AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
賠付0.87億背后的警示,安恒云如何打造“安全防線”?
2 月 23 日,微盟研發中心運維部核心運維人員通過 VPN 登入服務器,破壞 SaaS 線上生產環境并刪除數據庫,隨后微盟內部系統監控報警,導致大面積服務集群無法響應。
根據最新財報,微盟上半年凈虧損為?5.46?億元,其刪庫事件預計賠付 0.87 億元。當然,受損的不只是微盟,還有微盟的一眾客戶。
微盟事件不是必然的,卻是大數據和云計算時代的產物。云上安全的問題需要引起足夠的重視,因為只要上了云,一旦出問題,就面臨業務停擺,甚至倒閉的風險。
?
安恒信息高級副總裁兼首席云安全戰略官鄭赳告訴 CSDN,刪庫事件一再發生,很多都是權限管理或者內部的人員管理風險導致的,而這僅僅是上云之后眾多安全隱患之一,因此企業迫切需要將運維管理跟安全管理進行結合,真正實現統一的安全管理。
作為一家從 2007 創立之初就開始專注于安全領域的公司,安恒信息的業務范圍已經從最初的應用安全、數據安全拓展到如今的云計算安全、工業互聯網安全、大數據安全、智慧城市安全。
為何安恒信息這么早就開始重視并布局安全,從傳統安全到云安全的變遷過程中有哪些基于和挑戰,未來云安全會是怎樣的形態?CSDN 采訪到安恒信息高級副總裁兼首席云安全戰略官鄭赳,一起探討云安全的發展和變遷。
(圖為安恒信息高級副總裁兼首席云安全戰略官鄭赳)
# 安全領域變遷: 從有形到無形,從有界到無疆
鄭赳表示,中國安全領域發展的背后主要有兩大驅動力。一是技術的變化,比如大數據、云計算的發展,技術的發展導致安全產品的形態發生了很大的變化;二是應用場景的變化,比如物聯網、智慧城市的出現,而場景的變化會帶來新的安全挑戰和安全問題。
在數字化與上云的趨勢下,越來越多的企業選擇將業務與數據放在云端,進而使用更為高效、低成本、安全穩定的云端服務,因而 IT 基礎設施逐漸云化。云改變了企業的底層基礎設施架構,安全也隨之往云化,傳統安全架構也不再適用于云上。
隨著 DDoS 攻擊、勒索攻擊、數據泄露等安全事件頻發,我們清晰地認知到,無論是 5G、云計算、人工智能、物聯網等細分的技術,還是云平臺、服務器及硬件等服務,無一不是安全的突破口與防護口,而傳統的“壁壘式建高墻”防護手段早已失效。
在這個萬物互聯的時代,當有人在不加前提約束的條件下簡單問“你的系統安全否?”就變成一個偽命題。因此,安全領域不再有邊界,而是應該成為無處不在的防護盾。
?
# 安全上云,不只是“生搬硬套”
由于外部安全攻擊趨于智能化、復雜化、規模化,云上防護的方式變得更多元化、復雜化,部署強大的安全架構是企業迫在眉睫的事。傳統安全的能力對云有一定的賦能作用,但是安全的遷移并不是單純的“生搬硬套”,傳統的安全防護模式也并不適用于云安全。
鄭赳告訴 CSDN,云安全和傳統安全是完全不同的,兩者的架構邏輯存在很大的差異。比如以前傳統的網絡防火墻不能簡單的搬到云上,傳統的防火墻設置在流量的入口和出口之間就能進行防護,但是在云上實現這一點就非常困難,因為云是可以遷移的,因此防火墻的策略也需要可以遷移。
相對于傳統場景,云上的風險也發生了變化:一是風險的優先級發生變化,因為云計算的出現,數據安全和終端安全也變得更加突出和重要,而且不斷涌現出新的理念;二是新風險的出現,比如容器的安全、訪問邊界的安全等。
因此,云安全不可能用傳統的硬件盒子來實現,而是需要充分利用云的能力和技術,比如云的負載能力、彈性伸縮能力、備份能力、熱遷移能力、計算能力、大數據能力等等。此外,還要用到云的模式,比如 SaaS 化的服務模式,并根據應用場景提供按需服務。這些是云安全和傳統安全最大的差異。
傳統安全只有經過云化改造才能夠適用,這也是現在安全公司包括所面臨的一些挑戰。
?
# 構建云安全能力,需要“系統性思考”
在云計算時代,安全廠商、云計算廠商和客戶是共享責任。即便我們使用的是云上的 IaaS、PaaS、SaaS 服務,但并不意味著企業和客戶把相應的安全責任轉移給云廠商。云廠商更多的是提供技術層面的武器,但是如何利用好這技術,這是企業的責任,需從企業安全架構層面、從安全實現技術路線上來做分析。
那么在具體實現時,企業如何加強自身的云安全防御架構?
鄭赳表示,構建一個完整的云安全體系需要系統性的思考,這是非常大的挑戰。由于資源的分布不同,如何執行統一的安全策略和安全管理是企業面臨的最大問題,而安恒云可以幫助企業構建一個相對系統的安全防護框架。????
目前安恒云提供的解決方案就是針對云上用于的痛點,首次將云管理和云安全進行結合,簡化運維的復雜度,通過更低的成本,提供更高效的安全能力和更好的體驗。
?
# 從“一朵云”到“多朵云” 管理和安全如何真正統一?
隨著伴隨著云計算技術走向成熟以及用戶對成本、備份等多類訴求,“多云”的趨勢已經非常明顯。在鄭赳看來,沒有用戶希望被一家云服務鎖定,而是希望充分利用各家云的服務和價格優勢,因此會有越來越多的企業選擇多云架構。
中國信通院的數據顯示,多云架構已經成為企業主流的部署模式,2020 年高達 93% 受訪企業是多云架構。但多云架構也給企業帶來了一些新挑戰,比如多云安全就是最大的挑戰之一,高達 83% 的調查對象認為多云安全對其挑戰最大。
目前,多云管理和多云安全存在以下 3 大難題:
1、多云管理孤島:多云異構,各云服務商架構差異大,各資源相對獨立,難以統一管理;
2、多云安全建設成本高:每朵云都需要獨立建設安全,安全建設成本高;
3、安全能力無法統一分配、管理與運維:各朵云的云安全能力參差不齊,無法實現統一的安全配置、運維與安全態勢分析,造成應用被入侵、數據被竊取等嚴重安全問題。
這時就需要一個多云管理平臺,將分散的資源統一起來,集中進行管理。安恒信息也看到了其中的問題,一方面是多云如何進行統一的運營管理,另一方面是多云如何進行統一的安全管理。
正是基于這些考慮,安恒信息率先提出了多云管理和多云安全相結合的理念和解決方案,并推出了一站式多云管理和多云安全管理服務平臺——安恒云。
鄭赳表示,提供統一的安全策略有很大的難度,從管理維度上來講,只有將不同的云連接起來之后,才能將進行統一的的監控和分析,然后實施統一的安全策略。如果想要做好多云管理,需要從以下幾個維度出發:
1、云資產的管理,通過API對各種云上資產進行識別重組,建立資產庫,然后進行統一的管理;2、對云資源進行統一的監控,分析其使用情況;3、構建云的同業成本分析,幫助用戶優化云資源,節約成本;4、實現統一的自動化運維。
目前,安恒云平臺可以無縫對接阿里云、AWS、華為云、騰訊云、Ucloud、百度云、Azure、京東云、青云等公有云,同時覆蓋阿里云、OpenStack、華為云等私有云平臺,讓用戶能在一個平臺上完成多云統一管理,并提供主機監控與自動運維、成本分析與優化、合規運維與審計,實現多云一站式管理。
然而,目前在國內做多云管理和多云安全最大的挑戰就是公有云API的穩定性和開放性問題。
鄭赳告訴 CSDN,很多公有云的 API 都號稱是完整開放的,但是真正使用的時候,就會發現這些函數的水平參差不齊,與國外的能力差距很大。一些公有云的 API 不夠完整,還有一些能力沒有開放出來,因此一些多云管理的想法在這些云上就無法實現。
不過我們并不需要悲觀,在鄭赳看來,這其實是云成熟度的問題。因為現在很多云上的開發和運維都依賴于 API,因此它不可能隨意變化,未來一定會開放,而且會標準化,需要一個發展成熟的過程。
未來,多云管理平臺的核心功能將不斷演進,與企業IT系統的集成更加緊密,并且與安全和網絡產品深度融合。
?
# 云原生時代? 安全“左移”,DevOps 變 DevSecOps
云原生這個概念現在很火,統計數據顯示,到 2021 年將有 92% 的公司成為云原生公司。從基礎架構到應用程序的開發,堆棧在傳統方法與更現代的基于云的方法之間形成了鮮明的對比,其中大多數已對成功的模式和實踐達成了主流觀點:DevOps文化、持續交付和微服務架構 。
然而為什么我們還沒有重新構想云原生的安全性呢?要知道,通常使企業陷入困境的是因為對開發投入太多,而對安全投入太少。
在鄭赳看來,我們需要充分利用云原生的能力來去構建安全能力,如大數據分析能力、網絡虛擬化能力、服務器快照、存儲備份等。然而云原生的利用同時也帶來了一些新的風險,比如容器的風險等。鄭赳表示,未來安全需求方面也會有一些變化,那就是開發運維會跟安全結合,實現DevSecOps,也就是“安全左移”。
關于“安全左移”,微軟企業服務大中華區 Cybersecurity 首席架構師張美波曾對CSDN表示,“軟件有規劃、設計、構建、測試、部署階段,但往往在軟件的部署階段,我們再去評估安全性,這是非常不好的。如今我們想從開始規劃、設計、構建、階段時就該考慮安全性。”
企業進行架構轉型時,對應的安全架構也將轉型,安全是任何技術的基礎。因此,企業應該將安全也納入速度、敏捷性和連續交付流程中,這樣才能保證企業不會因為安全問題而陷入困境。
?
# 結語
數據時代的背景下,無論運用哪一種前沿技術,最終都將體現到海量數據的采集、流轉、應用的流程之中。因為數據的邊界愈加模糊,所以安全能力必須在云-邊-端實現更細粒度的防護。
而構建這道看不見摸不著且無處不在的安全防護門,是時代的機遇,也是挑戰。
?
以上文章來源于CSDN?
采訪嘉賓 | 鄭赳
作者 | 阿司匹林
