艾銻人給您講述云安全是什么鬼？

2020-03-08 17:43 作者：admin 瀏覽量：

如果二月份因?yàn)橐咔樵诩?，你沒有體驗(yàn)到春風(fēng)似剪刀的感覺。
那三月份很快就要來了，你會迎著小雨一邊走一邊唱著歌嗎？
在二月里你是怎樣度過的？你的企業(yè)復(fù)工了嗎？
這一個(gè)月留在你生命中有哪些難忘的記憶呢？
從二月三號開始，艾銻無限小伙伴就進(jìn)入了自己的工作狀態(tài)：
有的人因?yàn)榉獬且恢痹诩疫h(yuǎn)程為客戶提供服務(wù)，
有的人回到北京被隔離14天在自己住的地方給客戶提供服務(wù)，
有的人春節(jié)只休了7天假期就早早回到了北京，
有的人從未離開過北京人，所以他們才能在二月工作26天。
每一種選擇都是選擇，每一種人生都是人生。
我們期望回首2020年的時(shí)候，可以自豪的對自己說，
生命中的每一天，都是最好的一天，
感恩所有人，感恩一切的發(fā)生，感恩逝去的那些日子.
 
三月是一個(gè)全新的開始，送上一篇可以幫你解決技術(shù)難題的文章，讓你更好的投入全新的工作狀態(tài):
艾銻人給您講述云安全是什么鬼？
云安全到底是什么？是傳統(tǒng)廠商的盒子的iso化？是云廠商自身具備的安全能力？還是SaaS提供安全服務(wù)？這些觀點(diǎn)都比較片面，作為聊天話題還可以，但落地還需要認(rèn)真討論。
   
一、云安全標(biāo)準(zhǔn)
要想了解云安全真正的含義，首先要了解云計(jì)算本身。根據(jù)NIST定義，云計(jì)算按照服務(wù)模式分為IaaS、PaaS和SaaS，按照部署模式分為私有云、公有云、社區(qū)云和混合云，按照用戶角色分為消費(fèi)者、供應(yīng)商、代理商、運(yùn)營商和審計(jì)方。
 
云安全的定義根據(jù)國際的CSA TCI-RA、NIST SP500-292、NIST SP 500-29，以及國內(nèi)的GB/T 31167-2014、GB/T 31168-2014等標(biāo)準(zhǔn)來看，簡單來說就是根據(jù)云計(jì)算的服務(wù)模式、部署方式以及角色，提供有針對性的安全方案。
 
然而，實(shí)際的云安全建設(shè)往往錯(cuò)綜復(fù)雜，把握幾個(gè)關(guān)鍵的觀點(diǎn)，有助于大家更了解云安全。
 
云安全責(zé)任共擔(dān)
云安全責(zé)任共擔(dān)
 
用戶和使用的云服務(wù)商不同，安全的責(zé)任也不同。如果用戶只是使用IaaS層的服務(wù)，IaaS層安全由云服務(wù)商提供，之上的所有中間件以及業(yè)務(wù)安全責(zé)任全部由用戶自己承擔(dān)；如果使用的是SaaS層的服務(wù)，云服務(wù)商就要提供云相關(guān)全棧的服務(wù)；PaaS層的情況介于這兩者之間。
 
這不同于IDC環(huán)境下的安全。從用戶角度來說，安全責(zé)任變輕了：以前從建設(shè)機(jī)房到部署應(yīng)用的安全全部由用戶自己承擔(dān)，現(xiàn)在云服務(wù)提供商要承擔(dān)相關(guān)的安全職責(zé)
 
組織要評估和滿足合規(guī)與審核要求
將業(yè)務(wù)從傳統(tǒng)IDC遷移到云的一個(gè)重大挑戰(zhàn)是：要遵守眾多的合規(guī)和審核的約束。尤其在國內(nèi)的環(huán)境，監(jiān)管方存在“九龍治水”的情況。《網(wǎng)絡(luò)安全法》已經(jīng)開始正式執(zhí)行；公安方面的等級保護(hù)針對云方面也推出了等保2.0；以覆蓋等保1.0在云計(jì)算領(lǐng)域的缺失；大數(shù)據(jù)中心聯(lián)盟也推出了可信云的相關(guān)標(biāo)準(zhǔn)；網(wǎng)信部門更是對每個(gè)行業(yè)都提出新的監(jiān)管要求；TC260針對政府上云提出了GB／T 31167和31168。這些規(guī)定都意味著組織要承擔(dān)更重大的監(jiān)管責(zé)任。
 
合規(guī)可定義為對企業(yè)義務(wù)（企業(yè)社會責(zé)任、適用法律，道德指南）的感知和遵循，包括對適當(dāng)和必要的糾正性措施的評估和排序。在某些高度監(jiān)管的環(huán)境下，透明度可以對內(nèi)部特定策略進(jìn)行補(bǔ)充，成為組織效率的優(yōu)勢而非制約。
 
總體上，組織要保證合規(guī)性和完成審核，需要評估自身合規(guī)狀態(tài)，借此感知和履行企業(yè)義務(wù)（社會責(zé)任、道德標(biāo)準(zhǔn)、法律責(zé)任等）；評估風(fēng)險(xiǎn)、不合規(guī)代價(jià)以及合規(guī)成本，從而評估是否采取適當(dāng)或必要的糾錯(cuò)性措施。
 
對于客戶和服務(wù)提供商而言，內(nèi)審和外審以及各種控制措施都合情合理、可為云計(jì)算效力。目前對于云計(jì)算廠商的審計(jì)并不充分，大多情況都是通過一次性的測評來證明云計(jì)算的安全性和可靠性。對于客戶而言，更有保障的方法是通過認(rèn)證方式對云計(jì)算廠商進(jìn)行持續(xù)的認(rèn)證。
 
事件響應(yīng)
信息安全領(lǐng)域不存在無懈可擊的防御，無論是周詳?shù)挠?jì)劃還是周全的預(yù)防性措施，都無法完全避免信息資產(chǎn)遭到攻擊。正因如此，致力于減少組織受攻擊損失程度的事件響應(yīng)，成為了信息安全管理的重要基石。
 
云計(jì)算不需要一個(gè)新的事件響應(yīng)框架，只需將原有的響應(yīng)程序、處理機(jī)制和工具與云計(jì)算相關(guān)的環(huán)境對應(yīng)起來。與此同時(shí)，組織也要意識到，云計(jì)算的某些特征會影響事件響應(yīng)的效果。
 
首先，云計(jì)算屬于按需自服務(wù)，客戶在處理安全事件的時(shí)候很難甚至不可能從云服務(wù)商那里獲得協(xié)助；第二，云服務(wù)的資源池化可能會導(dǎo)致 事件響應(yīng)過程復(fù)雜化；第三、在多租戶場景下，如果沒有關(guān)于隱私信息的處理和資源池化的云服務(wù)方式，收集和分析事故的非直接數(shù)據(jù)和原始數(shù)據(jù)可能造成對隱私問題的擔(dān)憂。
 
另一方面，云計(jì)算也給事件響應(yīng)帶來了新的機(jī)會。對于云的持續(xù)監(jiān)控機(jī)制，可以減少事件處理時(shí)間或者事件響應(yīng)頻率。虛擬化技術(shù)和云計(jì)算平臺固有的彈性特質(zhì)，相比傳統(tǒng)數(shù)據(jù)中心技術(shù)減少了服務(wù)中斷時(shí)間，讓遏制和恢復(fù)措施變得更有效率和效果。此外，由于虛擬機(jī)可以很容易地被移動到試驗(yàn)環(huán)境中并管理運(yùn)行環(huán)境、取得鑒定映像及進(jìn)行檢查，這些都使得事件調(diào)查更容易開展。
 
目前情況并不太樂觀，國內(nèi)云計(jì)算廠商對于事故響應(yīng)的手段極其有限，大部分是通過人工服務(wù)的情況進(jìn)行解決，責(zé)任無法定位，造成的損失也無法衡量，導(dǎo)致用戶和云服務(wù)提供商之間的不信任感。
 
二、云安全挑戰(zhàn)
云安全挑戰(zhàn)
 
為了安全地使用公有云、私有云、混合云等豐富多樣的數(shù)字化服務(wù)，越來越多的企業(yè)需要滿足不斷增多的各種安全要求。企業(yè)要滿足這些需求，必須首先意識到云安全方面的三大挑戰(zhàn)：保護(hù)多租戶環(huán)境下的信息，虛擬化和私有云安全，以及SaaS可視化和控制。這三大挑戰(zhàn)將為企業(yè)的云安全建設(shè)提供實(shí)用的分類方法。
 
評估和控制多租戶環(huán)境下的安全和合規(guī)風(fēng)險(xiǎn)
安全管理人員關(guān)注公有云的相關(guān)安全問題。缺乏持續(xù)性的合規(guī)和風(fēng)險(xiǎn)的評估以及安全過程，使得一些敏感的場景無法遷移到公有云。
 
使用多租戶的云服務(wù)并不直接導(dǎo)致安全問題，跟云廠商采取的安全措施有關(guān)，對云廠商的形成強(qiáng)大的挑戰(zhàn)。持續(xù)的對云廠商進(jìn)行風(fēng)險(xiǎn)監(jiān)控還需要一段路。
 
安全管理人員甚至所有IT人員都關(guān)注公有云廠商是否安全。實(shí)際上，沒有直接證據(jù)證明公有云廠商自身安全不到位會對用戶造成重大影響。然而，如何評估公有云廠商安全性以及監(jiān)管機(jī)構(gòu)對公有云的接受度仍然值得探討。公有云廠商缺乏透明度，合規(guī)狀態(tài)不明確，風(fēng)險(xiǎn)評估和安全過程不成熟，使得一些敏感場景無法遷移到公有云。
 
對于企業(yè)而言，使用多租戶的云服務(wù)并不會直接導(dǎo)致安全問題，還得看云廠商采取哪些安全措施。綜合評估云廠商提供的服務(wù)和安全性，持續(xù)對云廠商進(jìn)行風(fēng)險(xiǎn)監(jiān)控，能夠讓企業(yè)在享受優(yōu)質(zhì)云服務(wù)的同時(shí)做到安全、合規(guī)。不過，市場對云廠商的評估和持續(xù)監(jiān)控還沒有形成最佳實(shí)踐。
 
使用CWPP和微隔離等新技術(shù)保護(hù)虛擬環(huán)境下的工作負(fù)載
對硬件資源的虛擬化催生了新的安全技術(shù)，比如工作負(fù)載安全。工作負(fù)載指的是服務(wù)器、虛擬機(jī)和容器等系統(tǒng)核心業(yè)務(wù)的載體。云服務(wù)商的安全措施在某種意義來說比自建IDC機(jī)房的安全措施更好，但這并不意味著把工作負(fù)載從本地遷移到公有云上就能自動獲得安全保障。實(shí)際上，云服務(wù)使用者應(yīng)該利用好云廠商的安全特點(diǎn)和優(yōu)勢，由此產(chǎn)生效果也會更好。比如，利用好云廠商的安全自動化，能夠大幅減少配置錯(cuò)誤、管理錯(cuò)誤、補(bǔ)丁缺失、人工操作失誤等造成安全漏洞數(shù)量，從而大大提高云的安全特性。云工作負(fù)載保護(hù)平臺（CWPP, cloud workload protection platform）和微隔離等新的技術(shù)能夠在保證各種云環(huán)境下的安全，越來越受到國內(nèi)外組織重視。
 
明確SaaS**環(huán)境下的數(shù)據(jù)保護(hù)和行為監(jiān)控
從當(dāng)前企業(yè)支出來看，SaaS是比IaaS更重要的計(jì)算領(lǐng)域。由企業(yè)的哪個(gè)角色來負(fù)責(zé)SaaS治理尚無定論，對SaaS“所有權(quán)”的監(jiān)管有所缺失，都影響了SaaS應(yīng)用領(lǐng)域的推廣。
 
對此，有些企業(yè)專門制定了SaaS評估、使用和部門職責(zé)的相關(guān)規(guī)定，也有些專家、架構(gòu)師組成專門部門來管理SaaS應(yīng)用。這些都是比較好的實(shí)踐，能夠幫助企業(yè)更好、更快做出關(guān)于SaaS使用的決策。
 
另一方面，安全團(tuán)隊(duì)在保護(hù)數(shù)據(jù)和監(jiān)控行為時(shí)，要使用比SaaS廠商提供的控制機(jī)制更高級的技術(shù)手段。有數(shù)據(jù)顯示，在10,000個(gè)使用的SaaS應(yīng)用中，諸如身份治理和管理（IGA, identity governance and administration）和CASB等單點(diǎn)控制技術(shù)變得越來越重要。使用第三方產(chǎn)品來集中有效管理安全策略、權(quán)限和行為，也越來越被各種規(guī)模的企業(yè)所重視。
 
三、云安全機(jī)遇
根據(jù)麥肯錫咨詢機(jī)構(gòu)的預(yù)計(jì)，云技術(shù)至2020年全球每年創(chuàng)造的價(jià)值在3.72億美金。如果企業(yè)不重視云安全建設(shè)導(dǎo)致風(fēng)險(xiǎn)和損失，最終可能減少使用云技術(shù)。這種“數(shù)字反彈”的局面影響會非常嚴(yán)重，可能導(dǎo)致1.4萬億市場的萎縮。麥肯錫認(rèn)為，企業(yè)在采用云技術(shù)的同時(shí)要同步建設(shè)云安全，這樣才會使得技術(shù)不會倒退，市場不會反彈。任何一項(xiàng)技術(shù)在大規(guī)模擴(kuò)張之前都沒有考慮到安全問題（區(qū)塊鏈技術(shù)除外），而技術(shù)產(chǎn)生泡沫的原因之一，正是安全問題沒有得到充分的重視。
 
根據(jù)Gartner預(yù)測，2017年基于云的安全服務(wù)市場規(guī)模將達(dá)到41億美金，云安全的發(fā)展將受益于云計(jì)算市場的快速增長。
 
云安全機(jī)遇
 
反觀國內(nèi)云計(jì)算市場，經(jīng)過十年發(fā)展，目前已經(jīng)“賽程過半”，上半場以中小長尾和互聯(lián)網(wǎng)產(chǎn)業(yè)為主要目標(biāo)客戶，以公有云為主要交付形態(tài)，洗牌基本完成。下半場將以數(shù)字化轉(zhuǎn)型為核心訴求，以傳統(tǒng)縱向行業(yè)、大型企業(yè)為主要目標(biāo)客戶，以混合云為主要交付形態(tài)。
 
筆者大膽預(yù)測未來國內(nèi)將是行業(yè)云和私有云的爆發(fā)期，針對關(guān)鍵基礎(chǔ)設(shè)施（8+2）的云計(jì)算建設(shè)的方式，大部門會以行業(yè)云的方式存在。行業(yè)云（Industrial Cloud）這個(gè)概念跟國外標(biāo)準(zhǔn)中的社區(qū)云（community cloud）有類似的地方又不盡相同。行業(yè)云是數(shù)據(jù)和軟件的擁有者為行業(yè)內(nèi)部的核心組織或者成員，但服務(wù)對象是大眾，滿足社會經(jīng)濟(jì)運(yùn)行信息需求。社區(qū)云的定義更著重于云計(jì)算后臺的地理位置。針對于私有云和行業(yè)云的安全方案前景更加明朗，但是一般來說這些廠商的安全措施比公有云廠商的安全能力會更差一些。
 
國內(nèi)大環(huán)境而言，網(wǎng)絡(luò)安全領(lǐng)域得到了實(shí)質(zhì)性的重視和發(fā)展。國家強(qiáng)調(diào)在任何技術(shù)領(lǐng)域必須提倡自主可控，這意味著國內(nèi)安全廠商的機(jī)會大大增加。雖然我國網(wǎng)絡(luò)信息技術(shù)和網(wǎng)絡(luò)安全保障取得了不小成績，但同世界先進(jìn)水平相比還有很大差距。我們要填補(bǔ)國內(nèi)安全市場的空白，跟國際接軌，追趕世界最高安全水平。