信息化觀察網(wǎng)

本文來自科技云報(bào)道。

伴隨數(shù)字化浪潮席卷全球，企業(yè)在加速推進(jìn)以云計(jì)算為核心的數(shù)字化轉(zhuǎn)型的同時(shí)，也帶來了有別于傳統(tǒng)安全的云上安全問題。

在云計(jì)算架構(gòu)下，云計(jì)算開放網(wǎng)絡(luò)和業(yè)務(wù)共享場景更加復(fù)雜多變，安全性方面的挑戰(zhàn)更加嚴(yán)峻，一些新型的安全問題變得突出，如何用云的方式去解決云上安全問題成為各行業(yè)的重要命題。

在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，安全和合規(guī)是上云和用云的基石。

越來越多的企業(yè)認(rèn)識(shí)到構(gòu)建云安全戰(zhàn)略是一項(xiàng)持續(xù)性工作，需要有自上而下的頂層設(shè)計(jì)，要以安全為出發(fā)點(diǎn)構(gòu)建云上應(yīng)用。

數(shù)字化浪潮引發(fā)云端安全風(fēng)險(xiǎn)

無論是傳統(tǒng)網(wǎng)絡(luò)環(huán)境還是云端環(huán)境，安全問題始終存在，比如SQL注入、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)頁篡改、漏洞攻擊等；

而另一方面，新的安全問題也不斷出現(xiàn)，比如云上安全部署困難、虛擬機(jī)逃逸、東西向安全防護(hù)、數(shù)據(jù)泄露、云平臺(tái)安全審計(jì)難題等。

云安全和傳統(tǒng)安全的最大區(qū)別是責(zé)任范圍，傳統(tǒng)安全是用戶對(duì)自己的設(shè)備、程序、應(yīng)用等資產(chǎn)的安全全權(quán)負(fù)責(zé)。

由于云計(jì)算的特性，云安全則需要用戶和云服務(wù)商共同去維護(hù)安全，維護(hù)云計(jì)算的安全是兩者的共同責(zé)任，共同責(zé)任模型也是云安全最大的一個(gè)特點(diǎn)。

共同責(zé)任模型概述了由云服務(wù)提供商或用戶處理的安全要素。

責(zé)任范圍因客戶使用云的服務(wù)而異，根據(jù)組織使用的云服務(wù)提供商，職責(zé)分工將有所不同。

為充分解決云計(jì)算環(huán)境安全挑戰(zhàn)，通常云計(jì)算服務(wù)商會(huì)從公有云和私有云兩個(gè)場景下，針對(duì)云計(jì)算安全問題進(jìn)行處理。

比如在公有云環(huán)境下，云計(jì)算安全服務(wù)商會(huì)提供安全軟件、安全SAAS服務(wù)、安全產(chǎn)品、安全服務(wù)能力等。

而在私有云環(huán)境下，云計(jì)算安全服務(wù)商則會(huì)更多依賴于安全資源池的方式，通過幫助用戶構(gòu)建云安全資源池，來實(shí)現(xiàn)針對(duì)云計(jì)算環(huán)境的統(tǒng)一管理、彈性擴(kuò)容、按需分配等為一體的云安全綜合解決方案。

針對(duì)當(dāng)前中國的云安全市場，在《Gartner中國云基礎(chǔ)設(shè)施和平臺(tái)服務(wù)市場指南》中，Gartner預(yù)測，2024年中國將有40%的最終用戶在系統(tǒng)的基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施軟件上的支出會(huì)轉(zhuǎn)至云服務(wù)。

Gartner相信，云安全將成為中國安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者最關(guān)鍵的任務(wù)之一。

Gartner還預(yù)測，到2024年利用云基礎(chǔ)設(shè)施和編程性，改進(jìn)云上工作負(fù)載的安全保護(hù)將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性，并減少至少60%的安全事件。

然而，由于云安全與傳統(tǒng)的線下基礎(chǔ)設(shè)施平臺(tái)安全的不同，以及中國市場的獨(dú)特性，對(duì)于如何做好云安全，企業(yè)也面臨著諸多挑戰(zhàn)。

企業(yè)面臨的挑戰(zhàn)主要體現(xiàn)在以下三個(gè)方面：

對(duì)云安全責(zé)任分擔(dān)模型的理解和相關(guān)技能的缺失。

理解云安全和云安全提供商的安全責(zé)任分工是云安全成功的必要條件。云安全所需要的技能與傳統(tǒng)的邊界安全有所不同，企業(yè)相對(duì)能力的缺失，使云安全面臨更大的挑戰(zhàn)。

在選擇云安全工具方面存在困難。

因?yàn)榉侵袊脑品?wù)提供商（CSP）和安全供應(yīng)商在中國的技術(shù)可用性存在差距，而本地供應(yīng)商則將重點(diǎn)放在私有云上，以避免與公共云提供商競爭。

缺乏對(duì)云服務(wù)提供商持續(xù)的風(fēng)險(xiǎn)評(píng)估。

許多中國企業(yè)沒有對(duì)云服務(wù)提供商進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，不同的云服務(wù)提供商存在不同的風(fēng)險(xiǎn)，因此缺少持續(xù)的風(fēng)險(xiǎn)評(píng)估會(huì)讓企業(yè)的云上資產(chǎn)面臨安全威脅。

可見，成功的云安全需要透徹地了解云安全的責(zé)任共享模型，安全、技術(shù)、工具部署以及對(duì)云服務(wù)提供商的風(fēng)險(xiǎn)評(píng)估都非常重要。

與其臨場救火

不如防患于未然

與幾百億美元的云計(jì)算市場規(guī)模相比，云安全的投入比例仍然極小。

這意味著國內(nèi)云安全市場有很大的發(fā)展?jié)摿?，隨著上云企業(yè)快速增多，對(duì)云安全的需求將更為旺盛。

企業(yè)應(yīng)該面對(duì)數(shù)字化浪潮下的云安全？“云上安全的態(tài)勢(shì)時(shí)刻變化，日新月異，我們必須進(jìn)行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護(hù)。”

亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建表示，“與其去救火，我們更需要做的是防患于未然。”

亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建

陳曉建說，如果我們每天在全球范圍內(nèi)發(fā)生一起安全事故，客戶會(huì)怎么去看這個(gè)行業(yè)？怎么去防止這些極小概率的事件發(fā)生？

極小概率的事件往往是由多種因素造成的，并不只是由一個(gè)因素引發(fā)，發(fā)現(xiàn)這些有可能發(fā)生的、極小的概率事件，這就是云安全要做的事情。

伴隨快速增長的云計(jì)算市場，新出現(xiàn)的云安全趨勢(shì)正影響著未來的云安全市場。

企業(yè)無論是選擇公有云還是混合部署模式，云原生安全變得更加重要。云原生的安全能力和架構(gòu)全面賦予云上資源和賬戶的資源自動(dòng)伸縮、細(xì)粒度防護(hù)和全面數(shù)據(jù)加密等安全防護(hù)功能。

隨著企業(yè)更多采用容器化部署、微服務(wù)應(yīng)用模式等云原生方式，DevSecOps將得到越來越多企業(yè)的重視。

借助DevSecOps，客戶就可以快速交付安全且合規(guī)的應(yīng)用程序更改。

預(yù)計(jì)2022-2023年手動(dòng)工作流將逐漸被企業(yè)淘汰，為實(shí)現(xiàn)大規(guī)模的自動(dòng)監(jiān)測和響應(yīng)，企業(yè)會(huì)更加依賴云原生安全能力。

同時(shí)，人工智能持續(xù)提升云安全能力。

云環(huán)境下龐大和靈活的系統(tǒng)無法完全交由安全工程師來維護(hù)，大多數(shù)企業(yè)會(huì)逐漸開始依賴人工智能來增強(qiáng)其安全團(tuán)隊(duì)的建設(shè)和實(shí)踐，人工智能技術(shù)也將被更深度地集成到云安全服務(wù)中。

采用人工智能技術(shù)不僅可以提高效率和準(zhǔn)確性，而且能夠減少網(wǎng)絡(luò)安全領(lǐng)域工作人員持續(xù)短缺的影響。

在非常重要的身份和訪問管理環(huán)節(jié)，加入人工智能將使身份和訪問管理安全措施實(shí)現(xiàn)自動(dòng)化和智能化，可以提高客戶身份驗(yàn)證的安全性。

在實(shí)踐中，機(jī)器學(xué)習(xí)在模擬攻擊、數(shù)據(jù)分類、自動(dòng)推理領(lǐng)域也得到很好的應(yīng)用。

在云平臺(tái)上使用人工智能技術(shù)，通過分析將任務(wù)委派給機(jī)器程序，可以更加準(zhǔn)確地降低誤報(bào)和告警，這樣企業(yè)可以提前確定其最突出的風(fēng)險(xiǎn)領(lǐng)域并據(jù)此對(duì)資源進(jìn)行優(yōu)先級(jí)排序和自動(dòng)化處理，安全團(tuán)隊(duì)也可以將精力集中在更關(guān)鍵或更復(fù)雜的威脅上。

其次，云服務(wù)商正在加快擴(kuò)大安全合作伙伴社區(qū)。

在云計(jì)算的所有環(huán)節(jié)，云服務(wù)商同網(wǎng)絡(luò)安全、主機(jī)與端點(diǎn)安全、應(yīng)用安全、身份認(rèn)證與訪問控制、漏洞分析、數(shù)據(jù)保護(hù)與加密、威脅檢測與事件分析、安全咨詢、數(shù)據(jù)治理與風(fēng)險(xiǎn)合規(guī)評(píng)估、安全自動(dòng)化運(yùn)維等方面的合作伙伴廣泛合作，以確保客戶在云旅程的各個(gè)階段均能獲得高效、安全的服務(wù)。

在國內(nèi)，隨著越來越多IT運(yùn)維廠商的入局，未來在國內(nèi)云安全市場，將形成公有云服務(wù)提供商、IT運(yùn)維廠商、安全廠商共掌局面的情況。

另外，全球化的安全和合規(guī)能力成為關(guān)注重點(diǎn)。

全球已經(jīng)有132個(gè)國家和地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī)。

在中國，近幾年陸續(xù)出臺(tái)了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法規(guī)，安全合規(guī)成為企業(yè)的重要任務(wù)。

隨著各安全條例的逐步落地，各行業(yè)主管部門也將組織細(xì)化相關(guān)條例、指南、標(biāo)準(zhǔn)等，2022年，部分重點(diǎn)行業(yè)與云安全相關(guān)的保障措施有望進(jìn)一步出臺(tái)，金融、電子政務(wù)、制造、醫(yī)療等領(lǐng)域?qū)⒊蔀樵瓢踩闹攸c(diǎn)行業(yè)。

作為全球云計(jì)算的頭號(hào)玩家——亞馬遜云科技持續(xù)在云安全領(lǐng)域投入，在保證云自身安全的同時(shí)，亞馬遜云科技還提供280+安全、合規(guī)服務(wù)及功能供用戶使用，用戶可以使用這些來提升自身的安全水平，和提高合規(guī)的效率。

云安全道阻且長，前進(jìn)路上需要硬實(shí)力比拼，難以一蹴而就。

其實(shí)，云安全應(yīng)該像水和空氣一樣，不能簡單用金錢來衡量其價(jià)值。只有給用戶提供優(yōu)質(zhì)的水和空氣，創(chuàng)造健康的環(huán)境，讓客戶更好的使用云計(jì)算去創(chuàng)造更多的價(jià)值，這才是云安全的最大價(jià)值。