由于云安全與傳統(tǒng)的線下基礎設施安全大不相同,企業(yè)在云上仍然面臨諸多安全挑戰(zhàn)���,其中既有是否信任公有云以及如何信任公有云這類全球性挑戰(zhàn)��,也有中國市場獨有的挑戰(zhàn)����。針對中國企業(yè)面臨的三大云安全挑戰(zhàn),Gartner給出了三大建議�����。
Gartner預測:到2023年�,主流的云服務提供商出現(xiàn)重大安全事件的概率將非常低,99%以上的云安全問題都是由客戶的過錯引起的�。而到2024年,利用云基礎設施的可編程性來改進云上工作負載的安全�,將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性��,并減少至少60%的安全事件��。
近日,Gartner高級分析總監(jiān)高峰在以“中國云安全的最佳實踐”為主題的線上研討會上提到:“企業(yè)在云上是安全的���,而且比傳統(tǒng)的線下基礎設施平臺更加安全����!
中國企業(yè)面臨三大云安全挑戰(zhàn)
實際上���,企業(yè)在云安全方面仍有諸多顧慮�。由于云安全與傳統(tǒng)的線下基礎設施安全大不相同����,企業(yè)在云上仍然面臨諸多挑戰(zhàn)����,既有是否信任公有云以及如何信任公有云這類全球性挑戰(zhàn),也有中國市場獨有的挑戰(zhàn)����。
Gartner認為,中國企業(yè)目前面臨三大云安全挑戰(zhàn):
一是對云安全責任分攤模型的理解和相關技術能力的缺失��。企業(yè)在云安全中分擔的責任與傳統(tǒng)線下數(shù)據(jù)中心的安全有很大不同�,因此理解與云安全提供商的安全責任分工非常重要。此外�����,云安全所需要的技能與傳統(tǒng)的邊界安全也有很大區(qū)別�,企業(yè)在這方面的能力缺失,使云安全的實施面臨更大的挑戰(zhàn)�。
二是在云安全技術的選擇與運用方面存在一定困難。云的部署模式需要一些安全工具支撐�,然而中國的市場現(xiàn)狀是:目前的云服務提供商和安全廠商無法滿足云上安全的所有需求,不能提供所有的安全能力,因此許多企業(yè)在實施云安全的過程中面臨技術選擇難題��。
三是缺乏對云服務提供商進行持續(xù)的風險評估���。不同的云服務提供商存在不同風險�,而這些風險并不是一成不變的�����,中國企業(yè)很少對云服務提供商進行系統(tǒng)性的風險評估���,這使企業(yè)的云上資產(chǎn)面臨一定風險��。
企業(yè)應對云安全挑戰(zhàn)的三大建議
如何應對以上三大挑戰(zhàn)呢?高峰在會上給出了Gartner的三大建議��。
建議一:明確企業(yè)和云服務提供商的安全責任范圍�����,并建立云安全所需的能力���。
云服務的資源共享理念,打破了傳統(tǒng)IT資產(chǎn)的物理邊界����,使現(xiàn)有的安全架構無法有效保護云上的資產(chǎn)��。由于對公有云缺乏信任,中國很多企業(yè)過于關注數(shù)據(jù)的存儲位置���,認為數(shù)據(jù)在企業(yè)自身的物理邊界內更安全��。而Gartner則認為:這種對數(shù)據(jù)物理位置的過度關注是錯誤的�����,數(shù)據(jù)保護需要企業(yè)對數(shù)據(jù)實施安全控制�����,而非過度關注數(shù)據(jù)的位置�,這會使企業(yè)犧牲云計算的諸多好處��。
實際上��,對于云服務提供商而言��,安全的重要性不言而喻�����,他們會持續(xù)進行大量安全投資,憑借大量的安全技術人員和用戶基數(shù)�,云供應商更容易發(fā)現(xiàn)和解決安全問題,因此從規(guī)���;慕嵌葋砜�,公有云其實比私有云和傳統(tǒng)數(shù)據(jù)中心更安全����。企業(yè)之所以對數(shù)據(jù)的位置十分關注,除了監(jiān)管合規(guī)的因素外��,還有一部分原因是企業(yè)在實施云安全時存在一定困難���,伴隨物理邊界的消失���,企業(yè)不知道如何與云服務提供商共同保護云上的數(shù)據(jù)資產(chǎn)。
總結三大云安全實施建議
高峰提到:基于責任共擔的理念���,云計算的部署模式不同�,企業(yè)與云供應商之間所承擔的安全責任也有所不同�。如上圖所示�����,深藍色模塊代表企業(yè)的安全責任���,綠色模塊代表云服務商的責任,淡藍色模塊則是企業(yè)和云服務商需要共同承擔的安全責任��。從圖中可以看出����,無論云的部署類型如何���,數(shù)據(jù)安全永遠是企業(yè)自身的責任����,必須通過數(shù)據(jù)加密�����、訪問授權控制等一系列手段提升云上的數(shù)據(jù)安全水平���。
大部分企業(yè)都存在安全人員和技術能力的缺失問題��,通過與云服務商分擔安全責任����,企業(yè)能夠更專注于保護核心的數(shù)據(jù)資產(chǎn)。數(shù)據(jù)顯示�,云上成功的安全攻擊,大多數(shù)是由于用戶的錯誤引起的���,例如配置錯誤�,或缺少必要的補丁���,而充分利用云上內置的安全功能��,以及高度自動化的工具�,企業(yè)可以顯著減少此類配置錯誤�����,杜絕管理不善等問題�����,通過進一步減少攻擊面來改善整體的云安全狀況��。
云資源具有可共享、生命周期短���、自動化以及可編程等特點��,云上的安全運維涉及大量的自動化工作��,以及跨領域�、跨平臺的安全保護工作��,這與保護本地的基礎設施安全有很大不同����。因此�,企業(yè)必須建立云安全相關的能力,設立云安全架構師和云安全工程師兩個至關重要的角色�。
Gartner建議設立云安全架構師和云安全工程師兩個角色
云安全架構師主要責任包括以下幾點:
1)引領云安全的文化變革。
2)制定云安全策略��。
3)開發(fā)和協(xié)調用于云安全的安全技術和工具�����。
4)招聘或培訓云安全工程師�����。
企業(yè)可以雇傭或從內部提拔“云安全架構師”。值得一提的是�����,“云安全架構師”并非唯一識別和制定“云安全架構”的決策人�,他需要與云架構師及其他安全架構師緊密合作,共同做出決策�,確保云上安全。
此外�����,云安全工程師也是一個非常重要的角色����,與某些特定安全領域的傳統(tǒng)安全工程師不同的是,云安全工程師是擁有廣泛技能的技術專業(yè)人員����,負責配置本地云原生和第三方云安全管控,配置跨多云環(huán)境共同使用的核心安全服務�。
高峰強調:上云對大多數(shù)企業(yè)而言都至關重要,設置云安全架構師和云安全工程師兩個角色非常必要。對于中小型企業(yè)而言��,如果無法設立這兩個專職角色�����,可以通過職能外包或培訓現(xiàn)有安全團隊��,來提升自身的云安全能力���。
建議二:優(yōu)先選擇云服務商云原生的安全工具���,并以第三方和開源安全工具作為補充實現(xiàn)安全控制。
如今����,云服務提供商正在不斷推出新的云安全工具�,以提高其云安全水平,其中不乏一些具備或接近企業(yè)級產(chǎn)品能力的安全工具����,這些工具與其云服務高度集成,采用云服務提供商的安全工具�,對企業(yè)而言成本更低,而訂閱式的付費模式非常方便、靈活�����,不僅能快速滿足企業(yè)的諸多安全訴求�,也可以隨時取消或更換安全工具。
值得注意的是���,為了滿足中國市場的監(jiān)管合規(guī)要求���,國外云服務商在中國提供的云服務與全球云服務之間是物理隔離的,相互之間不互通���,運維也由第三方團隊負責����,這就導致了其產(chǎn)品���、技術和服務可用性的一些差異�,國內可以訂閱的安全工具與國外也可能有所不同���。因此�����,企業(yè)在選擇這些工具之前����,需要核實其可用性以及產(chǎn)品路線圖。
對于那些需要將國外的應用部署遷移到國內同一個云服務提供商的企業(yè)而言��,由于國內外云服務可用性的不同����,在無形中增加了應用遷移的復雜度,此時采用一些第三方的安全工具�����,實現(xiàn)更多個性化配置和服務����,是不錯的選擇。
國外很多云服務商的SaaS產(chǎn)品����,需要用戶通過跨境連接的方式訪問其全球的SaaS服務��,然而數(shù)據(jù)跨境會面臨一定的合規(guī)風險,當云服務商云原生的安全工具以及第三方安全工具都無法滿足企業(yè)需求時��,開源工具成為企業(yè)實施云安全的另一種選擇�,但是需要注意的是,由于缺乏商業(yè)支持���,開源工具在漏洞管理等方面可能存在一定風險��,需要企業(yè)仔細評估��。
由于共享了云安全責任和云產(chǎn)品本身的復雜性���,大部分企業(yè)上云后都需要對其安全工具進行更新,例如被國內大多數(shù)企業(yè)廣泛應用的CWPP(云工作負載保護平臺)��,在國外較為成熟的CASB(云訪問安全代理)�、CSPM(云安全態(tài)勢管理)、CNAPP(云原生應用保護平臺)����,以及SSPM(SaaS安全態(tài)勢管理)和SMP(SaaS管理平臺)等新興的安全工具。
總結三大云安全實施建議
從上圖可以看出���,CWPP和CASB一般關注數(shù)據(jù)平面的安全��,CSPM�����、SSPM和SMP主要關注控制平面的安全�,而CNAPP則同時適用于控制平面和數(shù)據(jù)平面的安全管控。隨后����,高峰詳細介紹了幾個重要的云安全工具。
CASB:即云訪問安全代理�����,CASB通過對多種類型的云安全控制進行整合���,為SaaS���、IaaS和PaaS提供一些可見性、合規(guī)性�、數(shù)據(jù)安全和威脅保護的控制,例如授權��、用戶行為分析(UEBA)�����、自適應訪問控制�、數(shù)據(jù)泄漏防護(DLP)以及設備分析等。據(jù)悉��,CASB在國外已得到廣泛應用��,而在國內市場����,由于CASB供應商需要與云服務提供商進行深度合作,因此市面上提供CASB的供應商較少���。
CASB通常有四類集成方式:一是API集成�����,其部署優(yōu)勢是不存在代理模式的會話管理問題����;二是正向代理方式��,主要針對用戶上云的訪問進行保護�,包括企業(yè)訪問外網(wǎng)以及訪問云上資源的流量��;三是反向代理部署�����,針對外部用戶(如:非企業(yè)管理的客戶端)對企業(yè)云上的應用訪問��,進行保護�;四是從安全網(wǎng)關或企業(yè)防火墻等安全設備提取日志�,注入到CASB進行分析,并生成云應用的發(fā)行報告��。
CWPP:即云工作負載保護平臺�����,又稱“云主機保護平臺”���,是以工作負載的保護為主的安全產(chǎn)品����,可以保護混合云����、多云和數(shù)據(jù)中心的服務器工作負載���。與EDR不同的是,CWPP專注于保護服務器負載主機�����,為物理機����、虛擬機�、容器和無服務工作負載等所有主機提供保護,無論它們在數(shù)據(jù)中心還是云上����,都能提供一致性的可見控制。CWPP能夠結合多種功能保護工作負載��,例如:系統(tǒng)完整性保護���、應用程序控制�����、行為監(jiān)控�����、入侵防御���、以及惡意軟件的保護����。
需要強調的是�����,盡管中國的供應商提供了很多CWPP工具���,但是其中不乏一些基于供應商原有的EDR進行修改的產(chǎn)品����,這些修改版的CWPP工具對無服務工作負載����、容器以及云集成的支持能力可能非常有限,企業(yè)在選擇相關產(chǎn)品時需要格外注意���。
CSPM:即云安全態(tài)勢管理�,主要通過預防、檢測��、響應和主動識別云基礎設施風險�,持續(xù)管理云安全狀況,核心是通過ISO22701等通用框架要求����,等保等相關法律法規(guī)要求�,以及企業(yè)的安全策略,主動與被動結合�����,發(fā)現(xiàn)評估云服務的安全配置風險��,一旦發(fā)現(xiàn)問題����,可以提供自動或者人工的補救措施。例如�,CSPM可以根據(jù)企業(yè)配置的安全策略,對其進行持續(xù)的安全檢查�����,一旦發(fā)現(xiàn)配置偏移,即可阻止或通知安全人員���。由于CSPM產(chǎn)品需與云服務提供商深度合作���,目前只有少數(shù)本地供應商能夠提供此類產(chǎn)品,而國外已經(jīng)有很多CSPM產(chǎn)品開始支持中國的云服務商�����。
CNAPP :即云原生應用保護平臺�,CNAPP集成了安全與合規(guī)功能,助力保護云原生應用程序的整個生命周期����,包括應用的構建、云基礎設施的配置以及應用運行時的安全保護����。CNAPP整合了大量獨立功能,例如容器掃描���、云安全態(tài)勢管理以及云主機運行時的安全保護等等�。目前,一些中國供應商�����,尤其是初創(chuàng)的云安全供應商�,已經(jīng)開始提供CNAPP產(chǎn)品,但是尚未覆蓋所有領域��,這一類工具有待進一步發(fā)展�。
建議三:評估云服務提供商的風險。
總結三大云安全實施建議
無論企業(yè)采用哪種云部署方式����,云服務提供商的風險都不容忽視��。Gartner總結了一些常用的評估方法����,如上圖所示,這些評估方式從左到右給企業(yè)做出決定的評估價值會越來越高�,從下到上評估所需要的投入會越來越少。企業(yè)可以根據(jù)自身的實際情況進行選擇�,也可以采用多種評估方式對云服務提供商的風險進行綜合評估。
此外�����,Gartner根據(jù)云服務商的數(shù)量給出了一個簡單的評估模型:
第一梯隊是一些少量、成熟的大型云服務提供商���,以及少數(shù)成熟的財務安全云服務提供商�����,他們主導市場的時間超過5年���,均已通過等保三級等重要認證,以及市面上常見的第三方安全評估����,這些巨頭更注重保護形象,會不斷增加安全投入以尋求客戶的信任�。
第二梯隊是一些不斷增長的中型云服務提供商和大型知名軟件供應商,處于供應商成熟度與可靠性的中間層��。第二梯隊中的供應商雖然提供云服務�����,但是并沒有良好的長期運營記錄���,在安全運營方面不如第一梯隊成熟�����,往往缺乏一些重要的第三方安全評估認證���,尤其是初創(chuàng)公司存在一些財務風險����。因此��,企業(yè)評估云服務商的大部分資源應放在第二梯隊的云服務提供商上��。
第三梯隊是數(shù)量龐大��、不斷增長的小型云服務提供商�,他們很少進行第三方評估,因此企業(yè)很難了解他們的實際運行狀況���,企業(yè)必須假設這些云服務提供商是不安全的,也不值得花費太多精力去評估其風險�,這些云服務商的運營狀況可能在短時間內就會發(fā)生變化。企業(yè)在使用這一梯隊的云服務時����,必須接受這些風險�����。在實際案例中����,有些企業(yè)由于云服務提供商的云技術提供商破產(chǎn)���,使其面臨云服務支持��、安全�����、軟件版本更新等一系列問題����,而后續(xù)的應用和數(shù)據(jù)遷移也會給企業(yè)帶來很大風險�。
總結三大云安全實施建議
由此可見,對云服務提供商進行風險評估至關重要��。在實際的云評估中����,一些針對云服務提供商的重要安全認證����,也是企業(yè)評估其安全風險的重要參考�。上圖是企業(yè)需要重點關注的安全認證,相較于全球認證��,中國企業(yè)為了滿足法律與合規(guī)要求���,更應該關注那些中國本土的認證�,例如“等保三級”是合格“云服務商”的基礎門檻����。
高峰指出:這些認證有些只有通過和失敗之分,并沒有指定安全級別�,而有些認證通常會提供針對云服務提供商的詳細書面報告,包括對其優(yōu)��、缺點的具體評論�����,企業(yè)可以向云服務提供商索要這些評估結果����,以便進行更詳細的風險評估。當然���,找專業(yè)的咨詢公司和評估機構進行風險評估更為可靠�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
