本文来自科技云报道。
伴随数字化浪潮席卷全球,企业在加速推进以云计算为核心的数字化转型的同时,也带来了有别于传统安全的云上安全问题。
在云计算架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得突出,如何用云的方式去解决云上安全问题成为各行业的重要命题。
在企业数字化转型的过程中,安全和合规是上云和用云的基石。
越来越多的企业认识到构建云安全战略是一项持续性工作,需要有自上而下的顶层设计,要以安全为出发点构建云上应用。
数字化浪潮引发云端安全风险
无论是传统网络环境还是云端环境,安全问题始终存在,比如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等;
而另一方面,新的安全问题也不断出现,比如云上安全部署困难、虚拟机逃逸、东西向安全防护、数据泄露、云平台安全审计难题等。
云安全和传统安全的最大区别是责任范围,传统安全是用户对自己的设备、程序、应用等资产的安全全权负责。
由于云计算的特性,云安全则需要用户和云服务商共同去维护安全,维护云计算的安全是两者的共同责任,共同责任模型也是云安全最大的一个特点。
共同责任模型概述了由云服务提供商或用户处理的安全要素。
责任范围因客户使用云的服务而异,根据组织使用的云服务提供商,职责分工将有所不同。
为充分解决云计算环境安全挑战,通常云计算服务商会从公有云和私有云两个场景下,针对云计算安全问题进行处理。
比如在公有云环境下,云计算安全服务商会提供安全软件、安全SAAS服务、安全产品、安全服务能力等。
而在私有云环境下,云计算安全服务商则会更多依赖于安全资源池的方式,通过帮助用户构建云安全资源池,来实现针对云计算环境的统一管理、弹性扩容、按需分配等为一体的云安全综合解决方案。
针对当前中国的云安全市场,在《Gartner中国云基础设施和平台服务市场指南》中,Gartner预测,2024年中国将有40%的最终用户在系统的基础设施和基础设施软件上的支出会转至云服务。
Gartner相信,云安全将成为中国安全和风险管理领导者最关键的任务之一。
Gartner还预测,到2024年利用云基础设施和编程性,改进云上工作负载的安全保护将展现出比传统数据中心更好的合规性,并减少至少60%的安全事件。
然而,由于云安全与传统的线下基础设施平台安全的不同,以及中国市场的独特性,对于如何做好云安全,企业也面临着诸多挑战。
企业面临的挑战主要体现在以下三个方面:
对云安全责任分担模型的理解和相关技能的缺失。
理解云安全和云安全提供商的安全责任分工是云安全成功的必要条件。云安全所需要的技能与传统的边界安全有所不同,企业相对能力的缺失,使云安全面临更大的挑战。
在选择云安全工具方面存在困难。
因为非中国的云服务提供商(CSP)和安全供应商在中国的技术可用性存在差距,而本地供应商则将重点放在私有云上,以避免与公共云提供商竞争。
缺乏对云服务提供商持续的风险评估。
许多中国企业没有对云服务提供商进行系统的风险评估,不同的云服务提供商存在不同的风险,因此缺少持续的风险评估会让企业的云上资产面临安全威胁。
可见,成功的云安全需要透彻地了解云安全的责任共享模型,安全、技术、工具部署以及对云服务提供商的风险评估都非常重要。
与其临场救火
不如防患于未然
与几百亿美元的云计算市场规模相比,云安全的投入比例仍然极小。
这意味着国内云安全市场有很大的发展潜力,随着上云企业快速增多,对云安全的需求将更为旺盛。
企业应该面对数字化浪潮下的云安全?“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。”
亚马逊云科技大中华区产品部总经理陈晓建表示,“与其去救火,我们更需要做的是防患于未然。”
亚马逊云科技大中华区产品部总经理陈晓建
陈晓建说,如果我们每天在全球范围内发生一起安全事故,客户会怎么去看这个行业?怎么去防止这些极小概率的事件发生?
极小概率的事件往往是由多种因素造成的,并不只是由一个因素引发,发现这些有可能发生的、极小的概率事件,这就是云安全要做的事情。
伴随快速增长的云计算市场,新出现的云安全趋势正影响着未来的云安全市场。
企业无论是选择公有云还是混合部署模式,云原生安全变得更加重要。云原生的安全能力和架构全面赋予云上资源和账户的资源自动伸缩、细粒度防护和全面数据加密等安全防护功能。
随着企业更多采用容器化部署、微服务应用模式等云原生方式,DevSecOps将得到越来越多企业的重视。
借助DevSecOps,客户就可以快速交付安全且合规的应用程序更改。
预计2022-2023年手动工作流将逐渐被企业淘汰,为实现大规模的自动监测和响应,企业会更加依赖云原生安全能力。
同时,人工智能持续提升云安全能力。
云环境下庞大和灵活的系统无法完全交由安全工程师来维护,大多数企业会逐渐开始依赖人工智能来增强其安全团队的建设和实践,人工智能技术也将被更深度地集成到云安全服务中。
采用人工智能技术不仅可以提高效率和准确性,而且能够减少网络安全领域工作人员持续短缺的影响。
在非常重要的身份和访问管理环节,加入人工智能将使身份和访问管理安全措施实现自动化和智能化,可以提高客户身份验证的安全性。
在实践中,机器学习在模拟攻击、数据分类、自动推理领域也得到很好的应用。
在云平台上使用人工智能技术,通过分析将任务委派给机器程序,可以更加准确地降低误报和告警,这样企业可以提前确定其最突出的风险领域并据此对资源进行优先级排序和自动化处理,安全团队也可以将精力集中在更关键或更复杂的威胁上。
其次,云服务商正在加快扩大安全合作伙伴社区。
在云计算的所有环节,云服务商同网络安全、主机与端点安全、应用安全、身份认证与访问控制、漏洞分析、数据保护与加密、威胁检测与事件分析、安全咨询、数据治理与风险合规评估、安全自动化运维等方面的合作伙伴广泛合作,以确保客户在云旅程的各个阶段均能获得高效、安全的服务。
在国内,随着越来越多IT运维厂商的入局,未来在国内云安全市场,将形成公有云服务提供商、IT运维厂商、安全厂商共掌局面的情况。
另外,全球化的安全和合规能力成为关注重点。
全球已经有132个国家和地区制定了数据保护和隐私相关的法律法规。
在中国,近几年陆续出台了《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》《关键信息基础设施安全保护条例》等法规,安全合规成为企业的重要任务。
随着各安全条例的逐步落地,各行业主管部门也将组织细化相关条例、指南、标准等,2022年,部分重点行业与云安全相关的保障措施有望进一步出台,金融、电子政务、制造、医疗等领域将成为云安全的重点行业。
作为全球云计算的头号玩家——亚马逊云科技持续在云安全领域投入,在保证云自身安全的同时,亚马逊云科技还提供280+安全、合规服务及功能供用户使用,用户可以使用这些来提升自身的安全水平,和提高合规的效率。
云安全道阻且长,前进路上需要硬实力比拼,难以一蹴而就。
其实,云安全应该像水和空气一样,不能简单用金钱来衡量其价值。只有给用户提供优质的水和空气,创造健康的环境,让客户更好的使用云计算去创造更多的价值,这才是云安全的最大价值。