如何应对云安全技术遇到的问题?
发布时间:2021-12-14 10:20:39 所属栏目:云计算 来源:互联网
导读:近年来,全球网络空间和信息技术快速发展,高危漏洞、大流量DDoS攻击、黑客攻击事件屡见不鲜,让企业安全面临更大的挑战。随着国内外企业不断上云,传统安全防护措施已经不能满足云环境安全所提出的需要。在这种情况下,网络安全专家持续地关注着云的安全,为
|
近年来,全球网络空间和信息技术快速发展,高危漏洞、大流量DDoS攻击、黑客攻击事件屡见不鲜,让企业安全面临更大的挑战。随着国内外企业不断上云,传统安全防护措施已经不能满足云环境安全所提出的需要。在这种情况下,网络安全专家持续地关注着云的安全,为了合理进行云安全建设并对云安全做出明智的决定。本次访谈,我们将讨论企业在云安全方面面临的挑战。 董金 香港大学ICB硕士研究生,曾任北京热云科技有限公司运维总监一职,有带领团队从0到1的经验能力,曾负责公司SAAS产品的跨海通信工作,管理数百万美金的AWS/阿里云账户,拥有资深的TCO经验,丰富的一线实战经验,能专业深度Deep Dive。 啪仔:董老师,网上有说云安全是中国企业提出的概念,早期被提出时还引起了广泛的争议,您能介绍一下云安全是怎么诞生的吗? 董金老师:这个问题我们从两个方面来回答,云是怎么诞生的和云的安全是怎么做的。 “云安全”的诞生其实是信息安全对云架构适应的结果,可以说是云环境下的信息安全。信息安全的演变是由整个IT基础架构的变迁所决定的。 而安全的出现远早于云,在网络安全诞生前已有交通安全、财产安全等安全概念。但是云的兴起对IT、安全以及DevOps等相关联的各类事物都产生了一定的冲击,导致它们发生了质的变化。在我们的普遍认知里,云的一个组成部分是安全,或者说安全是IT或云的不可或缺的一部分,但是回望历史,证实这个认知是不全面的。 安全是云的TOP 1 ,却不是传统安全的TOP1。例如,在传统IT里的损失范围,即爆炸半径范围有一定的局限,通常不会因为安全问题而裁掉整个IT的存储、硬件等;但是在云里,IT的管理角色或者是Permission的权限,会因为安全边界的工作没做好而灰飞烟灭。 再者,云这一词并不等同于国外定义的Cloud Computing,按严格意义来翻译,应该叫“云计算”。只是中国企业很多时候将其简化了,称之为云,或公有云、私有云等。在云里,安全是TOP 1,类似底座的意义,这一认知是企业上云所必知的。传统IT里有八个字“降本增效,避险合规”,安全是侧重于避险合规层面的;而云安全里的避险合规与传统安全的避险合规却有很大差异性。 啪仔:云安全和传统安全有什么区别呢? 董金老师:从商务角度而言,云的安全可定义为service,即服务,如SaaS、PaaS 或者 IaaS等都正流行,用一句话定义云里的安全即为Security and privacy ,国内做Security service的企业并不多,但是云厂商做安全方面的服务能力却是不错的。 从落地角度而言,我们发现仅仅是软件部署在云端,严格意义上并不算上云。若要判断一家企业做的是云安全还是传统安全,发票可成为一个指标,就是Service开的是六个点的发票,而软件或者项目制的,包括系统集成,则是十三点发票。如该企业开的发票是六个点的,则通常认为它的Service大概率与云相关或者纯粹就是云的安全,否则就很可能是一个盒子或者解决方案等传统安全方面的东西。 从技术层面而言,云安全与传统安全是有较大差别的,可以发现传统安全下的一部分正在逐步迁往云端,同时传统企业的安全也不愿意放弃现有的、有增长的利润部分,传统安全与云安全混合,导致云端的安全变调。 啪仔:目前云安全技术遇到了哪些挑战?要怎样去应对呢? 董金老师:传统安全遇到的挑战与云安全遇到的挑战有很多相似点,安全问题也都遵循了墨菲定律。目前安全的挑战,其一在于企业的决策层或者管理层希望付费即完成安全解决,类似于网购就可以从根本解决需求问题。但实际上从安全角度来看,最常见的,企业需要在有限的Budget范围内,选择主次之分,因为企业IT的cost是难以覆盖所有需求的。 其二,在于法律法规层面,近年出台的多部安全法律,如网络安全法、数据安全法等,会对安全数据带来更多正面或负面的挑战。 其三,安全技术社区面临的冲击也是一大挑战,非云技术社区的软件设计思想、软件架构等都是沿用过时的设计理念,而没有一套专门基于云制定的理念。因此近两年较火的社区均为云原生社区、云架构社区、云原生安全社区等等,并呈逐步增加的趋势。企业的各种项目若更多的侧重于非云,个人建议考虑企业转型是有必要的,因为时代在变革,留在原地终将被淘汰! 啪仔:您觉得目前国内企业,对云安全的技术路线上是否存在偏差?有什么建议? 董金老师:第一个是云安全社区在技术路线的选择上多数不愿付费,因此通常采用开源方式,如若付出一定费用,则会产生一种现成的解决方案,从而可以迅速精准地解决问题。但据了解,企业愿意为云安全服务付费的占比并不高,传统的软件安全只适合商业模式长期稳定不变的企业,如果企业的商业模式是一时一变,时常遭受各种攻击的,采用传统的软件形式只会达到事倍功半的效果,建议需要向云端迁移。 第二,企业的决策人员需要提高Service投入的比例,调整百分比分配,有助于企业的长期发展,分析乙方能给我方赋能的能力,做多重选择,根据企业当前目标,决定技术路线的选择方向。 第三,减少在云安全里过度引用开源技术。安全对于企业来说,是必须投入的板块,需要先进行合理分配Budget,考虑需求,并决定要为此付出多少,再进行技术路线选择。因为过度引用开源是一个有悖商业伦理的行为,就像是驾驶员开车不买保险,却希望有安全保障一样,不付出就收获是不可能的。 最后,多关注微软系安全的解决方案,他们重新定义了安全,一般在传统安全中终端安全问题常常是一个难题,但微软的windows 11 以及后续版本会让你发现,时代变了,它像office365一样,一切在云端,不需要再像IT安全一样逐一解决安全问题。 啪仔:目前,云安全对软件应用方面是否有一些新的挑战,有什么合适的解决途径吗? 董金老师:目前运行的软件设计思路是一套旧思路,导致该思路与云是没有联系的,基于这个旧思路的安排,一切都是遵循非云的设计理念。现有的开发、安全等社区都还是偏向以非云的理念为主,他们对于云这一概念的认知其实较为遥远。遵循旧的思路去探讨开发、测试、运维、安全,就像在谈空中阁楼,这个时代还没有到来,只有当软件的设计思路向云端迁移后,云安全或者软件运营安全才会产出新思路。 虽然有很多新兴的概念,如DevSecOps、SDLC等,实际上理论很完美,落地很困难,解决一个问题可能都需要耗费大量的专业人力、物力、时间和精力等。但是转到Service场景下,解决这些问题一般都是秒级、分级,最多达到天级,并且安全问题会发生一个质的变化。 随着时代的变化,理念会逐步升级,挑战才会进一步呈现出来。现在的问题,在于跨越鸿沟。无论是安全、云安全或者云社区,都处于市场的早期阶段,跨越了鸿沟,推出基于云的新理念,向云、Service迁移,历经磨难之后,企业的市场也会随之开阔,对企业商业的中长期价值会越来越大。 啪仔:现在有很多企业在做云安全,如何衡量一个企业的云安全水平? 董金老师:第一个衡量方法,法律法规。无论甲方还是乙方都必须通过国内的法律法规、等保等法律认定,从法律法规机制方面就已经设置了云安全的门槛。 第二个衡量方法,基于自身需求做排序。需要企业先对自身的目的、关注点等做排序,再针对这些方向来评价企业的安全水平,各家企业安全侧重方向不同,对于安全水平的评定也有不同侧重点。 第三个衡量方法,IT上云比例。企业云安全水平的判定需要了解该企业IT上云的比例,企业IT的水平决定了他的安全水平,IT费用比例越重,安全技术水平越弱。当企业的上云比例占到了10%以上,企业进行安全建设就有必要性,各云厂商各有长板短板。在AWS的云框架中有个词叫“five pillars”(五大支柱),依次为安全、最佳实践、高性能、成本性、可用性,从中可知安全和企业的可用性相关,一旦安全出现问题,企业的商业、业务等就会出现问题,影响可用性。安全也关系到企业的成本、性能如何,还有最佳实践,传统IT安全与云安全的最佳实践各有不同,需要从多角度多层面来看。这五大支柱互相关联,无法单一去解决所有问题。实际上在云里,安全与其他是互相依赖的关系;而在传统安全中,安全是一个可有可无的东西。目前国内的法律法规对于水平的审核设定了一定的门槛,再结合企业自身情况对企业的安全水平进行衡量基本可以得到结果。 第四个衡量方法,从等保方面也能得到衡量水平的标准,即把IT部署于云厂商的云里,自动可得等保评分。 第五个衡量办法,企业通过的安全标准、合规标准越多,安全水平越高,通过并且落地就能证明企业是有一定的安全水平。 啪仔:企业要如何构建有效的云安全团队? 董金老师:可以从三个方面来构建:首先,必备岗位。按照现行法律法规规定,企业必须要有必需的岗位的存在,即使该岗的工作量不饱和,也必须保留,在此基础上才能谈构建安全团队的问题。对于构建云安全团队,个人认为大部分中小型企业并不需要构建一个规模庞大的云安全团队,维持一个云安全团队,包含各种角色,是需要耗费很大的成本,绝大部分企业并不愿意付出大量的成本来做这件事。 其次,人才问题。对于人不够的问题可采用一个思路:人不够,service来凑;service不够,研究来凑。当然,企业必须要有一些资深人员了解企业的自身情况,例如企业想要的、擅长的方面,需要外部赋能的部分等等。然后安全问题则由专门团队来解决,这方面问题在于企业是选择自身配备团队,或是外部企业团队,或是第三方安全厂商。 第三,技能组合问题。企业构造有效的云安全团队要看企业的技能组成和企业现有I T的Service,包括硬件、软件的占比,这会决定企业未来的发展方向。云的一个巨大变化就是,云不再是一堆服务器构成,而是一个非常复杂的生态,无论是IaaS、SaaS、PaaS,还是新出现的“SaaS To SaaS”,在SaaS上面的SaaS。如果在安全里,可以变成Security and Service上面的Security and Service,属于非常新的理念,对于业界的生态会面临很大的变化和调整。 (编辑:拼字网 - 核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐