青藤云安全

青藤云安全:云安全到底是什么?

2019-10-21

云安全到底是什么?是传统厂商的盒子的iso化?是云厂商自身具备的安全能力?或者SaaS提供安全服务?

一、云安全标准

要想了解云安全真正的含义,首先要了解云计算本身。根据NIST定义,云计算按照服务模式分为IaaS、PaaS和SaaS,按照部署模式分为私有云、公有云、社区云和混合云,按照用户角色分为消费者、供应商、代理商、运营商和审计方。

根据国际的CSA TCI-RA、NIST SP 500-292、NIST SP 500-29,以及国内的GB/T 31167-2014、GB/T 31168-2014等标准来看,简单来说,云安全就是根据云计算的服务模式、部署方式以及角色,提供有针对性的安全方案。

然而,实际的云安全建设往往错综复杂,下面几个观点有助于大家更了解云安全。

(1)云安全责任共担

用户和使用的云服务商不同,安全的责任也不同。如果用户只是使用IaaS层的服务,IaaS层安全由云服务商提供,之上的所有中间件以及业务安全责任全部由用户自己承担;如果使用的是SaaS层的服务,云服务商就要提供云相关全栈的服务;PaaS层的情况介于这两者之间。

这不同于IDC环境下的安全。从用户角度来说,安全责任变轻了:以前从建设机房到部署应用的安全全部由用户自己承担,现在云服务提供商要承担相关的安全职责。

(2)组织要满足合规与审核

将业务从传统IDC迁移到云的一个重大挑战:遵守众多的合规和审核的约束。《网络安全法》已经开始正式执行;公安方面的等级保护针对云方面也推出了等保2.0,以覆盖等保1.0在云计算领域的缺失;大数据中心联盟也推出了可信云的相关标准;网信部门更是对每个行业都提出新的监管要求;TC260针对政府上云提出了GB/T 31167和31168。这些规定都意味着组织要承担更重大的监管责任。

目前对于云计算厂商的审计并不充分,大多情况都是通过一次性的测评来证明云计算的安全性和可靠性。对于客户而言,更有保障的方法是通过认证方式对云计算厂商进行持续的认证。

(3)事件响应

信息安全领域不存在无懈可击的防御,无论是周详的计划还是周全的预防性措施,都无法完全避免信息资产遭到攻击。正因如此,致力于减少组织受攻击损失程度的事件响应,成为了信息安全管理的重要基石。

云计算给事件响应带来了新的机会。对于云的持续监控机制,可以减少事件处理时间或者事件响应频率。虚拟化技术和云计算平台固有的弹性特质,相比传统数据中心技术减少了服务中断时间,让遏制和恢复措施变得更有效率和效果。

二、云安全挑战

为了安全地使用公有云、私有云、混合云等丰富多样的数字化服务,越来越多的企业需要满足不断增多的各种安全要求。企业要满足这些需求,必须首先意识到云安全方面的三大挑战:保护多租户环境下的信息;虚拟化和私有云安全;SaaS可视化和控制。这三大挑战将为企业的云安全建设提供实用的分类方法。

(1)评估和控制多租户环境下的安全和合规风险

对于企业而言,使用多租户的云服务并不会直接导致安全问题,具体要看云厂商采取的安全措施。综合评估云厂商提供的服务和安全性,持续对云厂商进行风险监控,能够让企业在享受优质云服务的同时做到安全、合规。不过,市场对云厂商的评估和持续监控还没有形成最佳实践。

(2)使用CWPP和微隔离等新技术保护虚拟环境下的工作负载

云服务商的安全措施在某种意义来说比自建IDC机房的安全措施更好,但这并不意味着把工作负载从本地迁移到公有云上就能自动获得安全保障。实际上,云服务使用者应该利用好云厂商的安全特点和优势,比如,利用好云厂商的安全自动化,能够大幅减少配置错误、管理错误、补丁缺失、人工操作失误等造成安全漏洞数量,从而大大提高云的安全特性。云工作负载保护平台(CWPP, cloud workload protection platform)和微隔离等新的技术能够在保证各种云环境下的安全,越来越受到国内外组织重视。

( 3)明确SaaS环境下的数据保护和行为监控

从当前企业支出来看,SaaS是比IaaS更重要的计算领域。对此,有些企业专门制定了SaaS评估、使用和部门职责的相关规定,也有些专家、架构师组成专门部门来管理SaaS应用。另一方面,安全团队在保护数据和监控行为时,要使用比SaaS厂商提供的控制机制更高级的技术手段。使用第三方产品来集中有效管理安全策略、权限和行为,也越来越被各种规模的企业所重视。 

三、云安全机遇

根据Gartner预测,2017年基于云的安全服务市场规模将达到41亿美金,云安全的发展也将受益于云计算市场的快速增长。

反观国内云计算市场,经过十年发展,目前已经“赛程过半”,上半场以中小长尾和互联网产业为主要目标客户,以公有云为主要交付形态,洗牌基本完成。下半场将以数字化转型为核心诉求,以传统纵向行业、大型企业为主要目标客户,以混合云为主要交付形态。

国内大环境而言,网络安全领域得到了实质性的重视和发展。国家强调在任何技术领域必须提倡自主可控,这意味着国内安全厂商的机会大大增加。虽然我国网络信息技术和网络安全保障取得了不小成绩,但同世界先进水平相比还有很大差距。我们要填补国内安全市场的空白,跟国际接轨,追赶世界最高安全水平。



预测、防御、检测、响应,让安全一触即达

免费试用
电话咨询
售前业务咨询
400-800-0789转1
售后业务咨询
400-800-0789转2
复制成功
在线咨询
扫码咨询
扫码咨询
预约演示 下载资料