云安全的新戰(zhàn)場(chǎng)上,如何打破“云威脅”的陰霾?

云安全市場(chǎng)規(guī)模擴(kuò)大的同時(shí),也正面臨著挑戰(zhàn),尤其是高度利用云計(jì)算技術(shù),將重要業(yè)務(wù)遷移到云端的企業(yè),正面臨例如數(shù)據(jù)泄露、隱私泄露、服務(wù)中斷、設(shè)備管理等一系列問題。

本文來自微信公眾號(hào)“科技云報(bào)到”。

近年來,在云計(jì)算和網(wǎng)絡(luò)安全產(chǎn)業(yè)的蓬勃發(fā)展下,我國云安全行業(yè)市場(chǎng)規(guī)模呈現(xiàn)高速增長態(tài)勢(shì),在網(wǎng)絡(luò)安全市場(chǎng)總體規(guī)模中占比不斷上升。

據(jù)統(tǒng)計(jì),近5年我國云安全市場(chǎng)保持高速增長,2021年我國云安全市場(chǎng)規(guī)模達(dá)到了117.7億元,2022年行業(yè)整體規(guī)模達(dá)到173.3億元,2023年市場(chǎng)規(guī)模將達(dá)到330億元人民幣,由此可見我國云安全市場(chǎng)規(guī)模蘊(yùn)含著巨大潛力。

然而,云安全市場(chǎng)規(guī)模擴(kuò)大的同時(shí),也正面臨著挑戰(zhàn),尤其是高度利用云計(jì)算技術(shù),將重要業(yè)務(wù)遷移到云端的企業(yè),正面臨例如數(shù)據(jù)泄露、隱私泄露、服務(wù)中斷、設(shè)備管理等一系列問題。

這些問題如果不得到解決可能會(huì)引發(fā)嚴(yán)重的隱私侵犯問題,影響企業(yè)用戶的信任和安全感,再加上如果系統(tǒng)遭受攻擊從而將引發(fā)業(yè)務(wù)中斷,會(huì)導(dǎo)致服務(wù)不可用,影響用戶體驗(yàn)和業(yè)務(wù)連續(xù)性,企業(yè)聲譽(yù)受到嚴(yán)重影響,甚至可能導(dǎo)致企業(yè)面臨財(cái)務(wù)損失。

1.png

在此背景下,為企業(yè)提供云安全保障,確保云服務(wù)的安全性、穩(wěn)定性和可用性,保護(hù)云環(huán)境中的數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施,發(fā)揮預(yù)防潛在威脅和攻擊的作用正變得越來越重要。

新技術(shù)帶來新風(fēng)險(xiǎn)

虛擬機(jī)、容器、服務(wù)網(wǎng)格、多集群間通信、多云和混合云、Serverless等新技術(shù)不斷涌現(xiàn),對(duì)安全邊界提出了越來越多的要求。

2014年流行起來的容器技術(shù)算是跨時(shí)代的變革,它與Kubernetes等技術(shù)共同助力企業(yè)實(shí)現(xiàn)了應(yīng)用程序部署等諸多方面的自動(dòng)化,但同時(shí)也帶來了新的安全挑戰(zhàn)。

綜合來看,安全挑戰(zhàn)主要包括四個(gè)方面。

首先容器更新迭代非常快,傳統(tǒng)的保護(hù)方式已經(jīng)不適用于容器環(huán)境;第二是軟件生產(chǎn)的流程自動(dòng)化,容器開發(fā)階段每天可達(dá)上千次的軟件發(fā)布依賴整套CI/CD自動(dòng)化流程控制;三是越來越多的企業(yè)開始在跨云多云環(huán)境部署容器;四是容器將單一的應(yīng)用變成了成百上千的微服務(wù),導(dǎo)致服務(wù)內(nèi)部通信爆發(fā)式的增長。

Kubernetes采用虛擬化技術(shù),數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算等層面的全部虛擬化對(duì)于應(yīng)用程序開發(fā)者來講非常實(shí)用。

然而,這卻讓運(yùn)維安全人員無法了解容器的運(yùn)行狀況,即虛擬化技術(shù)本身對(duì)安全管控形成了一定的屏障,這無疑升級(jí)了安全挑戰(zhàn)。

使用“零信任”

升級(jí)傳統(tǒng)安全

隨著“云大移物智”技術(shù)發(fā)展和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型,傳統(tǒng)安全防御理念的“邊界”概念逐漸模糊,傳統(tǒng)安全防御模型也越來越不足以應(yīng)對(duì)威脅。

越來越多來自企業(yè)“可信”內(nèi)部人員與設(shè)備的威脅和APT攻擊讓企業(yè)“內(nèi)網(wǎng)”也充滿風(fēng)險(xiǎn),傳統(tǒng)靜態(tài)的“隱式信任”模型急需重構(gòu)革新。零信任理念在這樣的背景下產(chǎn)生。

2004年成立的耶利哥論壇(Jericho forum)為了定義無邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題并尋求解決方案,提出要限制基于網(wǎng)絡(luò)位置的隱式信任,并且不依賴于靜態(tài)防御,這就是零信任最早提出的雛形。

2010年,國際著名研究機(jī)構(gòu)Forrester的首席分析師John Kindervag首次提出了零信任安全的概念,他總結(jié)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中隱含式信任(比如根據(jù)IP地址等來賦予信任權(quán)等)的潛在風(fēng)險(xiǎn),認(rèn)為安全會(huì)跟隨服務(wù)模式變化,在去邊界化的時(shí)代基于“零信任”原則來演進(jìn)。

其包含三個(gè)原則:不應(yīng)該區(qū)分網(wǎng)絡(luò)位置、所有的訪問控制都應(yīng)該是最小權(quán)限且嚴(yán)格限制、所有的訪問都應(yīng)當(dāng)被記錄和跟蹤。

在這之后,Google花了6年時(shí)間逐步完成BeyondCorp零信任架構(gòu)的遷移工作,其目標(biāo)是摒棄對(duì)企業(yè)特權(quán)網(wǎng)絡(luò)(內(nèi)網(wǎng))的依賴并開創(chuàng)一種全新安全訪問模式,員工在訪問企業(yè)內(nèi)部IT設(shè)備、應(yīng)用數(shù)據(jù)等資源時(shí)只依賴于受控設(shè)備和用戶身份憑證,而與用戶所處的網(wǎng)絡(luò)位置無關(guān)。

BeyondCorp零信任架構(gòu)的成功實(shí)踐,為國內(nèi)外各大廠商推進(jìn)零信任架構(gòu)的優(yōu)化與產(chǎn)品研發(fā)增加了動(dòng)力,“去邊界化”和“以身份為中心”的零信任架構(gòu)持續(xù)演進(jìn)。

2020年全球暴發(fā)的新冠疫情,更是為隨時(shí)隨地遠(yuǎn)程安全訪問的業(yè)務(wù)需求打了興奮劑,Google、Microsoft、騰訊及阿里等業(yè)界巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出完整解決方案,促進(jìn)了零信任標(biāo)準(zhǔn)和實(shí)踐的進(jìn)一步完善。

2021年底,“核彈級(jí)”的Log4j漏洞爆發(fā),大量企業(yè)被波及。Log4j就好像是洋蔥芯中的bug,因?yàn)樗粚訉影?、嵌入在其他軟件包中,很難被常見的掃描方法識(shí)別到。

因此,首先要從源頭進(jìn)行有效的掃描和控制CVE安全漏洞;而對(duì)于無法下線進(jìn)行修復(fù)的應(yīng)用程序,零信任安全則是最有效的保護(hù)方法。

像Log4j這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增,但傳統(tǒng)安全工具在云環(huán)境很難提供全面的保護(hù)。

此外,隨著公有云的快速發(fā)展,業(yè)界對(duì)安全界限的認(rèn)識(shí)也出現(xiàn)了分歧。很多企業(yè)認(rèn)為,公有云的安全應(yīng)該完全交給供公有云廠商,但事實(shí)并非如此。應(yīng)用程序級(jí)別的安全必須由各個(gè)企業(yè)用戶自己負(fù)責(zé)。

這意味著,面對(duì)越來越多未知的安全風(fēng)險(xiǎn),企業(yè)的安全防護(hù)要從被動(dòng)式的安全逐漸過渡到主動(dòng)式安全。

主動(dòng)安全是一個(gè)新的概念,無論處于云原生化的哪一個(gè)階段,企業(yè)都可以采取較為主動(dòng)的零信任安全功能來提高效率。零信任安全并不需要推翻一切從零開始,企業(yè)可以循序漸進(jìn)地進(jìn)行部署。

傳統(tǒng)安全能夠堵住已知的安全漏洞,而零信任安全能夠防范未知的安全風(fēng)險(xiǎn),傳統(tǒng)安全與零信任安全的疊加使用可以幫助企業(yè)實(shí)現(xiàn)多層防護(hù)。

同時(shí),考慮到大部分企業(yè)已經(jīng)在傳統(tǒng)安全上投入了大量資源和金錢,根據(jù)企業(yè)的實(shí)際情況選擇最有效的方面開始針對(duì)性部署零信任安全也是最經(jīng)濟(jì)的方式。

云原生零信任安全的實(shí)施可以劃分成四個(gè)階段:用戶和可視化;設(shè)備、網(wǎng)絡(luò)和環(huán)境;應(yīng)用程序、服務(wù)和編排管理;數(shù)據(jù)、自動(dòng)化和合規(guī)檢查。企業(yè)無需推翻所有的安全投資和配置,可以從某一個(gè)單點(diǎn)開始介入和部署,逐步深化。

云安全正在

浮現(xiàn)的新趨勢(shì)

人工智能和機(jī)器學(xué)習(xí)模型由于其復(fù)雜性,在某些情況下會(huì)出現(xiàn)不可預(yù)測(cè)的行為,從而引入意想不到的漏洞。

隨著人工智能的普及,“黑匣子”問題變得更加嚴(yán)重。隨著人工智能工具變得越來越可用,用途的多樣性和潛在的誤用也在增加,從而擴(kuò)大了可能的攻擊媒介和安全威脅。

然而,人工智能是一把雙刃劍,在帶來潛在威脅的同時(shí),人們可以利用人工只能讓云安全防護(hù)變得更加高效。

如果將人工智能和機(jī)器學(xué)習(xí)集成到云安全中,這些技術(shù)將通過自動(dòng)化和增強(qiáng)各種安全流程來徹底改變?cè)擃I(lǐng)域。

人工智能和機(jī)器學(xué)習(xí)可以以前所未有的速度分析大量數(shù)據(jù),識(shí)別可能被忽視的潛在威脅和異常。這種主動(dòng)的安全方法允許早期發(fā)現(xiàn)和減輕風(fēng)險(xiǎn),顯著改善云環(huán)境的整體安全狀況。

其次,安全即服務(wù)(SECaaS)的趨勢(shì)也愈加明顯。隨著企業(yè)越來越多地將其運(yùn)營遷移到云端,對(duì)全面、可擴(kuò)展且經(jīng)濟(jì)高效的安全解決方案的需求不斷增加。

SECaaS提供商通過提供一系列安全服務(wù)來滿足這一需求,從威脅情報(bào)和入侵檢測(cè)到數(shù)據(jù)丟失防護(hù)和加密,所有這些服務(wù)都通過云交付。這種模式不僅降低了安全管理的復(fù)雜性和成本,還確保企業(yè)能夠獲得最新的安全技術(shù)和專業(yè)知識(shí)。

另一個(gè)值得關(guān)注的趨勢(shì)是云安全中對(duì)隱私和合規(guī)性的日益重視。隨著數(shù)據(jù)泄露和隱私侵犯成為頭條新聞,監(jiān)管機(jī)構(gòu)實(shí)施更嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn),企業(yè)面臨著確保其云環(huán)境符合各種法規(guī)的壓力。

為此,云安全提供商正在開發(fā)復(fù)雜的工具和框架,幫助企業(yè)管理其合規(guī)義務(wù)、保護(hù)敏感數(shù)據(jù)并維持客戶信任。

未來,云安全將以先進(jìn)技術(shù)、創(chuàng)新服務(wù)模式以及對(duì)隱私和合規(guī)性的重新關(guān)注為特征。

隨著這些趨勢(shì)的不斷發(fā)展,企業(yè)必須跟上最新發(fā)展并利用這些創(chuàng)新來增強(qiáng)其云安全策略。畢竟,在數(shù)據(jù)成為新石油的時(shí)代,保護(hù)數(shù)據(jù)不僅是必需品,而且是戰(zhàn)略要?jiǎng)?wù)。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論