過(guò)去十年,全球公有云市場(chǎng)規(guī)模增長(zhǎng)了5.4倍,中國(guó)云計(jì)算市場(chǎng)增長(zhǎng)了十幾倍,在云計(jì)算快速發(fā)展的過(guò)程中,與云計(jì)算相伴而生的云安全市場(chǎng)卻沒(méi)有得到同步的發(fā)展。
以前企業(yè)對(duì)于云安全可能不夠了解,由于缺少與云環(huán)境相匹配的安全防御體系,許多行業(yè)的核心數(shù)據(jù)和用戶隱私面臨很大的暴露風(fēng)險(xiǎn)。近幾年云端攻擊事件爆發(fā)得越來(lái)越頻繁,給企業(yè)造成的損失呈幾何倍數(shù)增長(zhǎng),云安全已逐漸成為企業(yè)IT建設(shè)中非常關(guān)注的話題。
那么,在過(guò)去一年中,云安全在國(guó)內(nèi)的發(fā)展形勢(shì)是否發(fā)生了變化?云安全建設(shè)是否真正被提上企業(yè)議程?企業(yè)在云安全建設(shè)過(guò)程中又存在哪些問(wèn)題?此次科技云報(bào)道專訪360企業(yè)安全集團(tuán)云安全事業(yè)部總經(jīng)理劉浩,就企業(yè)云安全建設(shè)落地情況及面臨的挑戰(zhàn)進(jìn)行了交流。
360企業(yè)安全集團(tuán)云安全事業(yè)部總經(jīng)理劉浩
云安全觀念從無(wú)到有,但企業(yè)依然存在困惑
近年來(lái),在國(guó)家政策引導(dǎo)及合規(guī)需求拉動(dòng)下,各行業(yè)正在加速業(yè)務(wù)上云落地。劉浩表示,在這種大背景下,國(guó)內(nèi)大多數(shù)企業(yè)對(duì)云安全有了從無(wú)到有的認(rèn)識(shí),在云安全方面的預(yù)算也有了大幅提升。
“2016-2017年,我們?nèi)ズ推髽I(yè)講云安全,先要和企業(yè)聊什么是云計(jì)算,那時(shí)候很多企業(yè)的業(yè)務(wù)都還沒(méi)有上云,云概念還不清楚,就更不用提云安全是什么了。從2018年開始,我們明顯感覺到這種狀況有了很大的改變,很多企業(yè)主動(dòng)來(lái)找我們聊云安全。”
劉浩表示,各行各業(yè)在云安全建設(shè)方面發(fā)展都很迅猛,對(duì)云安全的理解和實(shí)踐有了很大提升。比如說(shuō)金融、運(yùn)營(yíng)商和政府,以不同行業(yè)屬性的安全需求構(gòu)建的在云安全體系思想已然非常成熟。
在運(yùn)營(yíng)商行業(yè),因SDN/NFV等技術(shù)發(fā)展、移動(dòng)互聯(lián)網(wǎng)發(fā)展、大數(shù)據(jù)的應(yīng)用深化等給通信產(chǎn)業(yè)鏈帶來(lái)了巨大變革,云計(jì)落地最早最充分,在其發(fā)展過(guò)程中積累了大量云安全訴求,也經(jīng)歷了大量的云安全實(shí)踐。
在金融機(jī)構(gòu),技術(shù)向來(lái)是重要的驅(qū)動(dòng)力,移動(dòng)互聯(lián)網(wǎng)的發(fā)展為傳統(tǒng)金融行業(yè)開創(chuàng)了嶄新的業(yè)務(wù)模式。同時(shí),金融行業(yè)是監(jiān)管機(jī)構(gòu)的重點(diǎn)看護(hù)區(qū),其數(shù)據(jù)敏感性遠(yuǎn)高于其他行業(yè),所以云安全的理解和實(shí)踐水平都更高。
在政府機(jī)構(gòu),由于國(guó)家政策的大力推動(dòng),政務(wù)云建設(shè)較之其他行業(yè)推進(jìn)得更加迅速和徹底。政務(wù)云提供的是關(guān)系國(guó)計(jì)民生的政務(wù)服務(wù),同時(shí)也涉及到國(guó)家信息安全,因此政務(wù)云對(duì)安全極為重視,從原先滿足合規(guī)要求走向了如今對(duì)安全的整體規(guī)劃,在安全建設(shè)上有了質(zhì)的飛躍。
劉浩認(rèn)為,雖然國(guó)內(nèi)云安全的發(fā)展整體走勢(shì)向好,但是很多企業(yè)對(duì)云安全的認(rèn)識(shí)還存在誤區(qū),例如:合規(guī)通過(guò)就能證明安全,云基礎(chǔ)架構(gòu)邊界上了安全防護(hù)設(shè)備云內(nèi)部就是安全的......與此同時(shí),企業(yè)在云安全建設(shè)上充滿了“迷茫”。
一方面,企業(yè)面對(duì)云計(jì)算龐大而復(fù)雜的系統(tǒng),不知道該怎么做云安全,也沒(méi)有專業(yè)的云安全團(tuán)隊(duì)來(lái)運(yùn)營(yíng)。由于云計(jì)算系統(tǒng)涉及計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)各方面技術(shù),再加上業(yè)務(wù)的多元化,云安全成為一個(gè)涉及多種技術(shù)手段、多種業(yè)務(wù)場(chǎng)景、多種應(yīng)用模式的多元化集中業(yè)務(wù)安全領(lǐng)域。
另一方面,企業(yè)從以前的自建機(jī)房、系統(tǒng)、應(yīng)用到半托管或全托管理式,控制權(quán)發(fā)生根本改變,客戶從意識(shí)上還尚未完全接受控制權(quán)轉(zhuǎn)移所帶來(lái)的“不安全感”。傳統(tǒng)模式下,按照誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)的原則,信息安全責(zé)任相對(duì)清楚。在云計(jì)算模式下,云計(jì)算平臺(tái)的管理和運(yùn)行主體與數(shù)據(jù)安全的責(zé)任主體不同,安全責(zé)任該如何界定?
倒轉(zhuǎn)思路
從頂層到執(zhí)行構(gòu)建云安全
針對(duì)企業(yè)在云安全建設(shè)方面的困惑,劉浩認(rèn)為,企業(yè)首先需要梳理清楚自身的安全訴求,是基于政策牽引、合規(guī)拉動(dòng),還是出于特定的安全功能需要,立足自身需求再參考行業(yè)內(nèi)、領(lǐng)域內(nèi)的優(yōu)秀安全實(shí)踐,循序漸進(jìn)完善整體安全體系。
“過(guò)去企業(yè)大多是有多少預(yù)算就做多少安全,合規(guī)要求多少就做多少,方案怎么寫就做什么,想到什么就做什么,并沒(méi)有深刻考慮做安全是為了什么,自己所處的行業(yè)、領(lǐng)域、生產(chǎn)屬性需要怎樣的安全。”
劉浩表示,現(xiàn)在安全建設(shè)從合規(guī)要求走向了實(shí)際需求,“全面以結(jié)果為導(dǎo)向”成為云安全的核心理念,企業(yè)應(yīng)該倒轉(zhuǎn)思路,從“零”開始,重新審視云安全。
360企業(yè)安全根據(jù)過(guò)去豐富的建云經(jīng)驗(yàn)及眾多成功云安全實(shí)踐,認(rèn)為構(gòu)建云安全建設(shè)全命周期的理念體系,從頂層到執(zhí)行主要分為4個(gè)步驟:
頂層設(shè)計(jì):從事后修補(bǔ)到全局視角的頂層設(shè)計(jì)。前瞻布局,至上而下、目標(biāo)明確;
系統(tǒng)規(guī)劃:從單一防護(hù)到整體協(xié)防的系統(tǒng)規(guī)劃。統(tǒng)籌規(guī)劃、拉通考慮、計(jì)劃明確;
疊加建設(shè):面向新技術(shù)新趨勢(shì)的疊加建設(shè)路線。緊跟新理念、擁抱新技術(shù)、建設(shè)新思路;
協(xié)同運(yùn)營(yíng):安全能力、安全服務(wù)協(xié)同的運(yùn)營(yíng)思路。以人為本、能力附加、協(xié)同運(yùn)營(yíng)。
對(duì)此,劉浩舉了一個(gè)例子,“這就好比裝修房子,承重墻已經(jīng)做好了,再想改房屋結(jié)構(gòu)就來(lái)不及了,只能根據(jù)已有的結(jié)構(gòu)做一些貼片式的裝修。在安全建設(shè)里,我們把這種事后打補(bǔ)丁的安全方式叫做‘創(chuàng)可貼式安全’,效果肯定不如從一開始就做好整體規(guī)劃、原生的安全系統(tǒng)好。”
針對(duì)云安全頂層設(shè)計(jì),劉浩進(jìn)一步解釋需要從四個(gè)技術(shù)思路進(jìn)行規(guī)劃:
零信任
零信任的策略就是默認(rèn)不相信任何人、任何設(shè)備。在云環(huán)境中,企業(yè)的工作負(fù)載會(huì)在不同的云環(huán)境中遷移,業(yè)務(wù)邊界的概念已不再存在。基于零信任的策略,對(duì)工作負(fù)載構(gòu)建一個(gè)微隔離環(huán)境,對(duì)云環(huán)境中東西向、南北向流量實(shí)現(xiàn)完整的安全防護(hù)。
數(shù)據(jù)驅(qū)動(dòng)安全
圍墻式、塔防式安全防護(hù)方式都已過(guò)時(shí),基于數(shù)據(jù)驅(qū)動(dòng)的協(xié)同聯(lián)動(dòng)防御是未來(lái)方向。例如,360企業(yè)安全云安全基于底層云平臺(tái)實(shí)現(xiàn)安全NFV組件的生命周期管理,實(shí)現(xiàn)運(yùn)維數(shù)據(jù)全量記錄,對(duì)不同來(lái)源、不同維度的安全數(shù)據(jù)進(jìn)行快速匯集,深度關(guān)聯(lián),自動(dòng)化的高級(jí)智能分析,并與云端威脅情報(bào)相結(jié)合,實(shí)現(xiàn)快速發(fā)現(xiàn)、精準(zhǔn)定位和攻擊溯源。
“三位一體”網(wǎng)絡(luò)安全體系
從能力維度構(gòu)建了低位、中位、高位“三位能力”系統(tǒng),建立協(xié)同聯(lián)動(dòng)的云安全運(yùn)營(yíng)體系。低位能力是傳統(tǒng)的安全防御能力,即通過(guò)端類產(chǎn)品,或者一個(gè)個(gè)安全組件實(shí)現(xiàn)單一功能的安全防護(hù)并完成數(shù)據(jù)的生產(chǎn)和采集。中位能力包含了態(tài)勢(shì)感知、應(yīng)急響應(yīng)等能力,是對(duì)海量數(shù)據(jù)的建模與分析能力。高位能力是云端威脅與分析能力,對(duì)中位和低位提供支撐和決策。
云安全常態(tài)化運(yùn)營(yíng)
在云平臺(tái)的生命周期中,大規(guī)模建設(shè)通常時(shí)間較短,而云安全運(yùn)營(yíng)卻是一個(gè)長(zhǎng)期的過(guò)程。運(yùn)營(yíng)如何能做到統(tǒng)一、完整、及時(shí),需要從多方面考慮。比如,安全運(yùn)維包括資產(chǎn)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理等。常態(tài)化安全運(yùn)營(yíng)需要覆蓋安全運(yùn)維、威脅發(fā)現(xiàn)、持續(xù)監(jiān)測(cè)問(wèn)題溯源及聯(lián)動(dòng)控制等幾個(gè)方面。
光靠技術(shù)還不夠
“人機(jī)協(xié)同”提供云安全服務(wù)
當(dāng)企業(yè)在關(guān)注云安全建設(shè)時(shí),大多數(shù)會(huì)把目光放在外部的網(wǎng)絡(luò)攻擊和威脅上,然而,一個(gè)被忽略的因素卻造成了云安全事故頻發(fā)。Gartner曾預(yù)測(cè),截止2020年,95%的云安全故障都是由于用戶過(guò)錯(cuò)造成的。最新的《2018年Netwrix云安全報(bào)告》支持這一預(yù)測(cè),指出2017年58%的安全事件都是員工的責(zé)任。
這個(gè)令人意外的發(fā)現(xiàn),將云安全的潛在威脅指向了企業(yè)內(nèi)部。
“有沒(méi)有想過(guò),為什么企業(yè)部署了這么多安全產(chǎn)品,依然會(huì)時(shí)不時(shí)中招病毒?”劉浩問(wèn)道。“不是安全產(chǎn)品技術(shù)不過(guò)關(guān),而是安全的本質(zhì),不是光靠技術(shù)就可以解決的,‘人’才是安全運(yùn)營(yíng)的核心。完全靠自動(dòng)化運(yùn)營(yíng),或者完全靠人力運(yùn)營(yíng)都不行,人+技術(shù)才是安全的解決之道。”
劉浩告訴記者,360企業(yè)安全的數(shù)據(jù)驅(qū)動(dòng)安全理念除了構(gòu)建基于大數(shù)據(jù)的云端安全能力平臺(tái),增加以人為核心的安全運(yùn)營(yíng)機(jī)制。“人機(jī)協(xié)同非常重要,云端安全能力、數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)品協(xié)同、以人為核心的安全運(yùn)營(yíng),三個(gè)組成一個(gè)閉環(huán),真正達(dá)成構(gòu)建積極防御的完善能力體系。”
目前,360企業(yè)安全已擁有業(yè)內(nèi)最龐大的安全服務(wù)團(tuán)隊(duì),以“人機(jī)協(xié)同”的方式提供云安全服務(wù)。
對(duì)于大中型企業(yè)客戶,提供云安全整體規(guī)劃及產(chǎn)品部署,并配合駐場(chǎng)工程師來(lái)解決運(yùn)營(yíng)問(wèn)題。這是因?yàn)槠髽I(yè)規(guī)模大,涉及多種IT基礎(chǔ)架構(gòu)及復(fù)雜的業(yè)務(wù)系統(tǒng),比如:有的企業(yè)是為全新的云數(shù)據(jù)中心規(guī)劃業(yè)務(wù)安全,有的是在傳統(tǒng)數(shù)據(jù)中心和新建的私有云基礎(chǔ)上規(guī)劃安全,這就導(dǎo)致安全建設(shè)不僅僅是安全體系的規(guī)劃,甚至?xí)婕暗狡髽I(yè)部分業(yè)務(wù)制度的改造,人在安全設(shè)計(jì)和運(yùn)營(yíng)中發(fā)揮著極為重要的作用。
對(duì)于小微型企業(yè)客戶,由于大多數(shù)使用云化的安全產(chǎn)品,通過(guò)一個(gè)工程師即可在云端解決多個(gè)企業(yè)客戶的問(wèn)題。同時(shí),360在云端具備強(qiáng)大的情報(bào)收集及生產(chǎn)能力,擁有全球最大的樣本庫(kù),可以在云端為企業(yè)推送實(shí)時(shí)的安全策略,將“人機(jī)協(xié)同”的服務(wù)模式大規(guī)模落地。
2018年國(guó)內(nèi)云計(jì)算市場(chǎng)發(fā)展迅猛,云安全市場(chǎng)同樣水漲船高,整體安全訴求由合規(guī)牽引向安全有效轉(zhuǎn)化,推動(dòng)著云安全技術(shù)向縱深發(fā)展,云安全業(yè)務(wù)形態(tài)逐漸從“云采用”向“云原生”過(guò)渡。在云安全新一輪的爆發(fā)式增長(zhǎng)下,相信常態(tài)化的云安全也將成為企業(yè)的“標(biāo)配”。
本文來(lái)源:科技云頻道
本文作者:360企業(yè)安全集團(tuán)云安全事業(yè)部總經(jīng)理 劉浩
