒng)的安全防御能力,即通過端類產(chǎn)品,或者一個個安全組件實現(xiàn)單一功能的安全防護并完成數(shù)據(jù)的生產(chǎn)和采集。中位能力包含了態(tài)勢感知、應(yīng)急響應(yīng)等能力,是對海量數(shù)據(jù)的建模與分析能力。高位能力是云端威脅與分析能力,對中位和低位提供支撐和決策。
云安全常態(tài)化運營
在云平臺的生命周期中,大規(guī)模建設(shè)通常時間較短,而云安全運營卻是一個長期的過程。運營如何能做到統(tǒng)一、完整、及時,需要從多方面考慮。比如,安全運維包括資產(chǎn)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理等。常態(tài)化安全運營需要覆蓋安全運維、威脅發(fā)現(xiàn)、持續(xù)監(jiān)測問題溯源及聯(lián)動控制等幾個方面。
光靠技術(shù)還不夠
“人機協(xié)同”提供云安全服務(wù)
當(dāng)企業(yè)在關(guān)注云安全建設(shè)時,大多數(shù)會把目光放在外部的網(wǎng)絡(luò)攻擊和威脅上,然而,一個被忽略的因素卻造成了云安全事故頻發(fā)。Gartner曾預(yù)測,截止2020年,95%的云安全故障都是由于用戶過錯造成的。最新的《2018年Netwrix云安全報告》支持這一預(yù)測,指出2017年58%的安全事件都是員工的責(zé)任。
這個令人意外的發(fā)現(xiàn),將云安全的潛在威脅指向了企業(yè)內(nèi)部。
“有沒有想過,為什么企業(yè)部署了這么多安全產(chǎn)品,依然會時不時中招病毒?”劉浩問道。“不是安全產(chǎn)品技術(shù)不過關(guān),而是安全的本質(zhì),不是光靠技術(shù)就可以解決的,‘人’才是安全運營的核心。完全靠自動化運營,或者完全靠人力運營都不行,人+技術(shù)才是安全的解決之道。”
劉浩告訴記者,360企業(yè)安全的數(shù)據(jù)驅(qū)動安全理念除了構(gòu)建基于大數(shù)據(jù)的云端安全能力平臺,增加以人為核心的安全運營機制。“人機協(xié)同非常重要,云端安全能力、數(shù)據(jù)驅(qū)動的產(chǎn)品協(xié)同、以人為核心的安全運營,三個組成一個閉環(huán),真正達(dá)成構(gòu)建積極防御的完善能力體系。”
目前,360企業(yè)安全已擁有業(yè)內(nèi)最龐大的安全服務(wù)團隊,以“人機協(xié)同”的方式提供云安全服務(wù)。
對于大中型企業(yè)客戶,提供云安全整體規(guī)劃及產(chǎn)品部署,并配合駐場工程師來解決運營問題。這是因為企業(yè)規(guī)模大,涉及多種IT基礎(chǔ)架構(gòu)及復(fù)雜的業(yè)務(wù)系統(tǒng),比如:有的企業(yè)是為全新的云數(shù)據(jù)中心規(guī)劃業(yè)務(wù)安全,有的是在傳統(tǒng)數(shù)據(jù)中心和新建的私有云基礎(chǔ)上規(guī)劃安全,這就導(dǎo)致安全建設(shè)不僅僅是安全體系的規(guī)劃,甚至?xí)婕暗狡髽I(yè)部分業(yè)務(wù)制度的改造,人在安全設(shè)計和運營中發(fā)揮著極為重要的作用。
對于小微型企業(yè)客戶,由于大多數(shù)使用云化的安全產(chǎn)品,通過一個工程師即可在云端解決多個企業(yè)客戶的問題。同時,360在云端具備強大的情報收集及生產(chǎn)能力,擁有全球最大的樣本庫,可以在云端為企業(yè)推送實時的安全策略,將“人機協(xié)同”的服務(wù)模式大規(guī)模落地。
2018年國內(nèi)云計算市場發(fā)展迅猛,云安全市場同樣水漲船高,整體安全訴求由合規(guī)牽引向安全有效轉(zhuǎn)化,推動著云安全技術(shù)向縱深發(fā)展,云安全業(yè)務(wù)形態(tài)逐漸從“云采用”向“云原生”過渡。在云安全新一輪的爆發(fā)式增長下,相信常態(tài)化的云安全也將成為企業(yè)的“標(biāo)配”。
本文來源:科技云頻道
本文作者:360企業(yè)安全集團云安全事業(yè)部總經(jīng)理 劉浩
