近年來,隨著云計(jì)算在企業(yè)數(shù)字化轉(zhuǎn)型過程中扮演越來越重要角色,相關(guān)企業(yè)不斷加大基礎(chǔ)設(shè)施投入,市場(chǎng)需求旺盛。在政府推動(dòng)和市場(chǎng)需求雙重影響下,云計(jì)算產(chǎn)業(yè)在我國也迎來了加速發(fā)展。
據(jù)中國信息通信研究院發(fā)布的《云計(jì)算報(bào)告2021》顯示,2020年,我國公有云SaaS市場(chǎng)規(guī)模達(dá)到278億元,較2019年增長(zhǎng)了43.1%,SaaS市場(chǎng)有望在未來幾年迎來增長(zhǎng)高峰;公有云PaaS市場(chǎng)規(guī)模突破100億元,與去年相比提升了145.3%,隨著數(shù)據(jù)庫、中間件、微服務(wù)等服務(wù)的日益成熟,PaaS市場(chǎng)仍將保持較高的增速;公有云laaS市場(chǎng)規(guī)模比2019年增長(zhǎng)了97.8%。
廠商市場(chǎng)份額方面,據(jù)統(tǒng)計(jì),2020年,阿里云、天翼云、騰訊云、華為云、移動(dòng)云占據(jù)公有云laaS市場(chǎng)份額前五;公有云PaaS方面,阿里云、騰訊云、百度云、華為云位于市場(chǎng)前列。人“云”亦“云”的時(shí)代,云計(jì)算驅(qū)動(dòng)產(chǎn)業(yè)升級(jí)的同時(shí),更為嚴(yán)峻的安全威脅和挑戰(zhàn)也逐漸進(jìn)入人們的視野。前幾年,云服務(wù)出現(xiàn)了很多安全事故。比如,谷歌在2009年三月份泄露了大量的文檔;微軟的Azure平臺(tái)宕機(jī)22小時(shí);2011的四月份,亞馬遜的EC2服務(wù)崩潰,影響甚大等等。
雖然相關(guān)安全事故還沒有到?jīng)Q堤釋放的程度,但將為數(shù)字化發(fā)展造成嚴(yán)重的影響。阿里、騰訊、百度、京東、360......如今,云計(jì)算這條賽道可以說是百舸爭(zhēng)流,這樣的環(huán)境下,如何打造“安全的云”,如何在“萬云匯聚”的當(dāng)下建立起云上網(wǎng)絡(luò)安全的“第一道防線”,顯得尤為重要。
01、信任危機(jī)
數(shù)字化云計(jì)算往往被一眾業(yè)內(nèi)人士稱為數(shù)字化轉(zhuǎn)型的基石和樞紐。一方面,以云計(jì)算技術(shù)為承載,融合多種數(shù)字技術(shù)打造數(shù)字基礎(chǔ)設(shè)施一體化云平臺(tái),賦能各行業(yè)企業(yè)、各業(yè)務(wù)板塊轉(zhuǎn)型發(fā)展,滿足海量多樣化客戶群體的個(gè)性化需求;另一方面,針對(duì)企業(yè)通用業(yè)務(wù)單元管理系統(tǒng)、核心業(yè)務(wù)系統(tǒng),深入運(yùn)用云計(jì)算技術(shù)對(duì)業(yè)務(wù)應(yīng)用底層資源進(jìn)行有效整合,實(shí)現(xiàn)應(yīng)用系統(tǒng)的集成融合,打破業(yè)務(wù)單元之間壁壘,完成業(yè)務(wù)單元間協(xié)同共享。
尤其在2021年,無論是華為云換帥,騰訊云全力加碼云計(jì)算,阿里云發(fā)力云+AlOT,還是京東對(duì)云與AI業(yè)務(wù)的戰(zhàn)略調(diào)整,都在說明一個(gè)問題,云業(yè)務(wù)已經(jīng)成為互聯(lián)網(wǎng)發(fā)展的重中之重。
不過,隨著云計(jì)算的普及和升級(jí),傳統(tǒng)的一些防御機(jī)制已經(jīng)失效,需要引入新的安全措施。尤其是,IT架構(gòu)從以傳統(tǒng)數(shù)據(jù)中心為核心向以云計(jì)算為承載的數(shù)字基礎(chǔ)設(shè)施轉(zhuǎn)變,多云、混合云成為主要形態(tài),以數(shù)據(jù)中心內(nèi)部和外部進(jìn)行劃分的安全邊界被打破,整個(gè)行業(yè)面臨更多信任危機(jī)。
一位云計(jì)算行業(yè)專家表示,云環(huán)境中的信任很大程度上依賴于所選的部署模型,因?yàn)閿?shù)據(jù)和應(yīng)用的管理是外包的或則委托的,所以他們并不被擁有者嚴(yán)格控制。傳統(tǒng)架構(gòu)中,信任是通過有效的安全規(guī)則來強(qiáng)制實(shí)施的。公有云和社區(qū)云中,控制權(quán)被委托給了擁有基礎(chǔ)設(shè)施的組織。當(dāng)部署一個(gè)公有云的時(shí)候,基礎(chǔ)設(shè)施擁有者的控制權(quán)被削弱,這樣是為了強(qiáng)制實(shí)施有效的安全政策,從而讓危險(xiǎn)降低。這就引入了一系列威脅,因?yàn)樵品?wù)基礎(chǔ)設(shè)備提供商是否值得信任關(guān)系到整個(gè)云中數(shù)據(jù)的安全。
當(dāng)然,私有云的基礎(chǔ)設(shè)施被一個(gè)私有組織承諾來管理和操作,這不會(huì)引入一些額外的安全問題,因?yàn)榛A(chǔ)設(shè)施擁有者同時(shí)也是數(shù)據(jù)和流程負(fù)責(zé)人。最重要的是,云環(huán)境使得邊界安全的觀點(diǎn)不再適用。在一個(gè)云計(jì)算模型中,什么人在什么地方獲取什么樣的數(shù)據(jù)這些都很難被確切定位,傳統(tǒng)的基于劃分邊界來保證整個(gè)架構(gòu)安全的方法也很難在云計(jì)算中實(shí)施。
為了應(yīng)對(duì)云計(jì)算信任危機(jī)帶來的安全問題,零信任與原生安全深入融合,成為一眾企業(yè)的“守塔攻城”的手段。
02、“零信任”防御
從收入組成來看,拼多多目前依然是在線營銷服務(wù)及其他的收入為主要收入來源,二季度營收180.804億元,同比增長(zhǎng)64%,在總營收中占比達(dá)78%,而上一季度占比為64%。
“零信任”的故事可以從2013年說起。“斯諾登事件”后,時(shí)任Forrester分析師的JohnKindervag提出了“零信任”解決方案。所謂零信任的核心是不再區(qū)分內(nèi)外網(wǎng),認(rèn)為內(nèi)網(wǎng)也是不安全的,所有的訪問都需要經(jīng)過認(rèn)證和授權(quán),這對(duì)防止組織東西向流量安全起到保護(hù)作用。
簡(jiǎn)單來說,我們不能僅因?yàn)槟硞€(gè)系統(tǒng)位于防火墻后面就直接信任它。相反,應(yīng)該在安全性方面采取悲觀觀點(diǎn),首先假定任何計(jì)算機(jī)、用戶和服務(wù)器都不可信,除非事實(shí)證明并非如此。
那么又該如何證明?答案是強(qiáng)身份驗(yàn)證和授權(quán),并且在建立信任之前不進(jìn)行任何數(shù)據(jù)傳輸操作。此外還應(yīng)通過分析、篩選和日志記錄等措施來驗(yàn)證所有行為的正確性,并持續(xù)觀察是否存在代表威脅的信號(hào)。
零信任的互聯(lián)互通特征,取代了傳統(tǒng)彼此隔離的物理空間,是產(chǎn)業(yè)數(shù)字化和萬物互聯(lián)健壯發(fā)展必須要面對(duì)的技術(shù)路徑。尤其隨著如今全球數(shù)字化和萬物互聯(lián)的加速,物理空間的邊界徹底被打破,以“零信任”理念重構(gòu)防御體系勢(shì)在必行。
從具體實(shí)踐來看,騰訊云、阿里云、華為云等都在加速布局,并且已經(jīng)取得了一定的成效。騰訊從2016年開始在內(nèi)部實(shí)踐落地自主設(shè)計(jì)、研發(fā)的零信任安全管理系統(tǒng)——騰訊iOA。疫情期間,這套系統(tǒng)為自身超過7萬名員工和10萬臺(tái)服務(wù)終端的跨境、跨城遠(yuǎn)程辦公提供了安全護(hù)航。從效果來看,這套系統(tǒng)兼具云端業(yè)務(wù)與所有終端的安全、高效連接,在確保企業(yè)業(yè)務(wù)安全的同時(shí),保證辦公效率。
現(xiàn)在,騰訊的零信任安全解決方案已經(jīng)對(duì)外開放,廣泛應(yīng)用到政務(wù)、銀行、制造等眾多行業(yè)領(lǐng)域。除了推動(dòng)零信任架構(gòu)落地和產(chǎn)業(yè)實(shí)踐外,騰訊還攜手國際國內(nèi)機(jī)構(gòu)、企業(yè)伙伴,共同推進(jìn)零信任相關(guān)標(biāo)準(zhǔn)的制定,主導(dǎo)了國際上首個(gè)零信任安全技術(shù)標(biāo)準(zhǔn),參與CCSA、ITU-T等零信任標(biāo)準(zhǔn)框架的立項(xiàng),發(fā)起成立了國內(nèi)首個(gè)零信任標(biāo)準(zhǔn)工作組,參與發(fā)布了大量零信任相關(guān)的技術(shù)規(guī)范。
阿里云通過“云原生SASE解決方案”,將核心原生安全能力與網(wǎng)絡(luò)能力融合,為云上用戶提供了一個(gè)基于阿里云基礎(chǔ)架構(gòu)的SaaS化安全服務(wù)平臺(tái)。該方案基于云的天生動(dòng)態(tài)擴(kuò)展能力,支持安全防護(hù)能力實(shí)時(shí)敏捷、彈性伸縮,安全訪問服務(wù)邊緣,這種架構(gòu)依托阿里云遍布全國的數(shù)據(jù)中心和邊緣計(jì)算節(jié)點(diǎn),實(shí)現(xiàn)網(wǎng)絡(luò)就近接入,降低延時(shí),確保安全效果;更基于阿里云身份認(rèn)證服務(wù),構(gòu)建全新零信任訪問架構(gòu),極大降低內(nèi)部資產(chǎn)和系統(tǒng)暴露面,打造更安全辦公體系。
阿里云想通過原生SASE解決方案給用戶提供的是一個(gè)統(tǒng)一安全管理能力,不僅僅覆蓋云上資產(chǎn)和應(yīng)用的安全,也可以更好的管理企業(yè)辦公網(wǎng)的安全。
華為的零信任安全解決方案旨在為用戶搭建一個(gè)“持續(xù)驗(yàn)證,動(dòng)態(tài)授權(quán),全局防御”的信任網(wǎng)絡(luò),幫助企業(yè)在數(shù)字化轉(zhuǎn)型過程中解決傳統(tǒng)安全架構(gòu)難以解決的問題。他們給這套系統(tǒng)取名為“HiSec”。基于零信任理念,依托云原生安全能力,對(duì)網(wǎng)絡(luò)隱身、自適應(yīng)風(fēng)險(xiǎn)控制等關(guān)鍵技術(shù)進(jìn)行創(chuàng)新,在安全運(yùn)維、遠(yuǎn)程接入等眾多場(chǎng)景進(jìn)行大量實(shí)踐,華為云應(yīng)用信任中心(ApplicationTrustCenter,簡(jiǎn)稱ATC)服務(wù)也正式面世,幫助企業(yè)抵御外部攻擊和防止內(nèi)部違規(guī)操作,通過構(gòu)建應(yīng)用安全威脅全景拓?fù)洌瑢?shí)現(xiàn)細(xì)粒度訪問控制,滿足客戶對(duì)零信任訪問控制能力的需求。
未來,零信任與云與云原生深度融合將成為一種趨勢(shì)。除了騰旭、阿里、華為等巨頭的云業(yè)務(wù)加速升級(jí),天融信、薔薇靈動(dòng)等小眾玩家的安全產(chǎn)品也初具生態(tài)。不過業(yè)內(nèi)人士表示,當(dāng)下,這條賽道留給小玩家的機(jī)會(huì)會(huì)越來越少,不論是企業(yè)規(guī)模還是市場(chǎng)空間,京東、阿里、騰訊、華為都各自占了一塊蛋糕,小玩家很難有大的突破。但是,云計(jì)算打破了傳統(tǒng)的網(wǎng)絡(luò)防護(hù)邊界,一家企業(yè)或機(jī)構(gòu)的安全規(guī)劃與建設(shè),很難由單一一家安全企業(yè)提供完整技術(shù)能力來解決。伴隨產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展,以及增量安全需求的復(fù)雜性,加快安全生態(tài)協(xié)同共建也將是大勢(shì)所趨。
當(dāng)然,零信任是一個(gè)演進(jìn)式的框架,而不是革命性的方法,需要長(zhǎng)期堅(jiān)守,不斷維護(hù)。
