云安全的新戰(zhàn)場上，如何打破“云威脅”的陰霾？

科技云報道原創(chuàng)。

近年來，在云計算和網(wǎng)絡(luò)安全產(chǎn)業(yè)的蓬勃發(fā)展下，我國云安全行業(yè)市場規(guī)模呈現(xiàn)高速增長態(tài)勢，在網(wǎng)絡(luò)安全市場總體規(guī)模中占比不斷上升。

據(jù)統(tǒng)計，近5年我國云安全市場保持高速增長，2021年我國云安全市場規(guī)模達(dá)到了117.7億元，2022年行業(yè)整體規(guī)模達(dá)到173.3億元，2023年市場規(guī)模將達(dá)到330億元人民幣，由此可見我國云安全市場規(guī)模蘊(yùn)含著巨大潛力。

然而，云安全市場規(guī)模擴(kuò)大的同時，也正面臨著挑戰(zhàn)，尤其是高度利用云計算技術(shù)，將重要業(yè)務(wù)遷移到云端的企業(yè)，正面臨例如數(shù)據(jù)泄露、隱私泄露、服務(wù)中斷、設(shè)備管理等一系列問題。

這些問題如果不得到解決可能會引發(fā)嚴(yán)重的隱私侵犯問題，影響企業(yè)用戶的信任和安全感，再加上如果系統(tǒng)遭受攻擊從而將引發(fā)業(yè)務(wù)中斷，會導(dǎo)致服務(wù)不可用，影響用戶體驗和業(yè)務(wù)連續(xù)性，企業(yè)聲譽(yù)受到嚴(yán)重影響，甚至可能導(dǎo)致企業(yè)面臨財務(wù)損失。

在此背景下，為企業(yè)提供云安全保障，確保云服務(wù)的安全性、穩(wěn)定性和可用性，保護(hù)云環(huán)境中的數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施，發(fā)揮預(yù)防潛在威脅和攻擊的作用正變得越來越重要。

新技術(shù)帶來新風(fēng)險

虛擬機(jī)、容器、服務(wù)網(wǎng)格、多集群間通信、多云和混合云、Serverless等新技術(shù)不斷涌現(xiàn)，對安全邊界提出了越來越多的要求。

2014年流行起來的容器技術(shù)算是跨時代的變革，它與Kubernetes等技術(shù)共同助力企業(yè)實(shí)現(xiàn)了應(yīng)用程序部署等諸多方面的自動化，但同時也帶來了新的安全挑戰(zhàn)。

綜合來看，安全挑戰(zhàn)主要包括四個方面。

首先容器更新迭代非?？?，傳統(tǒng)的保護(hù)方式已經(jīng)不適用于容器環(huán)境；第二是軟件生產(chǎn)的流程自動化，容器開發(fā)階段每天可達(dá)上千次的軟件發(fā)布依賴整套CI/CD自動化流程控制；三是越來越多的企業(yè)開始在跨云多云環(huán)境部署容器；四是容器將單一的應(yīng)用變成了成百上千的微服務(wù)，導(dǎo)致服務(wù)內(nèi)部通信爆發(fā)式的增長。

Kubernetes采用虛擬化技術(shù)，數(shù)據(jù)、網(wǎng)絡(luò)、計算等層面的全部虛擬化對于應(yīng)用程序開發(fā)者來講非常實(shí)用。

然而，這卻讓運(yùn)維安全人員無法了解容器的運(yùn)行狀況，即虛擬化技術(shù)本身對安全管控形成了一定的屏障，這無疑升級了安全挑戰(zhàn)。

使用“零信任”升級傳統(tǒng)安全

隨著“云大移物智”技術(shù)發(fā)展和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，傳統(tǒng)安全防御理念的“邊界”概念逐漸模糊，傳統(tǒng)安全防御模型也越來越不足以應(yīng)對威脅。

越來越多來自企業(yè)“可信”內(nèi)部人員與設(shè)備的威脅和APT攻擊讓企業(yè)“內(nèi)網(wǎng)”也充滿風(fēng)險，傳統(tǒng)靜態(tài)的“隱式信任”模型急需重構(gòu)革新。零信任理念在這樣的背景下產(chǎn)生。

2004年成立的耶利哥論壇（Jericho forum）為了定義無邊界趨勢下的網(wǎng)絡(luò)安全問題并尋求解決方案，提出要限制基于網(wǎng)絡(luò)位置的隱式信任，并且不依賴于靜態(tài)防御，這就是零信任最早提出的雛形。

2010年，國際著名研究機(jī)構(gòu)Forrester的首席分析師John Kindervag首次提出了零信任安全的概念，他總結(jié)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中隱含式信任（比如根據(jù)IP地址等來賦予信任權(quán)等）的潛在風(fēng)險，認(rèn)為安全會跟隨服務(wù)模式變化，在去邊界化的時代基于“零信任”原則來演進(jìn)。

其包含三個原則：不應(yīng)該區(qū)分網(wǎng)絡(luò)位置、所有的訪問控制都應(yīng)該是最小權(quán)限且嚴(yán)格限制、所有的訪問都應(yīng)當(dāng)被記錄和跟蹤。

在這之后，Google花了6年時間逐步完成BeyondCorp零信任架構(gòu)的遷移工作，其目標(biāo)是摒棄對企業(yè)特權(quán)網(wǎng)絡(luò)（內(nèi)網(wǎng)）的依賴并開創(chuàng)一種全新安全訪問模式，員工在訪問企業(yè)內(nèi)部IT設(shè)備、應(yīng)用數(shù)據(jù)等資源時只依賴于受控設(shè)備和用戶身份憑證，而與用戶所處的網(wǎng)絡(luò)位置無關(guān)。

BeyondCorp零信任架構(gòu)的成功實(shí)踐，為國內(nèi)外各大廠商推進(jìn)零信任架構(gòu)的優(yōu)化與產(chǎn)品研發(fā)增加了動力，“去邊界化”和“以身份為中心”的零信任架構(gòu)持續(xù)演進(jìn)。

2020年全球暴發(fā)的新冠疫情，更是為隨時隨地遠(yuǎn)程安全訪問的業(yè)務(wù)需求打了興奮劑，Google、Microsoft、騰訊及阿里等業(yè)界巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出完整解決方案，促進(jìn)了零信任標(biāo)準(zhǔn)和實(shí)踐的進(jìn)一步完善。

2021年底，“核彈級”的Log4j漏洞爆發(fā)，大量企業(yè)被波及。Log4j就好像是洋蔥芯中的bug，因為它被層層包裹、嵌入在其他軟件包中，很難被常見的掃描方法識別到。

因此，首先要從源頭進(jìn)行有效的掃描和控制CVE安全漏洞；而對于無法下線進(jìn)行修復(fù)的應(yīng)用程序，零信任安全則是最有效的保護(hù)方法。

像Log4j這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增，但傳統(tǒng)安全工具在云環(huán)境很難提供全面的保護(hù)。

此外，隨著公有云的快速發(fā)展，業(yè)界對安全界限的認(rèn)識也出現(xiàn)了分歧。很多企業(yè)認(rèn)為，公有云的安全應(yīng)該完全交給供公有云廠商，但事實(shí)并非如此。應(yīng)用程序級別的安全必須由各個企業(yè)用戶自己負(fù)責(zé)。

這意味著，面對越來越多未知的安全風(fēng)險，企業(yè)的安全防護(hù)要從被動式的安全逐漸過渡到主動式安全。

主動安全是一個新的概念，無論處于云原生化的哪一個階段，企業(yè)都可以采取較為主動的零信任安全功能來提高效率。零信任安全并不需要推翻一切從零開始，企業(yè)可以循序漸進(jìn)地進(jìn)行部署。

傳統(tǒng)安全能夠堵住已知的安全漏洞，而零信任安全能夠防范未知的安全風(fēng)險，傳統(tǒng)安全與零信任安全的疊加使用可以幫助企業(yè)實(shí)現(xiàn)多層防護(hù)。

同時，考慮到大部分企業(yè)已經(jīng)在傳統(tǒng)安全上投入了大量資源和金錢，根據(jù)企業(yè)的實(shí)際情況選擇最有效的方面開始針對性部署零信任安全也是最經(jīng)濟(jì)的方式。

云原生零信任安全的實(shí)施可以劃分成四個階段：用戶和可視化；設(shè)備、網(wǎng)絡(luò)和環(huán)境；應(yīng)用程序、服務(wù)和編排管理；數(shù)據(jù)、自動化和合規(guī)檢查。企業(yè)無需推翻所有的安全投資和配置，可以從某一個單點(diǎn)開始介入和部署，逐步深化。

云安全正在浮現(xiàn)的新趨勢

人工智能和機(jī)器學(xué)習(xí)模型由于其復(fù)雜性，在某些情況下會出現(xiàn)不可預(yù)測的行為，從而引入意想不到的漏洞。

隨著人工智能的普及，“黑匣子”問題變得更加嚴(yán)重。隨著人工智能工具變得越來越可用，用途的多樣性和潛在的誤用也在增加，從而擴(kuò)大了可能的攻擊媒介和安全威脅。

然而，人工智能是一把雙刃劍，在帶來潛在威脅的同時，人們可以利用人工只能讓云安全防護(hù)變得更加高效。

如果將人工智能和機(jī)器學(xué)習(xí)集成到云安全中，這些技術(shù)將通過自動化和增強(qiáng)各種安全流程來徹底改變該領(lǐng)域。

人工智能和機(jī)器學(xué)習(xí)可以以前所未有的速度分析大量數(shù)據(jù)，識別可能被忽視的潛在威脅和異常。這種主動的安全方法允許早期發(fā)現(xiàn)和減輕風(fēng)險，顯著改善云環(huán)境的整體安全狀況。

其次，安全即服務(wù)(SECaaS)的趨勢也愈加明顯。隨著企業(yè)越來越多地將其運(yùn)營遷移到云端，對全面、可擴(kuò)展且經(jīng)濟(jì)高效的安全解決方案的需求不斷增加。

SECaaS提供商通過提供一系列安全服務(wù)來滿足這一需求，從威脅情報和入侵檢測到數(shù)據(jù)丟失防護(hù)和加密，所有這些服務(wù)都通過云交付。這種模式不僅降低了安全管理的復(fù)雜性和成本，還確保企業(yè)能夠獲得最新的安全技術(shù)和專業(yè)知識。

另一個值得關(guān)注的趨勢是云安全中對隱私和合規(guī)性的日益重視。隨著數(shù)據(jù)泄露和隱私侵犯成為頭條新聞，監(jiān)管機(jī)構(gòu)實(shí)施更嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，企業(yè)面臨著確保其云環(huán)境符合各種法規(guī)的壓力。

為此，云安全提供商正在開發(fā)復(fù)雜的工具和框架，幫助企業(yè)管理其合規(guī)義務(wù)、保護(hù)敏感數(shù)據(jù)并維持客戶信任。

未來，云安全將以先進(jìn)技術(shù)、創(chuàng)新服務(wù)模式以及對隱私和合規(guī)性的重新關(guān)注為特征。

隨著這些趨勢的不斷發(fā)展，企業(yè)必須跟上最新發(fā)展并利用這些創(chuàng)新來增強(qiáng)其云安全策略。畢竟，在數(shù)據(jù)成為新石油的時代，保護(hù)數(shù)據(jù)不僅是必需品，而且是戰(zhàn)略要務(wù)。

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。