大家好,我是中国信通院的孔松,明天次要为大家分享一下在数字化背景下平安能力建设的一些要求和趋势。
我明天的分享次要包含四大局部。
一、梳理云时代企业平安建设面临的一些新的需要,新的挑战;
二、摸索云平台如何去做一些安全性的建设;
三、从用户视角登程,在企业上云用云的过程中,如何去发展云平安防护的建设;
四、对整个云平安的趋势做肯定的瞻望。
咱们能够看到,这两年随着企业数字化转型的一直推动,我国云计算市场规模出现一个蓬勃发展的态势。在国家政策层面,踊跃的推动企业上云用云,包含二零三五年远程目标大纲,以及十四五数字经济倒退布局,都提出了要施行上云用数赋智的口头。像云计算,网络安全等这种新兴的数字产业,须要去鼎力的培养。而同时,即便在新冠疫情的冲击之下,我国整个云计算市场依然放弃着一个比较稳定的增速。2021 年,据咱们统计,整个国内的云计算市场达到了 3000 多亿元,而其中私有云市场占据了比拟高的比例达到了 2000 多亿元,增速相较于 2020 年达到了 70%。
因而,随着整个云计算的继续倒退,它也越来越成为黑客攻击的重要指标。依据相干的数据能够看到,在数量上来说,云平台承载更多的攻打,与传统的 IT 环境相比,它所占的安全事件的比例是远超过传统 IT 环境的。而在类型上来说,一方面云计算也面临着典型的攻击方式和事件类型,同时也会有一些新的攻击方式,包含云计算引入了虚拟化容器微服务等新的技术,这些新技术也成为了攻击者的利用对象,比方一些被部署歹意容器的事件等。
同时,这两年软件供应链事件也是受到了十分多的关注。尤其是在云计算场景下,一方面波及到十分多的容器镜像,同时,云平台的云服务商可能也被黑客作为一个突破口,利用云平台的一些薄弱点,或者云服务商的一些能力的薄弱点,进而去影响云上的租户。
在整个严厉的态势背景之下,企业越来越器重云平安的建设。咱们在去年发展了相应的倒退调查报告。在这个考察中,咱们理解到,企业在抉择云服务商的时候,除了产品的价格这些思考因素之外,服务安全性是他们最关注的一点。他们会抉择绝对可信、平安的云服务商。第二,从整个市场上来看,私有云平安服务的市场也出现着一个稳定增长的态势。据 Gartner 的统计,整个 21 年,寰球的市场规模达到了 100 多亿美元,而 2022 年的话也是放弃着一个较好的增幅,不论是市场层面,还是用户层面,对于云平安都是出现越来越器重的趋势。
那么,咱们该如何去发展整个云平安建设?在我看来更多的是须要去摸索在企业上云过程中产生的变动,这些变动又对应的是哪些平安需要,而这些平安需要都应该贯彻到整个云平安的建设过程中。
第一,从部署模式上来看,在私有云场景下,资源和数据基本上都是因为服务商管制,这也就决定着企业上云用云之后,它的平安建设不只是本人的事件,云平台和云服务商是一个十分大的重要的组成部分。同时这两年多云混合云也成为了租户思考的一个比拟重要的部署模式,这种多云混合云中跨云的数据交互比拟频繁,资源裸露面也十分大,这也就为用户上云之后的平安防护的性能提出了比拟高的要求。
第二,在技术利用角度来说,一是平台波及到虚拟化容器等技术,也就导致租户其实是共享底层技术架构的,这一方面更多的就体现在服务商和平台它在做平安建设的时候应该充分考虑到这种多租户之间的一些平安的问题。同时,像微服务分布式架构的广泛应用也导致企业云上的东西向流量的激增,所以用户在整个平安建设中,其实咱们不不仅仅须要思考南北向的这种平安防护,更多的也须要思考东西向的一些平安防护的机制。
第三,其实也是十分重要的一点,就是合规要求的变动。一方面网络安全法数据安全法这种比拟通用的法律法规也在逐渐的公布施行,所以企业须要针对于这些法规要求去做云平安的建设。另一方面,是面向云的一些标准制度规范要求也在一直地欠缺。
咱们能够看到,想要建设一个残缺的云平安体系,须要从两侧去登程,包含平台侧云服务商的一些平安能力,同时也包含用户侧它本人联合行业的一些个性需要,或者是一些业务属性的需要,去发展本身的平安防护的建设。在整个过程中,其实都秉承着一个责任共担理念。
第二块,咱们大略剖析一下平台侧如何去建设平安工作,为用户提供比拟平安的上云基座。
第一局部,从用户和服务商之间的互动,咱们能够看到最间接的就是服务商去向用户交付云服务,尤其是在专用云的场景之下。所以咱们提倡云服务商应该从云服务的要求阶段起,始终到整个下线阶段的全流程去贯彻平安前置的理念,从整个流程上都融入肯定的平安机制,进而优化云服务的平安能力,来晋升用户的体验。
咱们之前调研发现用户十分多的安全事件都是因为没有十分好的去应用云服务配置,导致产生了十分多的损失,所以这就须要云服务商去反复思考这样的一个状况,将平安贯彻到整个云服务的生命周期。
在整个生命周期中,IaaS PaaS SaaS 云服务均需思考三大类平安因素。
第一类是服务应该面向用户侧做一些访问控制和身份甄别。
第二类是服务和用户之间的交互过程中应该去充分考虑行为审计机制,同时对交互的数据有肯定的爱护机制。
第三类是思考到服务本身应该有一些平安运行的能力,同时有一些安全策略治理的能力。
第二局部,是云服务商应该针对云计算这样非凡的业务去发展继续的危险管理工作,包含继续进行危险的评估,做危险的处理,监测,而后继续升高相应的云计算的危险。
在整个危险评估过程中,其实次要波及到九大类
1)服务商是不是有正当的云计算相干的风险管理的组织架构和相应的针对性的粗疏的可落地的策略并执行相应的要求。
2)须要充分考虑云计算内部的危险,包含云计算底层的数据中心、依赖的物理设施以及云计算的计算存储网络架构。
3)须要充分考虑云平台的一些危险,包含多租户的平安隔离,以及租户和平台之间的相应的平安隔离,同时还有像控制台、云服务数据等这些要害因素的平安。
4)须要充分考虑服务商外部跟云计算相干的开发测试,运维等等人员,以及外包人员的一些危险。
5)须要对整个云计算,从整个流程上是不是有相应的一些危险管理机制。
6)须要思考云计算的合规,既包含云服务商外部的合规机制,又包含云服务商对云用户的一些要求,如实名认证。
7)须要思考云计算的业务连续性,服务上须要制订相应的业务连续性的打算,发展相应的一些应急演练。
8)供应链其实也是云计算中十分重要的一点,次要是因为云计算在开发的过程中波及到十分多的一些开源软件以及上下游,都比较复杂,所以肯定要发展相应的风险管理的工作。
9)最初须要有一个继续的危险沟通和监测的机制,既包含服务商跟用户之间的这些及时的危险告知和它的一些责任划分,同时也包含云计算相干的一些链条里的威逼情报。
第三大部分其实是用户最关怀的一块,尤其是在私有云场景下,上云之后,服务商是不是可能对数据提供充沛的爱护能力,可能建设这样的一个信赖机制。咱们认为在整个数据保护方面,服务商应该从事前、事中和预先三个层面去建设肯定的管理机制和技术手段。
在整个要求中,咱们后期调研后发现用户在事先防备中其实特地关注数据隐衷性、数据知情权和数据销毁安全性这三个要求。对于隐衷性,更关注数据上传到云之后服务商外部的一些人员是否有权力去查看到我的数据,我的数据对于服务商是不可见的。而对于数据知情权,是用户心愿可能及时的晓得他的数据被如何去应用,如被监管机构调取证。对于数据销毁性,其实也是用户最关怀的,就是当服务销毁,或者是被动删除数据之后,这个数据在云平台是否彻底的销毁,没有留存。
在预先追溯的方面,用户特地关注用户侧行为的平安审计能力和服务商的行为审计能力,以保障从两侧都可能做到行为的可审可溯。在安全事件产生之后就能够疾速定位到起因,疾速的去进行阻断。
在整个的这个流程中,云服务商更多是须要从两大方面来去贯彻这个数据保护能力的晋升。一方面是上述的整个机制都须要去做到这种平台化,自动化,可能去做到一些自动化的记录,阻断或者是告警,进而减少整个数据安全事件的可审计性和可追溯性。同时,其实为了建设这个可信,须要服务商可能做到对用户及时的披露,以及做到履约执行的相应的能力,包含不论是事先措施可能及时的告知用户,以及事中的一些问题,或者是预先的一些处理伎俩,都须要去及时披露给用户,进而建设服商和用户之间一个可信的桥梁。
最初一部分,服务商十分须要去做的就是责任的共担,咱们认为其实应该去从几大方面来讲,别离包含物理基础设施的平安、资源形象和治理层面的平安、操作系统的平安、网络管制平安、利用平安、数据安全以及身份辨认和拜访治理的平安等等方面。须要留神的是在比如说 IaaS PaaS 或者 SaaS 不同类的这种服务中可能对于某一些责任,它的定义是有区别的。
对于镜像平安来说,在 IaaS 场景下,其实更多的是指代云服务商向用户交互的这种公共的镜像,或者是第三方服务市场中的镜像,以及用户本人应用的一些其余起源的镜像。而在 PasS 和 SaaS 场景下,其实是不波及到向用户交付相应的镜像,更多的是服务商本人应用的一些镜像的平安,所以这个须要在不同的场景下明确不同的责任的定义。
在整个责任定义明确之后,须要建设一个责任共担模型,进而去辨认哪些是云服务提供者的责任,哪些是云服务客户的责任。这样可能在事先明确单方的责任之后,最大可能防止安全事件的产生。
肯定要确保相应的用户和服务商都可能承当本人的责任,而同时,因为责任清晰的界定,如果产生了事件,在预先也更可能去主观的做事件的定责,进而可能通过法律或者是经济的伎俩来升高相应的责任的损失。
上述是咱们认为的云服务商应该从哪些视角去一直的晋升本人的平安能力。同时用户因为有本人的一些业务属性,或者是一些行业的要求,在云平台的安全性根底之上,还应该发展本身的平安防护能力的建设。
接下来的这一部分,我次要介绍一些在这方面的摸索。包含第一方面咱们认为最要害的就是做云工作负载的爱护。这个次要是思考到两方面的挑战,一是用户上云之后,波及本地的物理设施以及云上的这种虚拟机容器,以及多云环境下不同的虚拟机容器之类,各种异构资源的平安的问题。同时,多云混合云场景下,如何做跨云的对立平安治理也是它的一个痛点。在此背景之下,其实 Gartner 早在几年之前就提出了云工作负载爱护 CWPP 的概念,来去为云上资产最初一公里云工作负载去提供相应的爱护。
咱们认为在整个 CWPP 的建设过程中,其实它分两大类的能力。
第一是外围的平安能力。也就是可能通过这些能力去保障工作负载的平安,包含传统意义上物理服务器平安过程中波及到的,比方平安基线的扫描,入侵检测,恶意代码防备等等,也包含云环境下须要去做一些容器的平安,须要去做一些微隔离等等。
第二大部分是平安治理的能力,这一部分的能力更多的是撑持外围的平安能力充分发挥,晋升企业上云之后对工作负载的平安治理,包含像对立的资源管理,可视化,安全策略的治理等等。
综上,其实是思考到须要做云上的这种利用和网络的平安,这也是两个其实在行业里倒退比拟成熟的计划,云 WAF 和防火墙,而这两个计划随着云的倒退,也出现了肯定的演进和变动。
咱们强调云 WAF 和防火墙,随着上云过程的推动,须要去朝着原生云方向去倒退,包含对于云 WAF 来说,咱们须要它在私有云场景下,可能跟这种 CDN 等等云的网络设施进行比拟好的交融整合,进而给云上利用提供更好的平安防护。第二是对于防火墙,用户不仅仅须要关注互联网到内网之间的平安防护,更多的也须要去思考到 VPC 和 VPC 之间的一些访问控制,这个也是云防火墙的一个比拟重要的能力。
同时,因为随着云整个资产的弹性变动,云上业务和利用的弹性变动,WAF 和防火墙也都强调分布式部署和弹性扩大的能力。
在以上的能力建设之后,其实咱们也强调用户须要去做对立的这种平安治理和经营。这个也是心愿可能进一步的实现平安资源的整合,在对立平安治理和经营的阶段,其实不仅仅须要平台,还须要人员的能力建设和经营管理机制的一个欠缺。
在整个这三大块过程中,其实次要是实现四点指标;
第一是可能对云上的资产进行对立的治理,包含自动化的盘点,配置的查看等等。
第二是须要对所有的安全事件进行对立的关联剖析。因为随着整个业务的增长,咱们的平安数据呈爆炸式增长,如何去利用这些平安数据也是比拟要害的,所以须要通过关联剖析发现潜在的平安危险。
第三是安全策略的对立治理和编排,这个也是因为波及到十分多的平安工具和设施,须要有一个高效的伎俩可能做到对立的这种策略的下发和配置。
最初的,是须要有平安态势的可视化的能力。这样可能更直观形象的去把握整体的态势。
最初,随着上云的倒退,云上的业务更加简单,不仅仅须要关注网络数据安全等,同时也须要关注一些业务侧的危险。所以,随着整个黑灰产的一直的倒退,上云企业须要去联合大数据,人工智能隐衷计算等等这些新的技术去晋升本人的业务风控能力,进而实现云上业务的平安。
最初想跟大家讲讲对整个云平安倒退的一个小小的瞻望。
一方面,这两年以及将来的几年, 零信赖肯定是十分须要大家关注的一个点。咱们认为整个零信赖在将来肯定会贯通到云基础设施,到云下层利用的各个层面,包含比如说在平台侧服务商须要基于零信赖理念去构建不同的服务,包含 IaaS PaaS SaaS 等等。
一方面,在整个服务的研发经营过程中充沛的利用零信赖,比方在开发的时候,人员须要用零信赖理念去做开发,同时把零信赖的一些理念贯通到 IaaS PaaS SaaS 的平安的性能下面。对于用户侧来说,用户也须要基于相应的零信赖理念去实现不同场景的平安机制,比如说多云混合云的接入,或者是一些 API 的防护等等。
目前来说,大家越来越器重平安,所以波及到十分多的一些平安工具,平安技术,平安伎俩的驳回。在整个过程中,用户也面临肯定问题,比方没有那么多业余的人员去充沛的利用平台,一些安全事件的操作比较复杂。所以用户越来越意识到平安的建设不是一味的去叠加平安工具,而是须要去做肯定的平安整合,平台或者供应商的整合,进而晋升平安资源的利用率,充沛的去开释整个平安数据的价值。
中国信通院始终聚焦在云平安畛域发展了十分多的工作,包含会制订相应的一些行业标准,国家标准或者是一些 ITU/IEEE 等等国内的规范。进而去标准行业的倒退,同时也会基于规范去发展肯定的测试评估工作。每年咱们也会聚焦在一些云平安的重点畛域或者是一些痛点去公布相应的一些报告,比方咱们会公布一些责任共担的白皮书,云服务平安治理的白皮书,以及供给侧的一些全景图的梳理等等。
与此同时,咱们也建设了生态联盟,心愿可能依靠生态联盟去建设云服务商平安厂商和重点用户之间的这样的一个桥梁。来晋升他们在某一些方面的平安能力,所以目前咱们聚焦在像业务平安,供应链平安,零信赖等等方向都成立了一些生态联盟,进而推动细分平安畛域的倒退。
获取完整版 PPT,请填写问卷:
https://wenjuan.feishu.cn/m?t…
视频回放链接:
前线沙龙第 26 期——数字化时代云平安能力建设及趋势
https://www.bilibili.com/vide…
前线平安平台:https://www.huoxian.cn/
前线 Zone 社区:https://zone.huoxian.cn/?sort…