“在企業上雲並非難事的今天,雲安全事件爆發的數量卻顯著增加。雲的複雜性顛覆了傳統的虛擬機環境和被動安全策略,讓企業不得不開始重新審視安全系統的建設。如今,國內企業的雲安全建設落地到底做得如何?”
過去十年,全球公有云市場規模增長了5.4倍,中國雲計算市場增長了十幾倍,在雲計算快速發展的過程中,與雲計算相伴而生的雲安全市場卻沒有得到同步的發展。
以前企業對於雲安全可能不夠了解,由於缺少與雲環境相匹配的安全防禦體系,許多行業的核心數據和用戶隱私面臨很大的暴露風險。近幾年雲端攻擊事件爆發得越來越頻繁,給企業造成的損失呈幾何倍數增長,雲安全已逐漸成為企業IT建設中非常關注的話題。
那麼,在過去一年中,雲安全在國內的發展形勢是否發生了變化?雲安全建設是否真正被提上企業議程?企業在雲安全建設過程中又存在哪些問題?此次科技雲報道專訪360企業安全集團雲安全事業部總經理劉浩,就企業雲安全建設落地情況及面臨的挑戰進行了交流。
360企業安全集團雲安全事業部總經理 劉浩
雲安全觀念從無到有
但企業依然存在困惑
近年來,在國家政策引導及合規需求拉動下,各行業正在加速業務上雲落地。劉浩表示,在這種大背景下,國內大多數企業對雲安全有了從無到有的認識,在雲安全方面的預算也有了大幅提升。
“2016-2017年,我們去和企業講雲安全,先要和企業聊什麼是雲計算,那時候很多企業的業務都還沒有上雲,雲概念還不清楚,就更不用提雲安全是什麼了。從2018年開始,我們明顯感覺到這種狀況有了很大的改變,很多企業主動來找我們聊雲安全。”
劉浩表示, 各行各業在雲安全建設方面發展都很迅猛,對雲安全的理解和實踐有了很大提升。比如說金融、運營商和政府,以不同行業屬性的安全需求構建的在雲安全體系思想已然非常成熟。
在運營商行業,因SDN/NFV等技術發展、移動互聯網發展、大數據的應用深化等給通信產業鏈帶來了巨大變革,雲計落地最早最充分,在其發展過程中積累了大量雲安全訴求,也經歷了大量的雲安全實踐。
在金融機構,技術向來是重要的驅動力,移動互聯網的發展為傳統金融行業開創了嶄新的業務模式。同時,金融行業是監管機構的重點看護區,其數據敏感性遠高於其他行業,所以雲安全的理解和實踐水平都更高。
在政府機構,由於國家政策的大力推動,政務雲建設較之其他行業推進得更加迅速和徹底。政務雲提供的是關係國計民生的政務服務,同時也涉及到國家信息安全,因此政務雲對安全極為重視,從原先滿足合規要求走向瞭如今對安全的整體規劃,在安全建設上有了質的飛躍。
劉浩認為,雖然國內雲安全的發展整體走勢向好,但是很多企業對雲安全的認識還存在誤區,例如:合規通過就能證明安全,雲基礎架構邊界上了安全防護設備雲內部就是安全的......與此同時,企業在雲安全建設上充滿了“迷茫”。
一方面,企業面對雲計算龐大而複雜的系統,不知道該怎麼做雲安全,也沒有專業的雲安全團隊來運營。由於雲計算系統涉及計算、網絡、存儲各方面技術,再加上業務的多元化,雲安全成為一個涉及多種技術手段、多種業務場景、多種應用模式的多元化集中業務安全領域。
另一方面,企業從以前的自建機房、系統、應用到半托管或全託管理式,控制權發生根本改變,客戶從意識上還尚未完全接受控制權轉移所帶來的“不安全感”。傳統模式下,按照誰主管誰負責、誰運行誰負責的原則,信息安全責任相對清楚。在雲計算模式下,雲計算平臺的管理和運行主體與數據安全的責任主體不同,安全責任該如何界定?
倒轉思路
從頂層到執行構建雲安全
針對企業在雲安全建設方面的困惑,劉浩認為,企業首先需要梳理清楚自身的安全訴求,是基於政策牽引、合規拉動,還是出於特定的安全功能需要,立足自身需求再參考行業內、領域內的優秀安全實踐,循序漸進完善整體安全體系。
“過去企業大多是有多少預算就做多少安全,合規要求多少就做多少,方案怎麼寫就做什麼,想到什麼就做什麼,並沒有深刻考慮做安全是為了什麼,自己所處的行業、領域、生產屬性需要怎樣的安全。”
劉浩表示,現在安全建設從合規要求走向了實際需求,“全面以結果為導向”成為雲安全的核心理念,企業應該倒轉思路,從“零”開始,重新審視雲安全。
360企業安全根據過去豐富的建雲經驗及眾多成功雲安全實踐,認為構建雲安全建設全命週期的理念體系,從頂層到執行主要分為4個步驟:
頂層設計:從事後修補到全局視角的頂層設計。前瞻佈局,至上而下、目標明確;
系統規劃:從單一防護到整體協防的系統規劃。統籌規劃、拉通考慮、計劃明確;
疊加建設:面向新技術新趨勢的疊加建設路線。緊跟新理念、擁抱新技術、建設新思路;
協同運營:安全能力、安全服務協同的運營思路。以人為本、能力附加、協同運營。
對此,劉浩舉了一個例子,“這就好比裝修房子,承重牆已經做好了,再想改房屋結構就來不及了,只能根據已有的結構做一些貼片式的裝修。在安全建設裡,我們把這種事後打補丁的安全方式叫做‘創可貼式安全’,效果肯定不如從一開始就做好整體規劃、原生的安全系統好。”
針對雲安全頂層設計,劉浩進一步解釋需要從四個技術思路進行規劃:
零信任
零信任的策略就是默認不相信任何人、任何設備。在雲環境中,企業的工作負載會在不同的雲環境中遷移,業務邊界的概念已不再存在。基於零信任的策略,對工作負載構建一個微隔離環境,對雲環境中東西向、南北向流量實現完整的安全防護。
數據驅動安全
圍牆式、塔防式安全防護方式都已過時,基於數據驅動的協同聯動防禦是未來方向。例如,360企業安全雲安全基於底層雲平臺實現安全NFV組件的生命週期管理,實現運維數據全量記錄,對不同來源、不同維度的安全數據進行快速彙集,深度關聯,自動化的高級智能分析,並與雲端威脅情報相結合,實現快速發現、精準定位和攻擊溯源。
“三位一體”網絡安全體系
從能力維度構建了低位、中位、高位“三位能力”系統,建立協同聯動的雲安全運營體系。低位能力是傳統的安全防禦能力,即通過端類產品,或者一個個安全組件實現單一功能的安全防護並完成數據的生產和採集。中位能力包含了態勢感知、應急響應等能力,是對海量數據的建模與分析能力。高位能力是雲端威脅與分析能力,對中位和低位提供支撐和決策。
雲安全常態化運營
在雲平臺的生命週期中,大規模建設通常時間較短,而云安全運營卻是一個長期的過程。運營如何能做到統一、完整、及時,需要從多方面考慮。比如,安全運維包括資產管理、網絡安全管理、系統安全管理等。常態化安全運營需要覆蓋安全運維、威脅發現、持續監測問題溯源及聯動控制等幾個方面。
光靠技術還不夠
“人機協同”提供雲安全服務
當企業在關注雲安全建設時,大多數會把目光放在外部的網絡攻擊和威脅上,然而,一個被忽略的因素卻造成了雲安全事故頻發。Gartner曾預測,截止2020年,95%的雲安全故障都是由於用戶過錯造成的。最新的《2018年Netwrix雲安全報告》支持這一預測,指出2017年58%的安全事件都是員工的責任。
這個令人意外的發現,將雲安全的潛在威脅指向了企業內部。
“有沒有想過,為什麼企業部署了這麼多安全產品,依然會時不時中招病毒?”劉浩問道。“不是安全產品技術不過關,而是安全的本質,不是光靠技術就可以解決的,‘人’才是安全運營的核心。完全靠自動化運營,或者完全靠人力運營都不行,人+技術才是安全的解決之道。”
劉浩告訴記者,360企業安全的數據驅動安全理念除了構建基於大數據的雲端安全能力平臺,增加以人為核心的安全運營機制。“人機協同非常重要,雲端安全能力、數據驅動的產品協同、以人為核心的安全運營,三個組成一個閉環,真正達成構建積極防禦的完善能力體系。”
目前,360企業安全已擁有業內最龐大的安全服務團隊,以“人機協同”的方式提供雲安全服務。
對於大中型企業客戶,提供雲安全整體規劃及產品部署,並配合駐場工程師來解決運營問題。這是因為企業規模大,涉及多種IT基礎架構及複雜的業務系統,比如:有的企業是為全新的雲數據中心規劃業務安全,有的是在傳統數據中心和新建的私有云基礎上規劃安全,這就導致安全建設不僅僅是安全體系的規劃,甚至會涉及到企業部分業務制度的改造,人在安全設計和運營中發揮著極為重要的作用。
對於小微型企業客戶,由於大多數使用雲化的安全產品,通過一個工程師即可在雲端解決多個企業客戶的問題。同時,360在雲端具備強大的情報收集及生產能力,擁有全球最大的樣本庫,可以在雲端為企業推送實時的安全策略,將“人機協同”的服務模式大規模落地。
2018年國內雲計算市場發展迅猛,雲安全市場同樣水漲船高,整體安全訴求由合規牽引向安全有效轉化,推動著雲安全技術向縱深發展,雲安全業務形態逐漸從“雲採用”向“雲原生”過渡。在雲安全新一輪的爆發式增長下,相信常態化的雲安全也將成為企業的“標配”。
閱讀更多 科技雲報道 的文章
