“上云”一定是近些年来企业听到的最高频的一个词(之一),艾瑞咨询的数据显示,到2021年上半年,中国云服务市场整体规模便已达1620亿元,并且仍在以38.3%的速度快速增长,目前已有超三分之一的企业成功“上云”。
但是,许多公司意识到,虽然将应用程序和基础设施转移到云计算,可以在某些方面达到“降本增效”的宣传效果,但上了云后并不意味着数据安全可以一直高枕无忧,有数据表明,从2019至2020年,新增云计算通用组件漏洞增速便达到45.2%,这些漏洞随着云计算已走出互联网行业,正向更多传统行业加速渗透。
矛与盾是一体两面的,随着云计算安全问题日渐显现,作为“盾”的云安全也迎来快速发展期。与此同时,近年来,随着《网络安全法》、网络信息安全等级保护2.0、《数据安全法》的出台,企业们也加大了对云安全的投入,到2022年中国云安全市场的规模已增至127亿,增速更是高达45.1%,那么究竟什么是云安全?怎样才能保证云安全呢?
五位一体的云安全
云安全是传统信息安全行业技术的升级,产品的丰富,也是云计算部署的焦点,服务的关键。因此,云安全是云计算与信 息安全相互赋能所孵化的新概念。其一,云安全是云计算技术在安全领域的应用,即云安全应用。目的是利用云计算特征,将传统安全产品云化,来提供更能满足个人或行业需求的网络安全解决方案或安全服务。其二,云安全是安全技术在云计 算领域的应用,即云自身安全。目的是应用安全技术,解决云计算的安全问题,包括云基础设施安全,云计算资源安全,云计算操作系统安全,云计算应用软件安全,用户信息安全等,提升云服务的可靠性,促进云计算行业的健康良性可持续发展。
云计算与传统计算在理念与技术上存在显著差异,所以云安全与传统的网络安全是存在巨大差异的。在安全内容层面,云安全内容更加广泛,需要格外关注虚拟化技术带来的安全挑战(网络,存储,服务器虚拟化等),而传统网络安全的安全解决方案不用考虑虚拟机的安全;在安全规模上,云计算系统部署在包括大规模物理基础设施数据中心中,其复杂性使安全问题并不局限在单一设施,还可能是完整的系统安全。而传统网络安全的解决方案只需关注单机安全即可。
在安全边界层面,云计算的发展使云计算的应用场景不断拓展,产品界限不断模糊,安全解决方案往往不局限某一模块,而是根据用户需要提供解决方案,而传统的安全方案可以轻松的、清晰的划分出物理与程序的安全边边界;在安全技术领域,云自身安全技术需要考虑云计算的分布式计算与存储,网格式网络以及虚拟化与虚拟化管理平台等,而传统的安全方案主要关注安全软件技术和安全硬件技术面对安全风险,往往采用后期升级或者补丁的形式就能解决;最后在安全管理层面,云自身安全管理更为复杂,需要根据部署模式与服务模式差异进行调整,同时需要与租户及监管等多方配合,而传统的安全解决方案实施与管理相对简单清晰,安全管理往往是用户承担主要责任。
如何保障云安全
目前市面上的云安全产品的大致结构都差不多,即最底层为物理设施安全,其次为基础云资源安全,再其次是数据安全与网络安全,然后是应用及业务安全,最后是身份安全。
在基础云资源安全方面,云原生技术经过长足发展,已逐步被广泛应用,并逐步突破容器、微服务、DevOps等领域,开始形成更完整的云原生产品架构,云原生的应用在显著提升云计算产品能力的同时,也带来更为复杂的安全需求。那么如何保障云原生的安全呢?其一是针对云原生产品特性搭建防御体系,并利用云原生工具开发安全产品;其二是基于安全前置 理念,将安全能力与安全资源在软件开发中注入,并打通开发及运维各环节;其三是要依托“零信任 ”理念,打造适应动态灵活的安全安全模型。
在网络安全上,从传统网络安全时代,DDoS攻击便因为效果显著,难以抵御和追踪,成为黑客进行网络攻击的主要选择。伴随云计算的 普及,一方面云平台成为新的攻击对象,另一方面云也被利用作为扩大网络攻击效果的工具。面对以云平台为媒介发起的 DDoS攻击,传统抗D方式受限于资源性能,很难化解突发大流量攻击,而为抵御DDoS攻击而投入的设备和人员成本也非 常高昂。因此,在云计算时代,针对“云生”的网络安全风险,企业应该选择云上的安全工具应对,才能事半功倍。
在数据安全上,随着全球数字化进程加快,全球每年产生的数据呈几何倍增,在此背景下,单一数据安全产品很难有效解决数据安全问题,需要搭配多种数据安全工具,围绕数据生命周期各环节构建数据安全解决方案,才能有效降低数据安全风险。
而在应用和业务安全上,由于企业业务场景与业务需求耦合更为紧密,因此,有效的业务安全产品需要以深入理解业务场景为前提。此外,相比于其他“黑客”攻击更多是技术类风险,“黑产”更多是针对资源类的威胁。因此,针对企业上云后用户资源, 数据资源等更分散,需要更好地结合人工智能与大数据工具进行有效管理。最后在身份安全上,企业上云后将面对更多来自企业内部、外部不同类型的用户通过各种媒介对不同资源的访问需求。针对上述场景,IDaaS产品通过覆盖用户身份生命周期各个环节的统一身份管理,支持多种认证协议的统一认证能力,可有效帮助企业统一本地及云端的身份管理及多云间的身份管理,兼顾访问效率及访问安全的平衡。
但令人不安的是,当前许多有望提高云安全性的技术仍处于早期阶段,例如云安全最大盲点是缺乏可见性,无论是对企业公有云帐户中的数据和工作负载,还包括IT团队可见性之外配置的云应用程序,但目前这样痛点仍未得到很好的解决,所以云安全的边界到底在哪里现在无人得知。