艾銻人給您講述云安全是什么鬼？

2020-03-08 17:43 作者：admin 瀏覽量：

如果二月份因?yàn)橐咔樵诩遥銢](méi)有體驗(yàn)到春風(fēng)似剪刀的感覺(jué)。
那三月份很快就要來(lái)了，你會(huì)迎著小雨一邊走一邊唱著歌嗎？
在二月里你是怎樣度過(guò)的？你的企業(yè)復(fù)工了嗎？
這一個(gè)月留在你生命中有哪些難忘的記憶呢？
從二月三號(hào)開(kāi)始，艾銻無(wú)限小伙伴就進(jìn)入了自己的工作狀態(tài)：
有的人因?yàn)榉獬且恢痹诩疫h(yuǎn)程為客戶(hù)提供服務(wù)，
有的人回到北京被隔離14天在自己住的地方給客戶(hù)提供服務(wù)，
有的人春節(jié)只休了7天假期就早早回到了北京，
有的人從未離開(kāi)過(guò)北京人，所以他們才能在二月工作26天。
每一種選擇都是選擇，每一種人生都是人生。
我們期望回首2020年的時(shí)候，可以自豪的對(duì)自己說(shuō)，
生命中的每一天，都是最好的一天，
感恩所有人，感恩一切的發(fā)生，感恩逝去的那些日子.
 
三月是一個(gè)全新的開(kāi)始，送上一篇可以幫你解決技術(shù)難題的文章，讓你更好的投入全新的工作狀態(tài):
艾銻人給您講述云安全是什么鬼？
云安全到底是什么？是傳統(tǒng)廠商的盒子的iso化？是云廠商自身具備的安全能力？還是SaaS提供安全服務(wù)？這些觀點(diǎn)都比較片面，作為聊天話(huà)題還可以，但落地還需要認(rèn)真討論。
   
一、云安全標(biāo)準(zhǔn)
要想了解云安全真正的含義，首先要了解云計(jì)算本身。根據(jù)NIST定義，云計(jì)算按照服務(wù)模式分為IaaS、PaaS和SaaS，按照部署模式分為私有云、公有云、社區(qū)云和混合云，按照用戶(hù)角色分為消費(fèi)者、供應(yīng)商、代理商、運(yùn)營(yíng)商和審計(jì)方。
 
云安全的定義根據(jù)國(guó)際的CSA TCI-RA、NIST SP500-292、NIST SP 500-29，以及國(guó)內(nèi)的GB/T 31167-2014、GB/T 31168-2014等標(biāo)準(zhǔn)來(lái)看，簡(jiǎn)單來(lái)說(shuō)就是根據(jù)云計(jì)算的服務(wù)模式、部署方式以及角色，提供有針對(duì)性的安全方案。
 
然而，實(shí)際的云安全建設(shè)往往錯(cuò)綜復(fù)雜，把握幾個(gè)關(guān)鍵的觀點(diǎn)，有助于大家更了解云安全。
 
云安全責(zé)任共擔(dān)
云安全責(zé)任共擔(dān)
 
用戶(hù)和使用的云服務(wù)商不同，安全的責(zé)任也不同。如果用戶(hù)只是使用IaaS層的服務(wù)，IaaS層安全由云服務(wù)商提供，之上的所有中間件以及業(yè)務(wù)安全責(zé)任全部由用戶(hù)自己承擔(dān)；如果使用的是SaaS層的服務(wù)，云服務(wù)商就要提供云相關(guān)全棧的服務(wù)；PaaS層的情況介于這兩者之間。
 
這不同于IDC環(huán)境下的安全。從用戶(hù)角度來(lái)說(shuō)，安全責(zé)任變輕了：以前從建設(shè)機(jī)房到部署應(yīng)用的安全全部由用戶(hù)自己承擔(dān)，現(xiàn)在云服務(wù)提供商要承擔(dān)相關(guān)的安全職責(zé)
 
組織要評(píng)估和滿(mǎn)足合規(guī)與審核要求
將業(yè)務(wù)從傳統(tǒng)IDC遷移到云的一個(gè)重大挑戰(zhàn)是：要遵守眾多的合規(guī)和審核的約束。尤其在國(guó)內(nèi)的環(huán)境，監(jiān)管方存在“九龍治水”的情況。《網(wǎng)絡(luò)安全法》已經(jīng)開(kāi)始正式執(zhí)行；公安方面的等級(jí)保護(hù)針對(duì)云方面也推出了等保2.0；以覆蓋等保1.0在云計(jì)算領(lǐng)域的缺失；大數(shù)據(jù)中心聯(lián)盟也推出了可信云的相關(guān)標(biāo)準(zhǔn)；網(wǎng)信部門(mén)更是對(duì)每個(gè)行業(yè)都提出新的監(jiān)管要求；TC260針對(duì)政府上云提出了GB／T 31167和31168。這些規(guī)定都意味著組織要承擔(dān)更重大的監(jiān)管責(zé)任。
 
合規(guī)可定義為對(duì)企業(yè)義務(wù)（企業(yè)社會(huì)責(zé)任、適用法律，道德指南）的感知和遵循，包括對(duì)適當(dāng)和必要的糾正性措施的評(píng)估和排序。在某些高度監(jiān)管的環(huán)境下，透明度可以對(duì)內(nèi)部特定策略進(jìn)行補(bǔ)充，成為組織效率的優(yōu)勢(shì)而非制約。
 
總體上，組織要保證合規(guī)性和完成審核，需要評(píng)估自身合規(guī)狀態(tài)，借此感知和履行企業(yè)義務(wù)（社會(huì)責(zé)任、道德標(biāo)準(zhǔn)、法律責(zé)任等）；評(píng)估風(fēng)險(xiǎn)、不合規(guī)代價(jià)以及合規(guī)成本，從而評(píng)估是否采取適當(dāng)或必要的糾錯(cuò)性措施。
 
對(duì)于客戶(hù)和服務(wù)提供商而言，內(nèi)審和外審以及各種控制措施都合情合理、可為云計(jì)算效力。目前對(duì)于云計(jì)算廠商的審計(jì)并不充分，大多情況都是通過(guò)一次性的測(cè)評(píng)來(lái)證明云計(jì)算的安全性和可靠性。對(duì)于客戶(hù)而言，更有保障的方法是通過(guò)認(rèn)證方式對(duì)云計(jì)算廠商進(jìn)行持續(xù)的認(rèn)證。
 
事件響應(yīng)
信息安全領(lǐng)域不存在無(wú)懈可擊的防御，無(wú)論是周詳?shù)挠?jì)劃還是周全的預(yù)防性措施，都無(wú)法完全避免信息資產(chǎn)遭到攻擊。正因如此，致力于減少組織受攻擊損失程度的事件響應(yīng)，成為了信息安全管理的重要基石。
 
云計(jì)算不需要一個(gè)新的事件響應(yīng)框架，只需將原有的響應(yīng)程序、處理機(jī)制和工具與云計(jì)算相關(guān)的環(huán)境對(duì)應(yīng)起來(lái)。與此同時(shí)，組織也要意識(shí)到，云計(jì)算的某些特征會(huì)影響事件響應(yīng)的效果。
 
首先，云計(jì)算屬于按需自服務(wù)，客戶(hù)在處理安全事件的時(shí)候很難甚至不可能從云服務(wù)商那里獲得協(xié)助；第二，云服務(wù)的資源池化可能會(huì)導(dǎo)致 事件響應(yīng)過(guò)程復(fù)雜化；第三、在多租戶(hù)場(chǎng)景下，如果沒(méi)有關(guān)于隱私信息的處理和資源池化的云服務(wù)方式，收集和分析事故的非直接數(shù)據(jù)和原始數(shù)據(jù)可能造成對(duì)隱私問(wèn)題的擔(dān)憂(yōu)。
 
另一方面，云計(jì)算也給事件響應(yīng)帶來(lái)了新的機(jī)會(huì)。對(duì)于云的持續(xù)監(jiān)控機(jī)制，可以減少事件處理時(shí)間或者事件響應(yīng)頻率。虛擬化技術(shù)和云計(jì)算平臺(tái)固有的彈性特質(zhì)，相比傳統(tǒng)數(shù)據(jù)中心技術(shù)減少了服務(wù)中斷時(shí)間，讓遏制和恢復(fù)措施變得更有效率和效果。此外，由于虛擬機(jī)可以很容易地被移動(dòng)到試驗(yàn)環(huán)境中并管理運(yùn)行環(huán)境、取得鑒定映像及進(jìn)行檢查，這些都使得事件調(diào)查更容易開(kāi)展。
 
目前情況并不太樂(lè)觀，國(guó)內(nèi)云計(jì)算廠商對(duì)于事故響應(yīng)的手段極其有限，大部分是通過(guò)人工服務(wù)的情況進(jìn)行解決，責(zé)任無(wú)法定位，造成的損失也無(wú)法衡量，導(dǎo)致用戶(hù)和云服務(wù)提供商之間的不信任感。
 
二、云安全挑戰(zhàn)
云安全挑戰(zhàn)
 
為了安全地使用公有云、私有云、混合云等豐富多樣的數(shù)字化服務(wù)，越來(lái)越多的企業(yè)需要滿(mǎn)足不斷增多的各種安全要求。企業(yè)要滿(mǎn)足這些需求，必須首先意識(shí)到云安全方面的三大挑戰(zhàn)：保護(hù)多租戶(hù)環(huán)境下的信息，虛擬化和私有云安全，以及SaaS可視化和控制。這三大挑戰(zhàn)將為企業(yè)的云安全建設(shè)提供實(shí)用的分類(lèi)方法。
 
評(píng)估和控制多租戶(hù)環(huán)境下的安全和合規(guī)風(fēng)險(xiǎn)
安全管理人員關(guān)注公有云的相關(guān)安全問(wèn)題。缺乏持續(xù)性的合規(guī)和風(fēng)險(xiǎn)的評(píng)估以及安全過(guò)程，使得一些敏感的場(chǎng)景無(wú)法遷移到公有云。
 
使用多租戶(hù)的云服務(wù)并不直接導(dǎo)致安全問(wèn)題，跟云廠商采取的安全措施有關(guān)，對(duì)云廠商的形成強(qiáng)大的挑戰(zhàn)。持續(xù)的對(duì)云廠商進(jìn)行風(fēng)險(xiǎn)監(jiān)控還需要一段路。
 
安全管理人員甚至所有IT人員都關(guān)注公有云廠商是否安全。實(shí)際上，沒(méi)有直接證據(jù)證明公有云廠商自身安全不到位會(huì)對(duì)用戶(hù)造成重大影響。然而，如何評(píng)估公有云廠商安全性以及監(jiān)管機(jī)構(gòu)對(duì)公有云的接受度仍然值得探討。公有云廠商缺乏透明度，合規(guī)狀態(tài)不明確，風(fēng)險(xiǎn)評(píng)估和安全過(guò)程不成熟，使得一些敏感場(chǎng)景無(wú)法遷移到公有云。
 
對(duì)于企業(yè)而言，使用多租戶(hù)的云服務(wù)并不會(huì)直接導(dǎo)致安全問(wèn)題，還得看云廠商采取哪些安全措施。綜合評(píng)估云廠商提供的服務(wù)和安全性，持續(xù)對(duì)云廠商進(jìn)行風(fēng)險(xiǎn)監(jiān)控，能夠讓企業(yè)在享受優(yōu)質(zhì)云服務(wù)的同時(shí)做到安全、合規(guī)。不過(guò)，市場(chǎng)對(duì)云廠商的評(píng)估和持續(xù)監(jiān)控還沒(méi)有形成最佳實(shí)踐。
 
使用CWPP和微隔離等新技術(shù)保護(hù)虛擬環(huán)境下的工作負(fù)載
對(duì)硬件資源的虛擬化催生了新的安全技術(shù)，比如工作負(fù)載安全。工作負(fù)載指的是服務(wù)器、虛擬機(jī)和容器等系統(tǒng)核心業(yè)務(wù)的載體。云服務(wù)商的安全措施在某種意義來(lái)說(shuō)比自建IDC機(jī)房的安全措施更好，但這并不意味著把工作負(fù)載從本地遷移到公有云上就能自動(dòng)獲得安全保障。實(shí)際上，云服務(wù)使用者應(yīng)該利用好云廠商的安全特點(diǎn)和優(yōu)勢(shì)，由此產(chǎn)生效果也會(huì)更好。比如，利用好云廠商的安全自動(dòng)化，能夠大幅減少配置錯(cuò)誤、管理錯(cuò)誤、補(bǔ)丁缺失、人工操作失誤等造成安全漏洞數(shù)量，從而大大提高云的安全特性。云工作負(fù)載保護(hù)平臺(tái)（CWPP, cloud workload protection platform）和微隔離等新的技術(shù)能夠在保證各種云環(huán)境下的安全，越來(lái)越受到國(guó)內(nèi)外組織重視。
 
明確SaaS**環(huán)境下的數(shù)據(jù)保護(hù)和行為監(jiān)控
從當(dāng)前企業(yè)支出來(lái)看，SaaS是比IaaS更重要的計(jì)算領(lǐng)域。由企業(yè)的哪個(gè)角色來(lái)負(fù)責(zé)SaaS治理尚無(wú)定論，對(duì)SaaS“所有權(quán)”的監(jiān)管有所缺失，都影響了SaaS應(yīng)用領(lǐng)域的推廣。
 
對(duì)此，有些企業(yè)專(zhuān)門(mén)制定了SaaS評(píng)估、使用和部門(mén)職責(zé)的相關(guān)規(guī)定，也有些專(zhuān)家、架構(gòu)師組成專(zhuān)門(mén)部門(mén)來(lái)管理SaaS應(yīng)用。這些都是比較好的實(shí)踐，能夠幫助企業(yè)更好、更快做出關(guān)于SaaS使用的決策。
 
另一方面，安全團(tuán)隊(duì)在保護(hù)數(shù)據(jù)和監(jiān)控行為時(shí)，要使用比SaaS廠商提供的控制機(jī)制更高級(jí)的技術(shù)手段。有數(shù)據(jù)顯示，在10,000個(gè)使用的SaaS應(yīng)用中，諸如身份治理和管理（IGA, identity governance and administration）和CASB等單點(diǎn)控制技術(shù)變得越來(lái)越重要。使用第三方產(chǎn)品來(lái)集中有效管理安全策略、權(quán)限和行為，也越來(lái)越被各種規(guī)模的企業(yè)所重視。
 
三、云安全機(jī)遇
根據(jù)麥肯錫咨詢(xún)機(jī)構(gòu)的預(yù)計(jì)，云技術(shù)至2020年全球每年創(chuàng)造的價(jià)值在3.72億美金。如果企業(yè)不重視云安全建設(shè)導(dǎo)致風(fēng)險(xiǎn)和損失，最終可能減少使用云技術(shù)。這種“數(shù)字反彈”的局面影響會(huì)非常嚴(yán)重，可能導(dǎo)致1.4萬(wàn)億市場(chǎng)的萎縮。麥肯錫認(rèn)為，企業(yè)在采用云技術(shù)的同時(shí)要同步建設(shè)云安全，這樣才會(huì)使得技術(shù)不會(huì)倒退，市場(chǎng)不會(huì)反彈。任何一項(xiàng)技術(shù)在大規(guī)模擴(kuò)張之前都沒(méi)有考慮到安全問(wèn)題（區(qū)塊鏈技術(shù)除外），而技術(shù)產(chǎn)生泡沫的原因之一，正是安全問(wèn)題沒(méi)有得到充分的重視。
 
根據(jù)Gartner預(yù)測(cè)，2017年基于云的安全服務(wù)市場(chǎng)規(guī)模將達(dá)到41億美金，云安全的發(fā)展將受益于云計(jì)算市場(chǎng)的快速增長(zhǎng)。
 
云安全機(jī)遇
 
反觀國(guó)內(nèi)云計(jì)算市場(chǎng)，經(jīng)過(guò)十年發(fā)展，目前已經(jīng)“賽程過(guò)半”，上半場(chǎng)以中小長(zhǎng)尾和互聯(lián)網(wǎng)產(chǎn)業(yè)為主要目標(biāo)客戶(hù)，以公有云為主要交付形態(tài)，洗牌基本完成。下半場(chǎng)將以數(shù)字化轉(zhuǎn)型為核心訴求，以傳統(tǒng)縱向行業(yè)、大型企業(yè)為主要目標(biāo)客戶(hù)，以混合云為主要交付形態(tài)。
 
筆者大膽預(yù)測(cè)未來(lái)國(guó)內(nèi)將是行業(yè)云和私有云的爆發(fā)期，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施（8+2）的云計(jì)算建設(shè)的方式，大部門(mén)會(huì)以行業(yè)云的方式存在。行業(yè)云（Industrial Cloud）這個(gè)概念跟國(guó)外標(biāo)準(zhǔn)中的社區(qū)云（community cloud）有類(lèi)似的地方又不盡相同。行業(yè)云是數(shù)據(jù)和軟件的擁有者為行業(yè)內(nèi)部的核心組織或者成員，但服務(wù)對(duì)象是大眾，滿(mǎn)足社會(huì)經(jīng)濟(jì)運(yùn)行信息需求。社區(qū)云的定義更著重于云計(jì)算后臺(tái)的地理位置。針對(duì)于私有云和行業(yè)云的安全方案前景更加明朗，但是一般來(lái)說(shuō)這些廠商的安全措施比公有云廠商的安全能力會(huì)更差一些。
 
國(guó)內(nèi)大環(huán)境而言，網(wǎng)絡(luò)安全領(lǐng)域得到了實(shí)質(zhì)性的重視和發(fā)展。國(guó)家強(qiáng)調(diào)在任何技術(shù)領(lǐng)域必須提倡自主可控，這意味著國(guó)內(nèi)安全廠商的機(jī)會(huì)大大增加。雖然我國(guó)網(wǎng)絡(luò)信息技術(shù)和網(wǎng)絡(luò)安全保障取得了不小成績(jī)，但同世界先進(jìn)水平相比還有很大差距。我們要填補(bǔ)國(guó)內(nèi)安全市場(chǎng)的空白，跟國(guó)際接軌，追趕世界最高安全水平。