艾銻人給您講述云安全是什么鬼？

2020-03-08 17:43 作者：admin 瀏覽量：

如果二月份因為疫情在家，你沒有體驗到春風似剪刀的感覺。
那三月份很快就要來了，你會迎著小雨一邊走一邊唱著歌嗎？
在二月里你是怎樣度過的？你的企業復工了嗎？
這一個月留在你生命中有哪些難忘的記憶呢？
從二月三號開始，艾銻無限小伙伴就進入了自己的工作狀態：
有的人因為封城一直在家遠程為客戶提供服務，
有的人回到北京被隔離14天在自己住的地方給客戶提供服務，
有的人春節只休了7天假期就早早回到了北京，
有的人從未離開過北京人，所以他們才能在二月工作26天。
每一種選擇都是選擇，每一種人生都是人生。
我們期望回首2020年的時候，可以自豪的對自己說，
生命中的每一天，都是最好的一天，
感恩所有人，感恩一切的發生，感恩逝去的那些日子.
 
三月是一個全新的開始，送上一篇可以幫你解決技術難題的文章，讓你更好的投入全新的工作狀態:
艾銻人給您講述云安全是什么鬼？
云安全到底是什么？是傳統廠商的盒子的iso化？是云廠商自身具備的安全能力？還是SaaS提供安全服務？這些觀點都比較片面，作為聊天話題還可以，但落地還需要認真討論。
   
一、云安全標準
要想了解云安全真正的含義，首先要了解云計算本身。根據NIST定義，云計算按照服務模式分為IaaS、PaaS和SaaS，按照部署模式分為私有云、公有云、社區云和混合云，按照用戶角色分為消費者、供應商、代理商、運營商和審計方。
 
云安全的定義根據國際的CSA TCI-RA、NIST SP500-292、NIST SP 500-29，以及國內的GB/T 31167-2014、GB/T 31168-2014等標準來看，簡單來說就是根據云計算的服務模式、部署方式以及角色，提供有針對性的安全方案。
 
然而，實際的云安全建設往往錯綜復雜，把握幾個關鍵的觀點，有助于大家更了解云安全。
 
云安全責任共擔
云安全責任共擔
 
用戶和使用的云服務商不同，安全的責任也不同。如果用戶只是使用IaaS層的服務，IaaS層安全由云服務商提供，之上的所有中間件以及業務安全責任全部由用戶自己承擔；如果使用的是SaaS層的服務，云服務商就要提供云相關全棧的服務；PaaS層的情況介于這兩者之間。
 
這不同于IDC環境下的安全。從用戶角度來說，安全責任變輕了：以前從建設機房到部署應用的安全全部由用戶自己承擔，現在云服務提供商要承擔相關的安全職責
 
組織要評估和滿足合規與審核要求
將業務從傳統IDC遷移到云的一個重大挑戰是：要遵守眾多的合規和審核的約束。尤其在國內的環境，監管方存在“九龍治水”的情況。《網絡安全法》已經開始正式執行；公安方面的等級保護針對云方面也推出了等保2.0；以覆蓋等保1.0在云計算領域的缺失；大數據中心聯盟也推出了可信云的相關標準；網信部門更是對每個行業都提出新的監管要求；TC260針對政府上云提出了GB／T 31167和31168。這些規定都意味著組織要承擔更重大的監管責任。
 
合規可定義為對企業義務（企業社會責任、適用法律，道德指南）的感知和遵循，包括對適當和必要的糾正性措施的評估和排序。在某些高度監管的環境下，透明度可以對內部特定策略進行補充，成為組織效率的優勢而非制約。
 
總體上，組織要保證合規性和完成審核，需要評估自身合規狀態，借此感知和履行企業義務（社會責任、道德標準、法律責任等）；評估風險、不合規代價以及合規成本，從而評估是否采取適當或必要的糾錯性措施。
 
對于客戶和服務提供商而言，內審和外審以及各種控制措施都合情合理、可為云計算效力。目前對于云計算廠商的審計并不充分，大多情況都是通過一次性的測評來證明云計算的安全性和可靠性。對于客戶而言，更有保障的方法是通過認證方式對云計算廠商進行持續的認證。
 
事件響應
信息安全領域不存在無懈可擊的防御，無論是周詳的計劃還是周全的預防性措施，都無法完全避免信息資產遭到攻擊。正因如此，致力于減少組織受攻擊損失程度的事件響應，成為了信息安全管理的重要基石。
 
云計算不需要一個新的事件響應框架，只需將原有的響應程序、處理機制和工具與云計算相關的環境對應起來。與此同時，組織也要意識到，云計算的某些特征會影響事件響應的效果。
 
首先，云計算屬于按需自服務，客戶在處理安全事件的時候很難甚至不可能從云服務商那里獲得協助；第二，云服務的資源池化可能會導致 事件響應過程復雜化；第三、在多租戶場景下，如果沒有關于隱私信息的處理和資源池化的云服務方式，收集和分析事故的非直接數據和原始數據可能造成對隱私問題的擔憂。
 
另一方面，云計算也給事件響應帶來了新的機會。對于云的持續監控機制，可以減少事件處理時間或者事件響應頻率。虛擬化技術和云計算平臺固有的彈性特質，相比傳統數據中心技術減少了服務中斷時間，讓遏制和恢復措施變得更有效率和效果。此外，由于虛擬機可以很容易地被移動到試驗環境中并管理運行環境、取得鑒定映像及進行檢查，這些都使得事件調查更容易開展。
 
目前情況并不太樂觀，國內云計算廠商對于事故響應的手段極其有限，大部分是通過人工服務的情況進行解決，責任無法定位，造成的損失也無法衡量，導致用戶和云服務提供商之間的不信任感。
 
二、云安全挑戰
云安全挑戰
 
為了安全地使用公有云、私有云、混合云等豐富多樣的數字化服務，越來越多的企業需要滿足不斷增多的各種安全要求。企業要滿足這些需求，必須首先意識到云安全方面的三大挑戰：保護多租戶環境下的信息，虛擬化和私有云安全，以及SaaS可視化和控制。這三大挑戰將為企業的云安全建設提供實用的分類方法。
 
評估和控制多租戶環境下的安全和合規風險
安全管理人員關注公有云的相關安全問題。缺乏持續性的合規和風險的評估以及安全過程，使得一些敏感的場景無法遷移到公有云。
 
使用多租戶的云服務并不直接導致安全問題，跟云廠商采取的安全措施有關，對云廠商的形成強大的挑戰。持續的對云廠商進行風險監控還需要一段路。
 
安全管理人員甚至所有IT人員都關注公有云廠商是否安全。實際上，沒有直接證據證明公有云廠商自身安全不到位會對用戶造成重大影響。然而，如何評估公有云廠商安全性以及監管機構對公有云的接受度仍然值得探討。公有云廠商缺乏透明度，合規狀態不明確，風險評估和安全過程不成熟，使得一些敏感場景無法遷移到公有云。
 
對于企業而言，使用多租戶的云服務并不會直接導致安全問題，還得看云廠商采取哪些安全措施。綜合評估云廠商提供的服務和安全性，持續對云廠商進行風險監控，能夠讓企業在享受優質云服務的同時做到安全、合規。不過，市場對云廠商的評估和持續監控還沒有形成最佳實踐。
 
使用CWPP和微隔離等新技術保護虛擬環境下的工作負載
對硬件資源的虛擬化催生了新的安全技術，比如工作負載安全。工作負載指的是服務器、虛擬機和容器等系統核心業務的載體。云服務商的安全措施在某種意義來說比自建IDC機房的安全措施更好，但這并不意味著把工作負載從本地遷移到公有云上就能自動獲得安全保障。實際上，云服務使用者應該利用好云廠商的安全特點和優勢，由此產生效果也會更好。比如，利用好云廠商的安全自動化，能夠大幅減少配置錯誤、管理錯誤、補丁缺失、人工操作失誤等造成安全漏洞數量，從而大大提高云的安全特性。云工作負載保護平臺（CWPP, cloud workload protection platform）和微隔離等新的技術能夠在保證各種云環境下的安全，越來越受到國內外組織重視。
 
明確SaaS**環境下的數據保護和行為監控
從當前企業支出來看，SaaS是比IaaS更重要的計算領域。由企業的哪個角色來負責SaaS治理尚無定論，對SaaS“所有權”的監管有所缺失，都影響了SaaS應用領域的推廣。
 
對此，有些企業專門制定了SaaS評估、使用和部門職責的相關規定，也有些專家、架構師組成專門部門來管理SaaS應用。這些都是比較好的實踐，能夠幫助企業更好、更快做出關于SaaS使用的決策。
 
另一方面，安全團隊在保護數據和監控行為時，要使用比SaaS廠商提供的控制機制更高級的技術手段。有數據顯示，在10,000個使用的SaaS應用中，諸如身份治理和管理（IGA, identity governance and administration）和CASB等單點控制技術變得越來越重要。使用第三方產品來集中有效管理安全策略、權限和行為，也越來越被各種規模的企業所重視。
 
三、云安全機遇
根據麥肯錫咨詢機構的預計，云技術至2020年全球每年創造的價值在3.72億美金。如果企業不重視云安全建設導致風險和損失，最終可能減少使用云技術。這種“數字反彈”的局面影響會非常嚴重，可能導致1.4萬億市場的萎縮。麥肯錫認為，企業在采用云技術的同時要同步建設云安全，這樣才會使得技術不會倒退，市場不會反彈。任何一項技術在大規模擴張之前都沒有考慮到安全問題（區塊鏈技術除外），而技術產生泡沫的原因之一，正是安全問題沒有得到充分的重視。
 
根據Gartner預測，2017年基于云的安全服務市場規模將達到41億美金，云安全的發展將受益于云計算市場的快速增長。
 
云安全機遇
 
反觀國內云計算市場，經過十年發展，目前已經“賽程過半”，上半場以中小長尾和互聯網產業為主要目標客戶，以公有云為主要交付形態，洗牌基本完成。下半場將以數字化轉型為核心訴求，以傳統縱向行業、大型企業為主要目標客戶，以混合云為主要交付形態。
 
筆者大膽預測未來國內將是行業云和私有云的爆發期，針對關鍵基礎設施（8+2）的云計算建設的方式，大部門會以行業云的方式存在。行業云（Industrial Cloud）這個概念跟國外標準中的社區云（community cloud）有類似的地方又不盡相同。行業云是數據和軟件的擁有者為行業內部的核心組織或者成員，但服務對象是大眾，滿足社會經濟運行信息需求。社區云的定義更著重于云計算后臺的地理位置。針對于私有云和行業云的安全方案前景更加明朗，但是一般來說這些廠商的安全措施比公有云廠商的安全能力會更差一些。
 
國內大環境而言，網絡安全領域得到了實質性的重視和發展。國家強調在任何技術領域必須提倡自主可控，這意味著國內安全廠商的機會大大增加。雖然我國網絡信息技術和網絡安全保障取得了不小成績，但同世界先進水平相比還有很大差距。我們要填補國內安全市場的空白，跟國際接軌，追趕世界最高安全水平。