本文來自科技云報道。
伴隨數字化浪潮席卷全球,企業(yè)在加速推進以云計算為核心的數字化轉型的同時,也帶來了有別于傳統(tǒng)安全的云上安全問題。
在云計算架構下,云計算開放網絡和業(yè)務共享場景更加復雜多變,安全性方面的挑戰(zhàn)更加嚴峻,一些新型的安全問題變得突出,如何用云的方式去解決云上安全問題成為各行業(yè)的重要命題。
在企業(yè)數字化轉型的過程中,安全和合規(guī)是上云和用云的基石。
越來越多的企業(yè)認識到構建云安全戰(zhàn)略是一項持續(xù)性工作,需要有自上而下的頂層設計,要以安全為出發(fā)點構建云上應用。
數字化浪潮引發(fā)云端安全風險
無論是傳統(tǒng)網絡環(huán)境還是云端環(huán)境,安全問題始終存在,比如SQL注入、內部越權、數據泄露、數據篡改、網頁篡改、漏洞攻擊等;
而另一方面,新的安全問題也不斷出現,比如云上安全部署困難、虛擬機逃逸、東西向安全防護、數據泄露、云平臺安全審計難題等。
云安全和傳統(tǒng)安全的最大區(qū)別是責任范圍,傳統(tǒng)安全是用戶對自己的設備、程序、應用等資產的安全全權負責。
由于云計算的特性,云安全則需要用戶和云服務商共同去維護安全,維護云計算的安全是兩者的共同責任,共同責任模型也是云安全最大的一個特點。
共同責任模型概述了由云服務提供商或用戶處理的安全要素。
責任范圍因客戶使用云的服務而異,根據組織使用的云服務提供商,職責分工將有所不同。
為充分解決云計算環(huán)境安全挑戰(zhàn),通常云計算服務商會從公有云和私有云兩個場景下,針對云計算安全問題進行處理。
比如在公有云環(huán)境下,云計算安全服務商會提供安全軟件、安全SAAS服務、安全產品、安全服務能力等。
而在私有云環(huán)境下,云計算安全服務商則會更多依賴于安全資源池的方式,通過幫助用戶構建云安全資源池,來實現針對云計算環(huán)境的統(tǒng)一管理、彈性擴容、按需分配等為一體的云安全綜合解決方案。
針對當前中國的云安全市場,在《Gartner中國云基礎設施和平臺服務市場指南》中,Gartner預測,2024年中國將有40%的最終用戶在系統(tǒng)的基礎設施和基礎設施軟件上的支出會轉至云服務。
Gartner相信,云安全將成為中國安全和風險管理領導者最關鍵的任務之一。
Gartner還預測,到2024年利用云基礎設施和編程性,改進云上工作負載的安全保護將展現出比傳統(tǒng)數據中心更好的合規(guī)性,并減少至少60%的安全事件。
然而,由于云安全與傳統(tǒng)的線下基礎設施平臺安全的不同,以及中國市場的獨特性,對于如何做好云安全,企業(yè)也面臨著諸多挑戰(zhàn)。
企業(yè)面臨的挑戰(zhàn)主要體現在以下三個方面:
對云安全責任分擔模型的理解和相關技能的缺失。
理解云安全和云安全提供商的安全責任分工是云安全成功的必要條件。云安全所需要的技能與傳統(tǒng)的邊界安全有所不同,企業(yè)相對能力的缺失,使云安全面臨更大的挑戰(zhàn)。
在選擇云安全工具方面存在困難。
因為非中國的云服務提供商(CSP)和安全供應商在中國的技術可用性存在差距,而本地供應商則將重點放在私有云上,以避免與公共云提供商競爭。
缺乏對云服務提供商持續(xù)的風險評估。
許多中國企業(yè)沒有對云服務提供商進行系統(tǒng)的風險評估,不同的云服務提供商存在不同的風險,因此缺少持續(xù)的風險評估會讓企業(yè)的云上資產面臨安全威脅。
可見,成功的云安全需要透徹地了解云安全的責任共享模型,安全、技術、工具部署以及對云服務提供商的風險評估都非常重要。
與其臨場救火
不如防患于未然
與幾百億美元的云計算市場規(guī)模相比,云安全的投入比例仍然極小。
這意味著國內云安全市場有很大的發(fā)展?jié)摿?,隨著上云企業(yè)快速增多,對云安全的需求將更為旺盛。
企業(yè)應該面對數字化浪潮下的云安全?“云上安全的態(tài)勢時刻變化,日新月異,我們必須進行前瞻性的思考,保持敏銳的洞察,源源不斷為客戶提供像水和空氣一樣無處不在的安全防護。”
亞馬遜云科技大中華區(qū)產品部總經理陳曉建表示,“與其去救火,我們更需要做的是防患于未然。”
亞馬遜云科技大中華區(qū)產品部總經理陳曉建
陳曉建說,如果我們每天在全球范圍內發(fā)生一起安全事故,客戶會怎么去看這個行業(yè)?怎么去防止這些極小概率的事件發(fā)生?
極小概率的事件往往是由多種因素造成的,并不只是由一個因素引發(fā),發(fā)現這些有可能發(fā)生的、極小的概率事件,這就是云安全要做的事情。
伴隨快速增長的云計算市場,新出現的云安全趨勢正影響著未來的云安全市場。
企業(yè)無論是選擇公有云還是混合部署模式,云原生安全變得更加重要。云原生的安全能力和架構全面賦予云上資源和賬戶的資源自動伸縮、細粒度防護和全面數據加密等安全防護功能。
隨著企業(yè)更多采用容器化部署、微服務應用模式等云原生方式,DevSecOps將得到越來越多企業(yè)的重視。
借助DevSecOps,客戶就可以快速交付安全且合規(guī)的應用程序更改。
預計2022-2023年手動工作流將逐漸被企業(yè)淘汰,為實現大規(guī)模的自動監(jiān)測和響應,企業(yè)會更加依賴云原生安全能力。
同時,人工智能持續(xù)提升云安全能力。
云環(huán)境下龐大和靈活的系統(tǒng)無法完全交由安全工程師來維護,大多數企業(yè)會逐漸開始依賴人工智能來增強其安全團隊的建設和實踐,人工智能技術也將被更深度地集成到云安全服務中。
采用人工智能技術不僅可以提高效率和準確性,而且能夠減少網絡安全領域工作人員持續(xù)短缺的影響。
在非常重要的身份和訪問管理環(huán)節(jié),加入人工智能將使身份和訪問管理安全措施實現自動化和智能化,可以提高客戶身份驗證的安全性。
在實踐中,機器學習在模擬攻擊、數據分類、自動推理領域也得到很好的應用。
在云平臺上使用人工智能技術,通過分析將任務委派給機器程序,可以更加準確地降低誤報和告警,這樣企業(yè)可以提前確定其最突出的風險領域并據此對資源進行優(yōu)先級排序和自動化處理,安全團隊也可以將精力集中在更關鍵或更復雜的威脅上。
其次,云服務商正在加快擴大安全合作伙伴社區(qū)。
在云計算的所有環(huán)節(jié),云服務商同網絡安全、主機與端點安全、應用安全、身份認證與訪問控制、漏洞分析、數據保護與加密、威脅檢測與事件分析、安全咨詢、數據治理與風險合規(guī)評估、安全自動化運維等方面的合作伙伴廣泛合作,以確??蛻粼谠坡贸痰母鱾€階段均能獲得高效、安全的服務。
在國內,隨著越來越多IT運維廠商的入局,未來在國內云安全市場,將形成公有云服務提供商、IT運維廠商、安全廠商共掌局面的情況。
另外,全球化的安全和合規(guī)能力成為關注重點。
全球已經有132個國家和地區(qū)制定了數據保護和隱私相關的法律法規(guī)。
在中國,近幾年陸續(xù)出臺了《數據安全法》《個人信息保護法》《汽車數據安全管理若干規(guī)定(試行)》《關鍵信息基礎設施安全保護條例》等法規(guī),安全合規(guī)成為企業(yè)的重要任務。
隨著各安全條例的逐步落地,各行業(yè)主管部門也將組織細化相關條例、指南、標準等,2022年,部分重點行業(yè)與云安全相關的保障措施有望進一步出臺,金融、電子政務、制造、醫(yī)療等領域將成為云安全的重點行業(yè)。
作為全球云計算的頭號玩家——亞馬遜云科技持續(xù)在云安全領域投入,在保證云自身安全的同時,亞馬遜云科技還提供280+安全、合規(guī)服務及功能供用戶使用,用戶可以使用這些來提升自身的安全水平,和提高合規(guī)的效率。
云安全道阻且長,前進路上需要硬實力比拼,難以一蹴而就。
其實,云安全應該像水和空氣一樣,不能簡單用金錢來衡量其價值。只有給用戶提供優(yōu)質的水和空氣,創(chuàng)造健康的環(huán)境,讓客戶更好的使用云計算去創(chuàng)造更多的價值,這才是云安全的最大價值。