這兩年隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷推進(jìn)���,我國云計算市場規(guī)模呈現(xiàn)一個蓬勃發(fā)展的態(tài)勢�����。 在國家政策層面��,積極的推動企業(yè)上云用云����,包括二零三五年遠(yuǎn)程目標(biāo)綱要,以及十四五數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃��,都提出了要實(shí)施上云用數(shù)賦智的行動���。像云計算,網(wǎng)絡(luò)安全等這種新興的數(shù)字產(chǎn)業(yè)��,需要去大力的培育�。而同時,即使在新冠疫情的沖擊之下����,我國整個云計算市場仍然保持著一個比較穩(wěn)定的增速。2021年�,據(jù)我們統(tǒng)計,整個國內(nèi)的云計算市場達(dá)到了3000多億元��,而其中公有云市場占據(jù)了比較高的比例達(dá)到了2000多億元��,增速相較于2020年達(dá)到了70%���。
因此����,隨著整個云計算的持續(xù)發(fā)展,它也越來越成為黑客攻擊的重要目標(biāo)���。根據(jù)相關(guān)的數(shù)據(jù)可以看到�����,在數(shù)量上來說�,云平臺承載更多的攻擊����,與傳統(tǒng)的IT環(huán)境相比,它所占的安全事件的比例是遠(yuǎn)超過傳統(tǒng)IT環(huán)境的��。而在類型上來說���,一方面云計算也面臨著典型的攻擊方式和事件類型����,同時也會有一些新的攻擊方式����,包括云計算引入了虛擬化容器微服務(wù)等新的技術(shù),這些新技術(shù)也成為了攻擊者的利用對象,比如一些被部署惡意容器的事件等�。
同時,這兩年軟件供應(yīng)鏈?zhǔn)录彩鞘艿搅朔浅6嗟年P(guān)注����。尤其是在云計算場景下,一方面涉及到非常多的容器鏡像�����,同時���,云平臺的云服務(wù)商可能也被黑客作為一個突破口,利用云平臺的一些薄弱點(diǎn)�,或者云服務(wù)商的一些能力的薄弱點(diǎn),進(jìn)而去影響云上的租戶����。
在整個嚴(yán)峻的態(tài)勢背景之下,企業(yè)越來越重視云安全的建設(shè)��。我們在去年開展了相應(yīng)的發(fā)展調(diào)查報告����。在這個調(diào)查中,我們了解到,企業(yè)在選擇云服務(wù)商的時候���,除了產(chǎn)品的價格這些考慮因素之外���,服務(wù)安全性是他們最關(guān)注的一點(diǎn)。他們會選擇相對可信�����、安全的云服務(wù)商���。第二�����,從整個市場上來看����,公有云安全服務(wù)的市場也呈現(xiàn)著一個穩(wěn)定增長的態(tài)勢�����。據(jù)Gartner的統(tǒng)計�����,整個21年,全球的市場規(guī)模達(dá)到了100多億美元���,而2022年的話也是保持著一個較好的增幅���,不管是市場層面,還是用戶層面���,對于云安全都是呈現(xiàn)越來越重視的趨勢����。
那么�,我們該如何去開展整個云安全建設(shè)���?在我看來更多的是需要去探索在企業(yè)上云過程中產(chǎn)生的變化���,這些變化又對應(yīng)的是哪些安全需求,而這些安全需求都應(yīng)該貫徹到整個云安全的建設(shè)過程中���。
第一���,從部署模式上來看����,在公有云場景下�����,資源和數(shù)據(jù)基本上都是由于服務(wù)商控制�,這也就決定著企業(yè)上云用云之后,它的安全建設(shè)不只是自己的事情�����,云平臺和云服務(wù)商是一個非常大的重要的組成部分�。同時這兩年多云混合云也成為了租戶考慮的一個比較重要的部署模式,這種多云混合云中跨云的數(shù)據(jù)交互比較頻繁�����,資源暴露面也非常大����,這也就為用戶上云之后的安全防護(hù)的性能提出了比較高的要求。
第二����,在技術(shù)應(yīng)用角度來說�,一是平臺涉及到虛擬化容器等技術(shù)��,也就導(dǎo)致租戶其實(shí)是共享底層技術(shù)架構(gòu)的�,這一方面更多的就體現(xiàn)在服務(wù)商和平臺它在做安全建設(shè)的時候應(yīng)該充分考慮到這種多租戶之間的一些安全的問題。同時�,像微服務(wù)分布式架構(gòu)的廣泛應(yīng)用也導(dǎo)致企業(yè)云上的東西向流量的激增,所以用戶在整個安全建設(shè)中����,其實(shí)我們不不僅僅需要考慮南北向的這種安全防護(hù),更多的也需要考慮東西向的一些安全防護(hù)的機(jī)制���。
第三��,其實(shí)也是非常重要的一點(diǎn)����,就是合規(guī)要求的變化����。一方面網(wǎng)絡(luò)安全法數(shù)據(jù)安全法這種比較通用的法律法規(guī)也在逐步的發(fā)布實(shí)施���,所以企業(yè)需要針對于這些法規(guī)要求去做云安全的建設(shè)����。另一方面,是面向云的一些規(guī)范制度標(biāo)準(zhǔn)要求也在不斷地完善���。
我們可以看到�,想要建設(shè)一個完整的云安全體系���,需要從兩側(cè)去出發(fā)��,包括平臺側(cè)云服務(wù)商的一些安全能力�,同時也包括用戶側(cè)它自己結(jié)合行業(yè)的一些特性需求����,或者是一些業(yè)務(wù)屬性的需求,去開展自身的安全防護(hù)的建設(shè)��。在整個過程中����,其實(shí)都秉承著一個責(zé)任共擔(dān)理念。
第二塊�,我們大概分析一下平臺側(cè)如何去建設(shè)安全工作����,為用戶提供比較安全的上云基座���。
第一部分�����, 從用戶和服務(wù)商之間的互動���,我們可以看到最直接的就是服務(wù)商去向用戶交付云服務(wù),尤其是在公用云的場景之下�。所以我們提倡云服務(wù)商應(yīng)該從云服務(wù)的要求階段起,一直到整個下線階段的全流程去貫徹安全前置的理念���,從整個流程上都融入一定的安全機(jī)制�����,進(jìn)而優(yōu)化云服務(wù)的安全能力���,來提升用戶的體驗(yàn)��。
我們之前調(diào)研發(fā)現(xiàn)用戶非常多的安全事件都是由于沒有非常好的去使用云服務(wù)配置,導(dǎo)致發(fā)生了非常多的損失���,所以這就需要云服務(wù)商去重復(fù)考慮這樣的一個情況�����,將安全貫徹到整個云服務(wù)的生命周期�����。
在整個生命周期中���,IaaS PaaS SaaS云服務(wù)均需考慮三大類安全要素。
第一類是服務(wù)應(yīng)該面向用戶側(cè)做一些訪問控制和身份鑒別����。
第二類是服務(wù)和用戶之間的交互過程中應(yīng)該去充分考慮行為審計機(jī)制,同時對交互的數(shù)據(jù)有一定的保護(hù)機(jī)制���。
第三類是考慮到服務(wù)自身應(yīng)該有一些安全運(yùn)行的能力��,同時有一些安全策略管理的能力��。
第二部分����,是云服務(wù)商應(yīng)該針對云計算這樣特殊的業(yè)務(wù)去開展持續(xù)的風(fēng)險管理工作,包括持續(xù)進(jìn)行風(fēng)險的評估�����,做風(fēng)險的處置�����,監(jiān)測����,然后持續(xù)降低相應(yīng)的云計算的風(fēng)險。
在整個風(fēng)險評估過程中����,其實(shí)主要涉及到九大類
1)服務(wù)商是不是有合理的云計算相關(guān)的風(fēng)險管理的組織架構(gòu)和相應(yīng)的針對性的細(xì)致的可落地的策略并執(zhí)行相應(yīng)的要求。
2)需要充分考慮云計算外部的風(fēng)險���,包括云計算底層的數(shù)據(jù)中心����、依賴的物理設(shè)備以及云計算的計算存儲網(wǎng)絡(luò)架構(gòu)。
3)需要充分考慮云平臺的一些風(fēng)險����,包括多租戶的安全隔離�,以及租戶和平臺之間的相應(yīng)的安全隔離,同時還有像控制臺�����、云服務(wù)數(shù)據(jù)等這些關(guān)鍵要素的安全�����。
4)需要充分考慮服務(wù)商內(nèi)部跟云計算相關(guān)的開發(fā)測試����,運(yùn)維等等人員,以及外包人員的一些風(fēng)險�。
5)需要對整個云計算,從整個流程上是不是有相應(yīng)的一些風(fēng)險管理機(jī)制���。
6)需要考慮云計算的合規(guī)�,既包括云服務(wù)商內(nèi)部的合規(guī)機(jī)制��,又包括云服務(wù)商對云用戶的一些要求,如實(shí)名認(rèn)證�����。
7)需要考慮云計算的業(yè)務(wù)連續(xù)性����,服務(wù)上需要制定相應(yīng)的業(yè)務(wù)連續(xù)性的計劃,開展相應(yīng)的一些應(yīng)急演練�。
8)供應(yīng)鏈其實(shí)也是云計算中非常重要的一點(diǎn),主要是因?yàn)樵朴嬎阍陂_發(fā)的過程中涉及到非常多的一些開源軟件以及上下游�����,都比較復(fù)雜�����,所以一定要開展相應(yīng)的風(fēng)險管理的工作�。
9)最后需要有一個持續(xù)的風(fēng)險溝通和監(jiān)測的機(jī)制,既包括服務(wù)商跟用戶之間的這些及時的風(fēng)險告知和它的一些責(zé)任劃分���,同時也包括云計算相關(guān)的一些鏈條里的威脅情報����。
第三大部分其實(shí)是用戶最關(guān)心的一塊,尤其是在公有云場景下����,上云之后,服務(wù)商是不是能夠?qū)?shù)據(jù)提供充分的保護(hù)能力����,能夠建立這樣的一個信任機(jī)制�。我們認(rèn)為在整個數(shù)據(jù)保護(hù)方面,服務(wù)商應(yīng)該從事前��、事中和事后三個層面去建設(shè)一定的管理機(jī)制和技術(shù)手段���。
在整個要求中��,我們前期調(diào)研后發(fā)現(xiàn)用戶在事前防范中其實(shí)特別關(guān)注數(shù)據(jù)隱私性�����、數(shù)據(jù)知情權(quán)和數(shù)據(jù)銷毀安全性這三個要求��。對于隱私性����,更關(guān)注數(shù)據(jù)上傳到云之后服務(wù)商內(nèi)部的一些人員是否有權(quán)利去查看到我的數(shù)據(jù),我的數(shù)據(jù)對于服務(wù)商是不可見的���。而對于數(shù)據(jù)知情權(quán)�,是用戶希望能夠及時的知道他的數(shù)據(jù)被如何去使用���,如被監(jiān)管機(jī)構(gòu)調(diào)取證���。對于數(shù)據(jù)銷毀性,其實(shí)也是用戶最關(guān)心的�����,就是當(dāng)服務(wù)銷毀����,或者是主動刪除數(shù)據(jù)之后,這個數(shù)據(jù)在云平臺是否徹底的銷毀�,沒有留存。
在事后追溯的方面�����,用戶特別關(guān)注用戶側(cè)行為的安全審計能力和服務(wù)商的行為審計能力�����,以保證從兩側(cè)都能夠做到行為的可審可溯。在安全事件發(fā)生之后就可以快速定位到原因�,快速的去進(jìn)行阻斷。
在整個的這個流程中�,云服務(wù)商更多是需要從兩大方面來去貫徹這個數(shù)據(jù)保護(hù)能力的提升。一方面是上述的整個機(jī)制都需要去做到這種平臺化����,自動化,能夠去做到一些自動化的記錄����,阻斷或者是告警�����,進(jìn)而增加整個數(shù)據(jù)安全事件的可審計性和可追溯性��。同時����,其實(shí)為了建立這個可信,需要服務(wù)商能夠做到對用戶及時的披露�����,以及做到履約執(zhí)行的相應(yīng)的能力,包括不管是事前措施能夠及時的告知用戶�����,以及事中的一些問題�����,或者是事后的一些處置手段�,都需要去及時披露給用戶,進(jìn)而建立服商和用戶之間一個可信的橋梁�。
最后一部分,服務(wù)商非常需要去做的就是責(zé)任的共擔(dān)����,我們認(rèn)為其實(shí)應(yīng)該去從幾大方面來講,分別包括物理基礎(chǔ)設(shè)施的安全�、資源抽象和管理層面的安全、操作系統(tǒng)的安全���、網(wǎng)絡(luò)控制安全��、應(yīng)用安全�、數(shù)據(jù)安全以及身份識別和訪問管理的安全等等方面。需要注意的是在比如說IaaS PaaS或者SaaS不同類的這種服務(wù)中可能對于某一些責(zé)任���,它的定義是有區(qū)別的��。
對于鏡像安全來說�����,在IaaS場景下����,其實(shí)更多的是指代云服務(wù)商向用戶交互的這種公共的鏡像�����,或者是第三方服務(wù)市場中的鏡像�,以及用戶自己使用的一些其他來源的鏡像�。而在PasS和SaaS場景下,其實(shí)是不涉及到向用戶交付相應(yīng)的鏡像���,更多的是服務(wù)商自己使用的一些鏡像的安全����,所以這個需要在不同的場景下明確不同的責(zé)任的定義。
在整個責(zé)任定義明確之后����,需要建立一個責(zé)任共擔(dān)模型,進(jìn)而去識別哪些是云服務(wù)提供者的責(zé)任����,哪些是云服務(wù)客戶的責(zé)任。這樣能夠在事前明確雙方的責(zé)任之后���,最大可能避免安全事件的發(fā)生���。
一定要確保相應(yīng)的用戶和服務(wù)商都能夠承擔(dān)自己的責(zé)任,而同時�����,因?yàn)樨?zé)任清晰的界定���,如果發(fā)生了事件����,在事后也更能夠去客觀的做事件的定責(zé),進(jìn)而能夠通過法律或者是經(jīng)濟(jì)的手段來降低相應(yīng)的責(zé)任的損失�。
上述是我們認(rèn)為的云服務(wù)商應(yīng)該從哪些視角去不斷的提升自己的安全能力。同時用戶因?yàn)橛凶约旱囊恍I(yè)務(wù)屬性����,或者是一些行業(yè)的要求,在云平臺的安全性基礎(chǔ)之上���,還應(yīng)該開展自身的安全防護(hù)能力的建設(shè)�。
接下來的這一部分���,我主要介紹一些在這方面的探索�����。包括第一方面我們認(rèn)為最關(guān)鍵的就是做云工作負(fù)載的保護(hù)���。這個主要是考慮到兩方面的挑戰(zhàn),一是用戶上云之后�,涉及本地的物理設(shè)備以及云上的這種虛擬機(jī)容器,以及多云環(huán)境下不同的虛擬機(jī)容器之類�����,各種異構(gòu)資源的安全的問題����。同時,多云混合云場景下�����,如何做跨云的統(tǒng)一安全管理也是它的一個痛點(diǎn)���。在此背景之下��,其實(shí)Gartner早在幾年之前就提出了云工作負(fù)載保護(hù)CWPP的概念�����,來去為云上資產(chǎn)最后一公里云工作負(fù)載去提供相應(yīng)的保護(hù)��。
我們認(rèn)為在整個CWPP的建設(shè)過程中�����,其實(shí)它分兩大類的能力���。
第一是核心的安全能力。也就是能夠通過這些能力去保證工作負(fù)載的安全,包括傳統(tǒng)意義上物理服務(wù)器安全過程中涉及到的����,比如安全基線的掃描,入侵檢測�����,惡意代碼防范等等����,也包括云環(huán)境下需要去做一些容器的安全,需要去做一些微隔離等等����。
第二大部分是安全管理的能力,這一部分的能力更多的是支撐核心的安全能力充分發(fā)揮��,提升企業(yè)上云之后對工作負(fù)載的安全管理�,包括像統(tǒng)一的資源管理,可視化�����,安全策略的管理等等��。
綜上��,其實(shí)是考慮到需要做云上的這種應(yīng)用和網(wǎng)絡(luò)的安全����,這也是兩個其實(shí)在行業(yè)里發(fā)展比較成熟的方案,云WAF和防火墻�����,而這兩個方案隨著云的發(fā)展����,也呈現(xiàn)了一定的演進(jìn)和變化。
我們強(qiáng)調(diào)云WAF和防火墻�����,隨著上云進(jìn)程的推進(jìn)�����,需要去朝著原生云方向去發(fā)展����,包括對于云WAF來說�����,我們需要它在公有云場景下����,能夠跟這種CDN等等云的網(wǎng)絡(luò)設(shè)施進(jìn)行比較好的融合整合��,進(jìn)而給云上應(yīng)用提供更好的安全防護(hù)�����。第二是對于防火墻�����,用戶不僅僅需要關(guān)注互聯(lián)網(wǎng)到內(nèi)網(wǎng)之間的安全防護(hù)����,更多的也需要去考慮到VPC和VPC之間的一些訪問控制,這個也是云防火墻的一個比較重要的能力�。
同時,因?yàn)殡S著云整個資產(chǎn)的彈性變化�����,云上業(yè)務(wù)和應(yīng)用的彈性變化,WAF和防火墻也都強(qiáng)調(diào)分布式部署和彈性擴(kuò)展的能力��。
在以上的能力建設(shè)之后��,其實(shí)我們也強(qiáng)調(diào)用戶需要去做統(tǒng)一的這種安全管理和運(yùn)營����。這個也是希望能夠進(jìn)一步的實(shí)現(xiàn)安全資源的整合��,在統(tǒng)一安全管理和運(yùn)營的階段���,其實(shí)不僅僅需要平臺����,還需要人員的能力建設(shè)和運(yùn)營管理機(jī)制的一個完善����。
在整個這三大塊過程中,其實(shí)主要是實(shí)現(xiàn)四點(diǎn)目標(biāo)�;
第一是能夠?qū)υ粕系馁Y產(chǎn)進(jìn)行統(tǒng)一的管理,包括自動化的盤點(diǎn)��,配置的檢查等等�����。
第二是需要對所有的安全事件進(jìn)行統(tǒng)一的關(guān)聯(lián)分析。因?yàn)殡S著整個業(yè)務(wù)的增長�,我們的安全數(shù)據(jù)呈爆炸式增長,如何去利用這些安全數(shù)據(jù)也是比較關(guān)鍵的�,所以需要通過關(guān)聯(lián)分析發(fā)現(xiàn)潛在的安全風(fēng)險。
第三是安全策略的統(tǒng)一管理和編排��,這個也是因?yàn)樯婕暗椒浅6嗟陌踩ぞ吆驮O(shè)備�����,需要有一個高效的手段能夠做到統(tǒng)一的這種策略的下發(fā)和配置�����。
最后的���,是需要有安全態(tài)勢的可視化的能力����。這樣能夠更直觀形象的去掌握整體的態(tài)勢��。
最后�,隨著上云的發(fā)展����,云上的業(yè)務(wù)更加復(fù)雜����,不僅僅需要關(guān)注網(wǎng)絡(luò)數(shù)據(jù)安全等,同時也需要關(guān)注一些業(yè)務(wù)側(cè)的風(fēng)險�。所以,隨著整個黑灰產(chǎn)的不斷的發(fā)展����,上云企業(yè)需要去結(jié)合大數(shù)據(jù)���,人工智能隱私計算等等這些新的技術(shù)去提升自己的業(yè)務(wù)風(fēng)控能力��,進(jìn)而實(shí)現(xiàn)云上業(yè)務(wù)的安全�����。
最后想跟大家講講對整個云安全發(fā)展的一個小小的展望�。
一方面�����,這兩年以及未來的幾年,零信任一定是非常需要大家關(guān)注的一個點(diǎn)。我們認(rèn)為整個零信任在未來一定會貫穿到云基礎(chǔ)設(shè)施��,到云上層應(yīng)用的各個層面���,包括比如說在平臺側(cè)服務(wù)商需要基于零信任理念去構(gòu)建不同的服務(wù)��,包括IaaS PaaS SaaS等等���。
一方面,在整個服務(wù)的研發(fā)運(yùn)營過程中充分的利用零信任���,比如在開發(fā)的時候����,人員需要用零信任理念去做開發(fā)��,同時把零信任的一些理念貫穿到IaaS PaaS SaaS的安全的功能上面���。對于用戶側(cè)來說���,用戶也需要基于相應(yīng)的零信任理念去實(shí)現(xiàn)不同場景的安全機(jī)制,比如說多云混合云的接入,或者是一些API的防護(hù)等等�。
目前來說,大家越來越重視安全���,所以涉及到非常多的一些安全工具�����,安全技術(shù)�����,安全手段的采納����。在整個過程中���,用戶也面臨一定問題,比如沒有那么多專業(yè)的人員去充分的利用平臺����,一些安全事件的操作比較復(fù)雜。所以用戶越來越意識到安全的建設(shè)不是一味的去疊加安全工具�����,而是需要去做一定的安全整合,平臺或者供應(yīng)商的整合����,進(jìn)而提升安全資源的利用率,充分的去釋放整個安全數(shù)據(jù)的價值�����。
中國信通院一直聚焦在云安全領(lǐng)域開展了非常多的工作���,包括會制定相應(yīng)的一些行業(yè)標(biāo)準(zhǔn)��,國家標(biāo)準(zhǔn)或者是一些ITU/IEEE等等國際的標(biāo)準(zhǔn)���。進(jìn)而去規(guī)范行業(yè)的發(fā)展,同時也會基于標(biāo)準(zhǔn)去開展一定的測試評估工作�。每年我們也會聚焦在一些云安全的重點(diǎn)領(lǐng)域或者是一些痛點(diǎn)去發(fā)布相應(yīng)的一些報告,比如我們會發(fā)布一些責(zé)任共擔(dān)的白皮書�,云服務(wù)安全治理的白皮書,以及供應(yīng)側(cè)的一些全景圖的梳理等等�����。
與此同時,我們也建立了生態(tài)聯(lián)盟���,希望能夠依托生態(tài)聯(lián)盟去建立云服務(wù)商安全廠商和重點(diǎn)用戶之間的這樣的一個橋梁��。來提升他們在某一些方面的安全能力�����,所以目前我們聚焦在像業(yè)務(wù)安全���,供應(yīng)鏈安全,零信任等等方向都成立了一些生態(tài)聯(lián)盟����,進(jìn)而推動細(xì)分安全領(lǐng)域的發(fā)展。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
