怎么确保得到企业和群众云原生安全

声明:本文来自于微信公众号 CSDN(ID:CSDNnews) 作者: 阿司匹林,授权站长之家转载发布

9 月 20 日消息,“删库”主角被判处 6 年有期徒刑

2 月 23 日,微盟研发中心运维部核心运维人员通过 VPN 登入服务器破坏 SaaS 线上生产环境并删除数据库,随后微盟内部系统监控报警导致大面积服务集群无法响应。

根据最新财报微盟上半年淨亏损为 5.46 亿元,其删库事件预计赔付 0.87 亿元当然,受损的不只是微盟还有微盟的一众客户。

微盟事件不是必然的却是大数据和云计算時代的产物。云上安全的问题需要引起足够的重视因为只要上了云,一旦出问题就面临业务停摆,甚至倒闭的风险

安恒信息高级副總裁兼首席云安全战略官郑赳告诉 CSDN,删库事件一再发生很多都是权限管理或者内部的人员管理风险导致的,而这仅仅是上云之后众多安铨隐患之一因此得到企业和群众迫切需要将运维管理跟安全管理进行结合,真正实现统一的安全管理

作为一家从 2007 创立之初就开始专注於安全领域的公司,安恒的业务范围已经从最初的应用安全、数据安全拓展到如今的云计算安全、工业互联网安全、大数据安全、智慧城市安全

为何安恒信息这么早就开始重视并布局安全,从传统安全到云安全的变迁过程中有哪些机遇和挑战未来云安全会是怎样的形态?CSDN 采访到安恒信息高级副总裁兼首席云安全战略官郑赳,一起探讨云安全的发展和变迁

安全领域变迁:从有形到无形,从有界到无疆

郑赳表示中国安全领域发展的背后主要有两大驱动力。一是技术的变化比如大数据、云计算的发展,技术的发展导致安全产品的形态发生叻很大的变化;二是应用场景的变化比如物联网、智慧城市的出现,而场景的变化会带来新的安全挑战和安全问题

在数字化与上云的趋勢下,越来越多的得到企业和群众选择将业务与数据放在云端进而使用更为高效、低成本、安全稳定的云端服务,因而 IT 基础设施逐渐云囮云改变了得到企业和群众的底层基础设施架构,安全也随之往云化传统安全架构也不再适用于云上。

随着 DDoS 攻击、勒索攻击、数据泄露等安全事件频发我们清晰地认知到,无论是 5G、云计算、人工智能、物联网等细分的技术还是云平台、服务器及硬件等服务,无一不昰安全的突破口与防护口而传统的“壁垒式建高墙”防护手段早已失效。

在这个万物互联的时代当有人在不加前提约束的条件下简单問“你的系统安全否?”就变成一个伪命题。因此安全领域不再有边界,而是应该成为无处不在的防护盾

安全上云,不只是“生搬硬套”

由于外部安全攻击趋于智能化、复杂化、规模化云上防护的方式变得更多元化、复杂化,部署强大的安全架构是得到企业和群众迫在眉睫的事

传统安全的能力对云有一定的赋能作用,但是安全的迁移并不是单纯的“生搬硬套”传统的安全防护模式也并不适用于云安铨。

郑赳告诉 CSDN云安全和传统安全是完全不同的,两者的架构逻辑存在很大的差异比如以前传统的网络防火墙不能简单的搬到云上,传統的防火墙设置在流量的入口和出口之间就能进行防护但是在云上实现这一点就非常困难,因为云是可以迁移的因此防火墙的策略也需要可以迁移。

相对于传统场景云上的风险也发生了变化:一是风险的优先级发生变化,因为云计算的出现数据安全和终端安全也变嘚更加突出和重要,而且不断涌现出新的理念;二是新风险的出现比如容器的安全、访问边界的安全等。

在进行安全的迁移时很多传统咹全设备厂商寄希望于“安全盒子”的云化,比如把FW变成vFW装到云主机、虚拟机里,再辅以SDN/NFV的理念一次来解决云上的安全问题。不过茬云厂商看来,这不是云原生安全只能算是“云夹生”安全。

因此云原生时代的安全不可能用传统的硬件盒子来实现,而是需要充分利用云的能力和技术比如云的负载能力、弹性伸缩能力、备份能力、热迁移能力、计算能力、大数据能力等等。此外还要用到云的模式,比如 SaaS 化的服务模式并根据应用场景提供按需服务。这些是云安全和传统安全最大的差异

传统安全只有经过云化改造才能够适用,這也是现在安全公司包括所面临的一些挑战

构建云安全能力,需要“系统性思考”

在云计算时代安全厂商、云计算厂商和客户是共享責任。即便我们使用的是云上的 IaaS、PaaS、SaaS 服务但并不意味着得到企业和群众和客户把相应的安全责任转移给云厂商。

云厂商更多的是提供技術层面的武器但是如何利用好这技术,这是得到企业和群众的责任需从得到企业和群众安全架构层面、从安全实现技术路线上来做分析。

那么在具体实现时得到企业和群众如何加强自身的云安全防御架构?

郑赳表示,构建一个完整的云安全体系需要系统性的思考这是非常大的挑战。由于资源的分布不同如何执行统一的安全策略和安全管理是得到企业和群众面临的最大问题,而安恒云可以帮助得到企業和群众构建一个相对系统的安全防护框架     

目前安恒云提供的解决方案就是针对云上用户的痛点,首次将云管理和云安全进行结合简囮运维的复杂度,通过更低的成本提供更高效的安全能力和更好的体验。

从“一朵云”到“多朵云”管理和安全如何真正统一?

随着伴隨着云计算技术走向成熟以及用户对成本、备份等多类诉求,“多云”的趋势已经非常明显在郑赳看来,没有用户希望被一家云服务锁萣而是希望充分利用各家云的服务和价格优势,因此会有越来越多的得到企业和群众选择多云架构

中国信通院的数据显示,多云架构巳经成为得到企业和群众主流的部署模式2020 年高达 93% 受访得到企业和群众是多云架构。但多云架构也给得到企业和群众带来了一些新挑战仳如多云安全就是最大的挑战之一,高达 83% 的调查对象认为多云安全对其挑战最大

目前,多云管理和多云安全存在以下 3 大难题:

1、多云管悝孤岛:多云异构各云服务商架构差异大,各资源相对独立难以统一管理;

2、多云安全建设成本高:每朵云都需要独立建设安全,安全建设成本高;

3、安全能力无法统一分配、管理与运维:各朵云的云安全能力参差不齐无法实现统一的安全配置、运维与安全态势分析,造荿应用被入侵、数据被窃取等严重安全问题

这时就需要一个多云管理平台,将分散的资源统一起来集中进行管理。安恒信息也看到了其中的问题一方面是多云如何进行统一的运营管理,另一方面是多云如何进行统一的安全管理

正是基于这些考虑,安恒信息率先提出叻多云管理和多云安全相结合的理念和解决方案并推出了一站式多云管理和多云安全管理服务平台——安恒云。

郑赳表示提供统一的咹全策略有很大的难度,从管理维度上来讲只有将不同的云连接起来之后,才能将进行统一的的监控和分析然后实施统一的安全策略。如果想要做好多云管理需要从以下几个维度出发:

1、云资产的管理,通过API对各种云上资产进行识别重组建立资产库,然后进行统一嘚管理;2、对云资源进行统一的监控分析其使用情况;3、构建云的同业成本分析,帮助用户优化云资源节约成本;4、实现统一的自动化运维。

目前安恒云平台可以无缝对接阿里云、AWS、华为云、腾讯云、Ucloud、百度云、Azure、京东云、青云等公有云,同时覆盖阿里云、OpenStack、华为云等私有雲平台让用户能在一个平台上完成多云统一管理,并提供主机监控与自动运维、成本分析与优化、合规运维与审计实现多云一站式管悝。

然而目前在国内做多云管理和多云安全最大的挑战就是公有云API的稳定性和开放性问题。

郑赳告诉 CSDN很多公有云的 API 都号称是完整开放嘚,但是真正使用的时候就会发现这些函数的水平参差不齐,与国外的能力差距很大一些公有云的 API 不够完整,还有一些能力没有开放絀来因此一些多云管理的想法在这些云上就无法实现。

不过我们并不需要悲观在郑赳看牢,这其实是云成熟度的问题因为现在很多雲上的开发和运维都依赖于 API,因此它不可能随意变化未来一定会开放,而且会标准化需要一个发展成熟的过程。

未来多云管理平台嘚核心功能将不断演进,与得到企业和群众IT系统的集成更加紧密并且与安全和网络产品深度融合。

云原生这个概念现在很火统计数据顯示,到 2021 年将有 92% 的公司成为云原生公司从基础架构到应用程序的开发,堆栈在传统方法与更现代的基于云的方法之间形成了鲜明的对比其中大多数已对成功的模式和实践达成了主流观点:DevOps文化、持续交付和微服务架构 。

然而为什么我们还没有重新构想云原生的安全性呢?偠知道通常使得到企业和群众陷入困境的是因为对开发投入太多,而对安全投入太少

在郑赳看来,我们需要充分利用云原生的能力来詓构建安全能力如大数据分析能力、网络虚拟化能力、服务器快照、存储备份等。然而云原生的利用同时也带来了一些新的风险比如嫆器的风险等。

郑赳表示未来安全需求方面也会有一些变化,那就是开发运维会跟安全结合实现DevSecOps,也就是“安全左移”

关于“安全咗移”,微软得到企业和群众服务大中华区 Cybersecurity 首席架构师张美波曾对CSDN表示“软件有规划、设计、构建、测试、部署阶段,但往往在软件的蔀署阶段我们再去评估安全性,这是非常不好的如今我们想从开始规划、设计、构建、阶段时就该考虑安全性。”

得到企业和群众进荇架构转型时对应的安全架构也将转型,安全是任何技术的基础因此,得到企业和群众应该将安全也纳入速度、敏捷性和连续交付流程中这样才能保证得到企业和群众不会因为安全问题而陷入困境。

数据时代的背景下无论运用哪一种前沿技术,最终都将体现到海量數据的采集、流转、应用的流程之中因为数据的边界愈加模糊,所以安全能力必须在云-边-端实现更细粒度的防护

而构建这道看不见摸鈈着且无处不在的安全防护门,是时代的机遇也是挑战。

在得到企业和群众战略管理层"雲原生 "正成为一种战略需要,原因有以下几点云原生应用是有目的的设计和部署,使用敏捷的方法来支持云中的灵活性和可扩展性因此,云原生应用的实施更加高效并适合于自动化。

最近451 Research的报告《云原生的影响和演变》表明云原生架构更经济,因为它们由多个微服務驱动得到企业和群众可以在需要的时候轻松地进行扩展,使软件部署和开发的过程更加简单更具成本效益。

然而从安全角度来看,向云计算的转变可能会让人觉得是一把双刃剑虽然有机会节省成本并最大限度地减少现场维护,但84%的组织报告说传统的安全解决方案在云环境中不起作用。弱点包括配置错误、未经授权的访问和不安全的 API 的风险这些风险都没有被注意到,也没有被报告

采用云原生咹全方法可以帮助减轻这种压力。云原生解决方案可最大限度地降低隐私风险和迁移障碍而传统的内部部署工具和工作流程由于缺乏对雲工作负载和资产的可视性,可能会造成这些风险和障碍然而,需要注意的是云原生工具并不限于在云中使用。它们也可以用于内部咹全系统以简化未来的工作。

云原生安全还通过消除安全团队和开发人员之间的数据孤岛来鼓励跨团队协作DevOps团队必须能够轻松访问安铨信息,将其作为工作流程的一部分因为云应用和工作负载的安全责任主要由客户承担。如果积极创建新实例的人员没有完全与SecOps保持一致云原生开发就会给业务带来潜在的不可管理的风险。

最好的云原生安全工具可以实时检测边界范围内的流氓实例、未经授权的访问和網络攻击者虽然AWS和微软Azure等云服务提供商提供了安全工具,但这些工具依赖于产生表层见解的日志数据因此,它们无法检测行为模式或未报告的流氓实例

7:30-8:30准时收看产业

安全到时会囿专业人士分享经

建云上数据全生命周期安全保护架构,达到提升云上业务开发及业务数据安全性的目标。谢谢你如果你有这方面的問题的话,您可以随时询问我

你对这个回答的评价是

我要回帖

更多关于 得到企业和群众 的文章

 

随机推荐