防患于未然,云安全要像空氣和水一樣無處不在

科技云報道原創(chuàng)。

伴隨數(shù)字化浪潮席卷全球,企業(yè)在加速推進以云計算為核心的數(shù)字化轉(zhuǎn)型的同時,也帶來了有別于傳統(tǒng)安全的云上安全問題。

在云計算架構(gòu)下,云計算開放網(wǎng)絡(luò)和業(yè)務(wù)共享場景更加復(fù)雜多變,安全性方面的挑戰(zhàn)更加嚴(yán)峻,一些新型的安全問題變得突出,如何用云的方式去解決云上安全問題成為各行業(yè)的重要命題。

在企業(yè)數(shù)字化轉(zhuǎn)型的過程中,安全和合規(guī)是上云和用云的基石。

越來越多的企業(yè)認(rèn)識到構(gòu)建云安全戰(zhàn)略是一項持續(xù)性工作,需要有自上而下的頂層設(shè)計,要以安全為出發(fā)點構(gòu)建云上應(yīng)用。

數(shù)字化浪潮引發(fā)云端安全風(fēng)險

無論是傳統(tǒng)網(wǎng)絡(luò)環(huán)境還是云端環(huán)境,安全問題始終存在,比如SQL注入、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)頁篡改、漏洞攻擊等;

而另一方面,新的安全問題也不斷出現(xiàn),比如云上安全部署困難、虛擬機逃逸、東西向安全防護、數(shù)據(jù)泄露、云平臺安全審計難題等。

云安全和傳統(tǒng)安全的最大區(qū)別是責(zé)任范圍,傳統(tǒng)安全是用戶對自己的設(shè)備、程序、應(yīng)用等資產(chǎn)的安全全權(quán)負(fù)責(zé)。

由于云計算的特性,云安全則需要用戶和云服務(wù)商共同去維護安全,維護云計算的安全是兩者的共同責(zé)任,共同責(zé)任模型也是云安全最大的一個特點。

共同責(zé)任模型概述了由云服務(wù)提供商或用戶處理的安全要素。

責(zé)任范圍因客戶使用云的服務(wù)而異,根據(jù)組織使用的云服務(wù)提供商,職責(zé)分工將有所不同。

為充分解決云計算環(huán)境安全挑戰(zhàn),通常云計算服務(wù)商會從公有云和私有云兩個場景下,針對云計算安全問題進行處理。

比如在公有云環(huán)境下,云計算安全服務(wù)商會提供安全軟件、安全SAAS服務(wù)、安全產(chǎn)品、安全服務(wù)能力等。

而在私有云環(huán)境下,云計算安全服務(wù)商則會更多依賴于安全資源池的方式,通過幫助用戶構(gòu)建云安全資源池,來實現(xiàn)針對云計算環(huán)境的統(tǒng)一管理、彈性擴容、按需分配等為一體的云安全綜合解決方案。

針對當(dāng)前中國的云安全市場,在《Gartner中國云基礎(chǔ)設(shè)施和平臺服務(wù)市場指南》中,Gartner預(yù)測,2024年中國將有40%的最終用戶在系統(tǒng)的基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施軟件上的支出會轉(zhuǎn)至云服務(wù)。

Gartner相信,云安全將成為中國安全和風(fēng)險管理領(lǐng)導(dǎo)者最關(guān)鍵的任務(wù)之一。

Gartner還預(yù)測,到2024年利用云基礎(chǔ)設(shè)施和編程性,改進云上工作負(fù)載的安全保護將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性,并減少至少60%的安全事件。

然而,由于云安全與傳統(tǒng)的線下基礎(chǔ)設(shè)施平臺安全的不同,以及中國市場的獨特性,對于如何做好云安全,企業(yè)也面臨著諸多挑戰(zhàn)。

企業(yè)面臨的挑戰(zhàn)主要體現(xiàn)在以下三個方面:

對云安全責(zé)任分擔(dān)模型的理解和相關(guān)技能的缺失。

理解云安全和云安全提供商的安全責(zé)任分工是云安全成功的必要條件。云安全所需要的技能與傳統(tǒng)的邊界安全有所不同,企業(yè)相對能力的缺失,使云安全面臨更大的挑戰(zhàn)。

在選擇云安全工具方面存在困難。

因為非中國的云服務(wù)提供商(CSP)和安全供應(yīng)商在中國的技術(shù)可用性存在差距,而本地供應(yīng)商則將重點放在私有云上,以避免與公共云提供商競爭。

缺乏對云服務(wù)提供商持續(xù)的風(fēng)險評估。

許多中國企業(yè)沒有對云服務(wù)提供商進行系統(tǒng)的風(fēng)險評估,不同的云服務(wù)提供商存在不同的風(fēng)險,因此缺少持續(xù)的風(fēng)險評估會讓企業(yè)的云上資產(chǎn)面臨安全威脅。

可見,成功的云安全需要透徹地了解云安全的責(zé)任共享模型,安全、技術(shù)、工具部署以及對云服務(wù)提供商的風(fēng)險評估都非常重要。

與其臨場救火,不如防患于未然

與幾百億美元的云計算市場規(guī)模相比,云安全的投入比例仍然極小。

這意味著國內(nèi)云安全市場有很大的發(fā)展?jié)摿ΓS著上云企業(yè)快速增多,對云安全的需求將更為旺盛。

企業(yè)應(yīng)該面對數(shù)字化浪潮下的云安全?“云上安全的態(tài)勢時刻變化,日新月異,我們必須進行前瞻性的思考,保持敏銳的洞察,源源不斷為客戶提供像水和空氣一樣無處不在的安全防護?!?/p>

亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建表示,“與其去救火,我們更需要做的是防患于未然?!?/p>

亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建

陳曉建說,如果我們每天在全球范圍內(nèi)發(fā)生一起安全事故,客戶會怎么去看這個行業(yè)?怎么去防止這些極小概率的事件發(fā)生?

極小概率的事件往往是由多種因素造成的,并不只是由一個因素引發(fā),發(fā)現(xiàn)這些有可能發(fā)生的、極小的概率事件,這就是云安全要做的事情。

伴隨快速增長的云計算市場,新出現(xiàn)的云安全趨勢正影響著未來的云安全市場。

企業(yè)無論是選擇公有云還是混合部署模式,云原生安全變得更加重要。云原生的安全能力和架構(gòu)全面賦予云上資源和賬戶的資源自動伸縮、細(xì)粒度防護和全面數(shù)據(jù)加密等安全防護功能。

隨著企業(yè)更多采用容器化部署、微服務(wù)應(yīng)用模式等云原生方式,DevSecOps將得到越來越多企業(yè)的重視。

借助DevSecOps,客戶就可以快速交付安全且合規(guī)的應(yīng)用程序更改。

預(yù)計2022-2023年手動工作流將逐漸被企業(yè)淘汰,為實現(xiàn)大規(guī)模的自動監(jiān)測和響應(yīng),企業(yè)會更加依賴云原生安全能力。

同時,人工智能持續(xù)提升云安全能力。

云環(huán)境下龐大和靈活的系統(tǒng)無法完全交由安全工程師來維護,大多數(shù)企業(yè)會逐漸開始依賴人工智能來增強其安全團隊的建設(shè)和實踐,人工智能技術(shù)也將被更深度地集成到云安全服務(wù)中。

采用人工智能技術(shù)不僅可以提高效率和準(zhǔn)確性,而且能夠減少網(wǎng)絡(luò)安全領(lǐng)域工作人員持續(xù)短缺的影響。

在非常重要的身份和訪問管理環(huán)節(jié),加入人工智能將使身份和訪問管理安全措施實現(xiàn)自動化和智能化,可以提高客戶身份驗證的安全性。

在實踐中,機器學(xué)習(xí)在模擬攻擊、數(shù)據(jù)分類、自動推理領(lǐng)域也得到很好的應(yīng)用。

在云平臺上使用人工智能技術(shù),通過分析將任務(wù)委派給機器程序,可以更加準(zhǔn)確地降低誤報和告警,這樣企業(yè)可以提前確定其最突出的風(fēng)險領(lǐng)域并據(jù)此對資源進行優(yōu)先級排序和自動化處理,安全團隊也可以將精力集中在更關(guān)鍵或更復(fù)雜的威脅上。

其次,云服務(wù)商正在加快擴大安全合作伙伴社區(qū)。

在云計算的所有環(huán)節(jié),云服務(wù)商同網(wǎng)絡(luò)安全、主機與端點安全、應(yīng)用安全、身份認(rèn)證與訪問控制、漏洞分析、數(shù)據(jù)保護與加密、威脅檢測與事件分析、安全咨詢、數(shù)據(jù)治理與風(fēng)險合規(guī)評估、安全自動化運維等方面的合作伙伴廣泛合作,以確??蛻粼谠坡贸痰母鱾€階段均能獲得高效、安全的服務(wù)。

在國內(nèi),隨著越來越多IT運維廠商的入局,未來在國內(nèi)云安全市場,將形成公有云服務(wù)提供商、IT運維廠商、安全廠商共掌局面的情況。

另外,全球化的安全和合規(guī)能力成為關(guān)注重點。

全球已經(jīng)有132個國家和地區(qū)制定了數(shù)據(jù)保護和隱私相關(guān)的法律法規(guī)。

在中國,近幾年陸續(xù)出臺了《數(shù)據(jù)安全法》《個人信息保護法》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法規(guī),安全合規(guī)成為企業(yè)的重要任務(wù)。

隨著各安全條例的逐步落地,各行業(yè)主管部門也將組織細(xì)化相關(guān)條例、指南、標(biāo)準(zhǔn)等,2022年,部分重點行業(yè)與云安全相關(guān)的保障措施有望進一步出臺,金融、電子政務(wù)、制造、醫(yī)療等領(lǐng)域?qū)⒊蔀樵瓢踩闹攸c行業(yè)。

作為全球云計算的頭號玩家——亞馬遜云科技持續(xù)在云安全領(lǐng)域投入,在保證云自身安全的同時,亞馬遜云科技還提供280+安全、合規(guī)服務(wù)及功能供用戶使用,用戶可以使用這些來提升自身的安全水平,和提高合規(guī)的效率。

云安全道阻且長,前進路上需要硬實力比拼,難以一蹴而就。

其實,云安全應(yīng)該像水和空氣一樣,不能簡單用金錢來衡量其價值。只有給用戶提供優(yōu)質(zhì)的水和空氣,創(chuàng)造健康的環(huán)境,讓客戶更好的使用云計算去創(chuàng)造更多的價值,這才是云安全的最大價值。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-09-13
防患于未然,云安全要像空氣和水一樣無處不在
防患于未然,云安全要像空氣和水一樣無處不在

長按掃碼 閱讀全文