訪談嘉賓:張朝潞
記者:張安媛
分析師:徐曉麗
數(shù)據(jù)已經(jīng)成為和水、電一樣同等重要的戰(zhàn)略物資,是現(xiàn)代企業(yè)的核心資產(chǎn)和數(shù)字化轉(zhuǎn)型發(fā)展的基礎(chǔ)性資源。隨著云計算應(yīng)用的發(fā)展,技術(shù)的創(chuàng)新改變了數(shù)據(jù)的生產(chǎn)和使用形態(tài),也暴露出更多新型數(shù)據(jù)安全風(fēng)險和潛在威脅。
當(dāng)企業(yè)將業(yè)務(wù)放到云端以后,安全團隊需要從技術(shù)和業(yè)務(wù)結(jié)合的視角,準確認知私有云數(shù)據(jù)安全建設(shè)需求與挑戰(zhàn),并嚴格遵守國家相關(guān)法律法規(guī)政策的管理要求,重新審視云安全防護的構(gòu)建原則,對云上數(shù)據(jù)安全進行全面的、體系化的治理與保護。
本期牛人訪談,我們邀請到了天融信科技集團云計算產(chǎn)品研發(fā)負責(zé)人張朝潞,從他和天融信數(shù)據(jù)安全團隊的防護實踐中,探尋私有云環(huán)境下,企業(yè)數(shù)據(jù)安全保護的變革、挑戰(zhàn)與發(fā)展。
“
張朝潞
天融信科技集團云計算產(chǎn)品研發(fā)負責(zé)人。擁有豐富的軟件開發(fā)設(shè)計經(jīng)驗,并熱衷于多種開源技術(shù)的研究。近年來專注于云計算相關(guān)領(lǐng)域的研發(fā),已公開云計算方向的發(fā)明專利三十余項。
01
安全牛
保障數(shù)據(jù)資產(chǎn)安全已經(jīng)成為行業(yè)普遍共識,也是企業(yè)數(shù)字化發(fā)展的基礎(chǔ)性要求之一。但是我們看到,目前我國企業(yè)的數(shù)據(jù)安全問題仍然嚴峻,數(shù)據(jù)安全事件頻繁發(fā)生,作為從事多年一線數(shù)據(jù)安全工作的專家,您認為目前我國企業(yè)的數(shù)據(jù)安全能力建設(shè)成熟度整體上處于什么狀態(tài)或水平?
張朝潞:
我們可以從技術(shù)、服務(wù)和市場發(fā)展三個角度來評價數(shù)據(jù)安全能力建設(shè)的成熟度水平:
從產(chǎn)品/技術(shù)的角度來看,在基礎(chǔ)類數(shù)據(jù)安全產(chǎn)品方面,如日志審計、數(shù)據(jù)庫審計、數(shù)據(jù)脫敏,數(shù)據(jù)防泄漏等都已十分成熟,在各行各業(yè)都有廣泛應(yīng)用。而平臺級數(shù)據(jù)安全產(chǎn)品,如數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)分類分級還處于快速發(fā)展階段,沒有形成相對統(tǒng)一標準,產(chǎn)品功能各異。創(chuàng)新型數(shù)據(jù)安全產(chǎn)品,如數(shù)據(jù)水印、數(shù)據(jù)溯源、隱私計算處于萌芽階段,目前行業(yè)中成熟落地應(yīng)用的方案還很少。
從咨詢/服務(wù)的角度來看,目前的數(shù)據(jù)安全咨詢/服務(wù)范圍主要包括數(shù)據(jù)安全合規(guī)評估、數(shù)據(jù)安全治理咨詢、數(shù)據(jù)資產(chǎn)梳理這幾個方向,由于數(shù)據(jù)安全咨詢服務(wù)偏向于行業(yè)化,對于人員的要求高,且國家、行業(yè)的相關(guān)參照標準、規(guī)范較少,導(dǎo)致未形成成熟的數(shù)據(jù)安全咨詢/服務(wù)體系,隨著法律法規(guī)的相繼出臺,這一領(lǐng)域還有較大的市場空間。
從市場/行業(yè)角度來看,數(shù)據(jù)安全政策合規(guī)要求已經(jīng)進入到各個行業(yè)細化落實階段,這無疑將加快數(shù)據(jù)安全需求釋放,催生出更多行業(yè)化的數(shù)據(jù)安全產(chǎn)品和解決方案,數(shù)據(jù)安全市場發(fā)展將很快進入需求快速爆發(fā)的階段。
02
安全牛
企業(yè)上云已然成為趨勢,在企業(yè)上云后,安全擔(dān)憂也隨之而來。您認為現(xiàn)有的安全技術(shù)手段能否讓企業(yè)放置在云端的數(shù)據(jù)資產(chǎn)得到完善的防護?特別是在目前實際應(yīng)用較多的私有云環(huán)境中,數(shù)據(jù)安全保護應(yīng)如何開展?
張朝潞:
隨著云計算與大數(shù)據(jù)的發(fā)展,越來越多數(shù)據(jù)遷移到云端,新技術(shù)的應(yīng)用改變了數(shù)據(jù)的使用形態(tài),所以在云上討論“數(shù)據(jù)安全”,就不僅要討論如何對單點數(shù)據(jù)進行防護,而要根據(jù)目前政策的要求以及科技的發(fā)展,在“可靠、可信、合規(guī)”三大原則的前提下建設(shè)安全的云計算環(huán)境,從底部處理層的可信計算,到傳輸?shù)逆溌芳用?,再到平臺層的安全應(yīng)用,也就是全面覆蓋平臺層面、連接層面和處理層面的安全,以頂層設(shè)計統(tǒng)籌管理云上數(shù)據(jù)資產(chǎn),讓數(shù)據(jù)持續(xù)發(fā)揮其應(yīng)有的價值。
根據(jù)天融信的應(yīng)用實踐,我們認為企業(yè)在進行私有云數(shù)據(jù)安全能力建設(shè)時,應(yīng)重點關(guān)注以下原則:
首先,要遵循對私有云數(shù)據(jù)全生命周期的統(tǒng)一監(jiān)管原則,數(shù)據(jù)作為私有云數(shù)據(jù)安全建設(shè)的核心,其全生命周期包括采集、存儲、處理、應(yīng)用、流動、銷毀等過程,在進行安全防護建設(shè)時不能僅關(guān)注于某一個環(huán)節(jié)。
其次,私有云數(shù)據(jù)安全防護要與云平臺相融合,以云平臺為基石,滿足數(shù)據(jù)在全生命周期監(jiān)管中的三大需求,具體包括:
1)對于完備數(shù)據(jù)存儲的需求(能夠?qū)崿F(xiàn)副本//糾刪碼、快照、備份、CDP、容災(zāi)等功能);
2)對網(wǎng)絡(luò)環(huán)境的安全需求(通過鏈路加密、訪問控制、數(shù)據(jù)防泄漏、訪問審核與認證等形式保證數(shù)據(jù)存儲環(huán)境的安全性);
3)對可信計算環(huán)境的需求(通過硬件加密、SGX加密卡等手段,保證數(shù)據(jù)在運行和計算過程中的安全計算環(huán)境)。
最后,私有云數(shù)據(jù)安全防護要滿足合規(guī)要求,要以《數(shù)據(jù)安全法》、《個人信息保護法》等法律法規(guī)為依據(jù),以法律法規(guī)為衡量標準實現(xiàn)數(shù)據(jù)的安全防護,滿足我國法律法規(guī)要求,在必要時配合國家有關(guān)部門的依法審查。
03
安全牛
在這些建設(shè)原則的基礎(chǔ)上,企業(yè)在實際開展私有云上數(shù)據(jù)防護工作中,有哪些需要重點關(guān)注的問題?
張朝潞:
私有云數(shù)據(jù)安全防護能力建設(shè)要重點關(guān)注對數(shù)據(jù)資產(chǎn)的分級分類等梳理工作。數(shù)據(jù)資產(chǎn)梳理是做好數(shù)據(jù)安全防護的基礎(chǔ),要從企業(yè)業(yè)務(wù)(對現(xiàn)有業(yè)務(wù)系統(tǒng)間調(diào)用關(guān)系、現(xiàn)有數(shù)據(jù)流向、業(yè)務(wù)資產(chǎn)等內(nèi)容的梳理)、管理(對現(xiàn)有安全管理制度、管理規(guī)章、管理規(guī)范、應(yīng)急響應(yīng)等內(nèi)容的梳理)和技術(shù)(對現(xiàn)有安全防護技術(shù)、現(xiàn)有業(yè)務(wù)系統(tǒng)使用技術(shù)、現(xiàn)有數(shù)據(jù)庫技術(shù)等內(nèi)容的梳理)三個方向入手。而且數(shù)據(jù)安全建設(shè)不是個一蹴而就的事情,而是一個長期的過程,企業(yè)數(shù)據(jù)資產(chǎn)的分級分類需要根據(jù)數(shù)據(jù)資產(chǎn)變動、業(yè)務(wù)發(fā)展的同時進行不斷的動態(tài)調(diào)整。
企業(yè)在構(gòu)建私有云數(shù)據(jù)安全解決方案時,要考慮到方案第一業(yè)務(wù)的適配性。在傳統(tǒng)的IDC機房中,數(shù)據(jù)安全解決產(chǎn)品和方案都是圍繞著機房中的IT架構(gòu)進行設(shè)計的,能夠很好地融入其中。但在云計算架構(gòu)下,數(shù)據(jù)安全產(chǎn)品往往是以外掛節(jié)點的形式存在的,對云平臺的性能考驗很大,由于現(xiàn)階段私有云數(shù)據(jù)安全多為單點解決方案,因此企業(yè)應(yīng)盡可能的使數(shù)據(jù)安全解決方案與分布式云平臺適配,最大程度的降低數(shù)據(jù)安全方案對云平臺性能的損耗,并盡量選擇帶有云原生數(shù)據(jù)安全能力的云平臺。
04
安全牛
在私有云數(shù)據(jù)安全能力的實際構(gòu)建中,用戶面臨的主要挑戰(zhàn)有哪些?
張朝潞;
根據(jù)天融信多年的企業(yè)服務(wù)經(jīng)驗,云數(shù)據(jù)安全建設(shè)與傳統(tǒng)環(huán)境下的數(shù)據(jù)安全建設(shè)相比,面向的用戶及功能需求基本相同,但所使用的基礎(chǔ)設(shè)施架構(gòu)明顯改變。從行業(yè)整體的實際應(yīng)用來看,目前云計算架構(gòu)相對傳統(tǒng)IT架構(gòu)所占比例依然很小,這也導(dǎo)致現(xiàn)在實際應(yīng)用的云上數(shù)據(jù)安全產(chǎn)品與方案也基本都是圍繞著傳統(tǒng)的IT架構(gòu)進行設(shè)計的。隨著企業(yè)云化程度的不斷加深,云上數(shù)據(jù)安全建設(shè)所面臨的挑戰(zhàn)在于:
首先,在傳統(tǒng)IT架構(gòu)下,數(shù)據(jù)安全產(chǎn)品能很好地融入IT網(wǎng)絡(luò)架構(gòu),成為其一個節(jié)點,而在云計算架構(gòu)下,需要將云計算架構(gòu)的數(shù)據(jù)導(dǎo)出到外掛的數(shù)據(jù)安全產(chǎn)品上,這必將帶來嚴峻的性能挑戰(zhàn);
其次,云計算架構(gòu)下計算、存儲、網(wǎng)絡(luò)模塊都是以分布式設(shè)計的系統(tǒng),所有模塊都能彈性擴展,而數(shù)據(jù)安全產(chǎn)品以單點設(shè)計為主,如何將數(shù)據(jù)安全技術(shù)以分布式的形式在云環(huán)境下應(yīng)用是一個巨大的挑戰(zhàn);
最后,云廠商多提供租賃、共享等服務(wù)模式,如何將數(shù)據(jù)安全產(chǎn)品成功地融入到云安全服務(wù)的這種模式中也是一大挑戰(zhàn)。
另外,由于云計算環(huán)境的不同,私有云和公有云環(huán)境下的數(shù)據(jù)安全建設(shè)也會有較大差異。私有云和公有云相比,相同點是基礎(chǔ)架構(gòu)相似,但用戶需求不同。私有云面向特殊用戶,用戶數(shù)量可控,對隱私性、靈活性要求更強,而公有云面向的是公眾用戶,用戶數(shù)量龐大,每個租戶都需要配備單獨的管理空間,管控粒度要求比私有云更細。租戶一般會將重要的數(shù)據(jù)資產(chǎn)存儲在私有的存儲平臺上,對敏感數(shù)據(jù)的安全防護方面要求相對低一些。而私有云在南北方向上對數(shù)據(jù)脫敏、過濾等需求更多些,同時,因為不同用戶的需求不同,私有云在管理和規(guī)則配置上的要求也需要更靈活。
05
安全牛
網(wǎng)絡(luò)安全行業(yè)的發(fā)展是由先進技術(shù)驅(qū)動的,那么用戶在開展私有云數(shù)據(jù)安全建設(shè)時,有哪些關(guān)鍵性技術(shù)需要特別關(guān)注?
張朝潞:
我認為關(guān)于私有云數(shù)據(jù)安全能力構(gòu)建的關(guān)鍵技術(shù)主要體現(xiàn)在兩方面。
首先,傳統(tǒng)的數(shù)據(jù)安全能力要上云?;A(chǔ)的數(shù)據(jù)安全技術(shù)已十分成熟,在云計算架構(gòu)下,安全廠商通常以虛擬機、容器等產(chǎn)品形態(tài),來重構(gòu)傳統(tǒng)數(shù)據(jù)安全防護的硬件產(chǎn)品,進而為用戶提供云計算環(huán)境的數(shù)據(jù)安全服務(wù)。
其次,云計算平臺原生數(shù)據(jù)安全能力的建設(shè)。云原生數(shù)據(jù)安全能力將主要包括三點:
1)原生數(shù)據(jù)安全存儲能力,并通過數(shù)據(jù)保護、備份、災(zāi)備等防護手段避免造成數(shù)據(jù)丟失的風(fēng)險,特殊情況,在遭到網(wǎng)絡(luò)攻擊時,應(yīng)盡可能迅速地將用戶的數(shù)據(jù)資產(chǎn)恢復(fù)到被勒索之前的狀態(tài),努力實現(xiàn)數(shù)據(jù)0丟失;
2)原生的數(shù)據(jù)防泄漏能力,為企業(yè)數(shù)據(jù)資產(chǎn)提供全鏈路的加密;
3)云平臺要保證企業(yè)所存儲數(shù)據(jù)資產(chǎn)的完整性,避免出現(xiàn)由于BUG、靜默數(shù)據(jù)損壞等破壞數(shù)據(jù)完整的可能性。
通過云原生安全能力能夠解決云上很多數(shù)據(jù)安全防護的瓶頸性問題。上述我們提到私有云數(shù)據(jù)安全建設(shè)的最大難點在于其“單點性”,云原生能力可以更好的解決數(shù)據(jù)安全產(chǎn)品以“外掛形式”存在于云平臺上的問題,可以更好地適應(yīng)云內(nèi)部網(wǎng)絡(luò),通過內(nèi)嵌或融合的方式,弱化這種數(shù)據(jù)安全防護產(chǎn)品的單點性特征,更好地實現(xiàn)云上的數(shù)據(jù)安全防護。
06
安全牛
您對企業(yè)開展云數(shù)據(jù)安全能力建設(shè),特別是私有云環(huán)境下的數(shù)據(jù)保護時,有哪些建議?
張朝潞:
企業(yè)上云后,業(yè)務(wù)數(shù)據(jù)流量主要集中在東西方向上,這一特征在私有云平臺上尤為明顯,因此在防護部署上也應(yīng)該遵循這一特征,為了讓業(yè)務(wù)數(shù)據(jù)上云后的安全防護手段更適用于云環(huán)境,在南北向上,主要可以采用“點對點”式的防護手段,包括防火墻、WAF、流量審計等常用設(shè)備均在考慮范圍之內(nèi),以保證數(shù)據(jù)經(jīng)過某個點上都能得到相應(yīng)的防護措施。
那么針對東西向的安全防護,因為云環(huán)境中東西向流量占比很大,這也導(dǎo)致很多攻擊都是內(nèi)部發(fā)起的,東西向網(wǎng)絡(luò)攻擊也成為了云上數(shù)據(jù)安全威脅的主要攻擊手段,因此需要在私有云平臺內(nèi)部增加虛擬防火墻、分布式防火墻以及一些部署在云主機里面的安全軟件如EDR等,增加私有云平臺的云原生能力和數(shù)據(jù)安全防護能力,以此來達到企業(yè)安全防護的需求。
此外,很多企業(yè)可能會擔(dān)心云上數(shù)據(jù)安全防護與傳統(tǒng)的安全防護相比會出現(xiàn)“牽一發(fā)而動全身”的情況,針對這一點私有云數(shù)據(jù)安全解決方案在設(shè)計之初應(yīng)注重微分段和物理隔離,并在此基礎(chǔ)上通過監(jiān)控機制確保當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時,能夠?qū)⒐糇詣幼钄?,避免攻擊由一個資源池蔓延到更多資源池的情況發(fā)生。
07
安全牛
隨著云計算技術(shù)和應(yīng)用的發(fā)展,您認為未來云上數(shù)據(jù)安全防護技術(shù)還會有哪些新的突破?會呈現(xiàn)怎樣的發(fā)展特點?
張朝潞:
2021年11月30日,工信部印發(fā)“十四五”《軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》中,強調(diào)了加快培育云計算、大數(shù)據(jù)等基礎(chǔ)設(shè)施軟件領(lǐng)域具有國際競爭力的規(guī)劃,在政策的驅(qū)動下,企業(yè)數(shù)據(jù)上云將會出現(xiàn)更加積極的局面。數(shù)據(jù)安全技術(shù)也將迎來以下幾大新發(fā)展特點:
1)可信計算技術(shù)迅速發(fā)展
可信計算的實現(xiàn)包括啟動階段和運行階段。啟動階段主要基于硬件可信根,對操作系統(tǒng)進行完整性度量,確保啟動的系統(tǒng)不被篡改,隨著TPM標準和TPM安全芯片的迅速發(fā)展,啟動階段將會更容易實現(xiàn);而可信計算的運行階段,需要一個可信的安全執(zhí)行環(huán)境來確保關(guān)鍵數(shù)據(jù)的機密性和完整性,目前,常見的可信運行環(huán)境包括SGX、TrustZone等,通常集成在CPU中,隨著可信運行環(huán)境的發(fā)展和普及,可信計算技術(shù)會獲得更廣闊的市場需求和創(chuàng)新突破。
2)數(shù)據(jù)安全能力更加云原生化
未來,數(shù)據(jù)安全能力將更加云原生化。云計算環(huán)境將會集群多個節(jié)點,這些節(jié)點上將分布著數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏等能力,而云計算平臺將通過隧道將這些節(jié)點連通成網(wǎng),這張網(wǎng)將與云計算網(wǎng)絡(luò)深度融合,實現(xiàn)云上數(shù)據(jù)安全防護的能力線性擴展、性能線性擴展,并通過隔離手段實現(xiàn)云上數(shù)據(jù)安全防護服務(wù)共享和按需訂閱。
3)云上數(shù)據(jù)安全防護更加智能化
人工智能、機器學(xué)習(xí)將廣泛應(yīng)用到數(shù)據(jù)安全的各個方面?;贏I/ML可以對更加復(fù)雜的數(shù)據(jù)內(nèi)容進行分析與挖掘,如Amazon Macie Analytics服務(wù);通過機器學(xué)習(xí)技術(shù)還可以智能識別對敏感數(shù)據(jù)的訪問、拷貝等可疑行為,并針對這類行為采取實時的防護手段、修護措施,降低數(shù)據(jù)泄漏和業(yè)務(wù)共享所帶來的安全風(fēng)險。同時,云計算平臺將擁有IT架構(gòu)的業(yè)務(wù)數(shù)據(jù)、運行數(shù)據(jù)、元數(shù)據(jù),并提供強大的計算、存儲能力,云計算將成為AI/ML的重要基石,三者互相結(jié)合會催生出更強大,更智能化的數(shù)據(jù)安全防護方法。
安全牛評
相對傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)保護,云平臺對數(shù)據(jù)安全提出了更高的要求。大數(shù)據(jù)與微服務(wù)架構(gòu)的融合對數(shù)據(jù)安全無疑是場大考。企業(yè)在云上開展數(shù)據(jù)安全建設(shè)時,需要綜合考慮合規(guī)要求和技術(shù)發(fā)展,在“可靠、可信、合規(guī)”三大原則基礎(chǔ)上,形成體系化數(shù)據(jù)安全能力,從底部處理層的可信計算,到傳輸?shù)逆溌芳用?,再到平臺層的安全應(yīng)用,將云平臺的可靠性、安全性和可信能力融會貫通,構(gòu)建云環(huán)境下多維度、深層次的數(shù)據(jù)安全技術(shù)生態(tài)。