云安全的新戰(zhàn)場(chǎng)上，如何打破“云威脅”的陰霾？

科技云報(bào)道原創(chuàng)。

近年來，在云計(jì)算和網(wǎng)絡(luò)安全產(chǎn)業(yè)的蓬勃發(fā)展下，我國(guó)云安全行業(yè)市場(chǎng)規(guī)模呈現(xiàn)高速增長(zhǎng)態(tài)勢(shì)，在網(wǎng)絡(luò)安全市場(chǎng)總體規(guī)模中占比不斷上升。

據(jù)統(tǒng)計(jì)，近5年我國(guó)云安全市場(chǎng)保持高速增長(zhǎng)，2021年我國(guó)云安全市場(chǎng)規(guī)模達(dá)到了117.7億元，2022年行業(yè)整體規(guī)模達(dá)到173.3億元，2023年市場(chǎng)規(guī)模將達(dá)到330億元人民幣，由此可見我國(guó)云安全市場(chǎng)規(guī)模蘊(yùn)含著巨大潛力。

然而，云安全市場(chǎng)規(guī)模擴(kuò)大的同時(shí)，也正面臨著挑戰(zhàn)，尤其是高度利用云計(jì)算技術(shù)，將重要業(yè)務(wù)遷移到云端的企業(yè)，正面臨例如數(shù)據(jù)泄露、隱私泄露、服務(wù)中斷、設(shè)備管理等一系列問題。

這些問題如果不得到解決可能會(huì)引發(fā)嚴(yán)重的隱私侵犯問題，影響企業(yè)用戶的信任和安全感，再加上如果系統(tǒng)遭受攻擊從而將引發(fā)業(yè)務(wù)中斷，會(huì)導(dǎo)致服務(wù)不可用，影響用戶體驗(yàn)和業(yè)務(wù)連續(xù)性，企業(yè)聲譽(yù)受到嚴(yán)重影響，甚至可能導(dǎo)致企業(yè)面臨財(cái)務(wù)損失。

在此背景下，為企業(yè)提供云安全保障，確保云服務(wù)的安全性、穩(wěn)定性和可用性，保護(hù)云環(huán)境中的數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施，發(fā)揮預(yù)防潛在威脅和攻擊的作用正變得越來越重要。

新技術(shù)帶來新風(fēng)險(xiǎn)

虛擬機(jī)、容器、服務(wù)網(wǎng)格、多集群間通信、多云和混合云、Serverless等新技術(shù)不斷涌現(xiàn)，對(duì)安全邊界提出了越來越多的要求。

2014年流行起來的容器技術(shù)算是跨時(shí)代的變革，它與Kubernetes等技術(shù)共同助力企業(yè)實(shí)現(xiàn)了應(yīng)用程序部署等諸多方面的自動(dòng)化，但同時(shí)也帶來了新的安全挑戰(zhàn)。

綜合來看，安全挑戰(zhàn)主要包括四個(gè)方面。

首先容器更新迭代非?？欤瑐鹘y(tǒng)的保護(hù)方式已經(jīng)不適用于容器環(huán)境；第二是軟件生產(chǎn)的流程自動(dòng)化，容器開發(fā)階段每天可達(dá)上千次的軟件發(fā)布依賴整套CI/CD自動(dòng)化流程控制；三是越來越多的企業(yè)開始在跨云多云環(huán)境部署容器；四是容器將單一的應(yīng)用變成了成百上千的微服務(wù)，導(dǎo)致服務(wù)內(nèi)部通信爆發(fā)式的增長(zhǎng)。

Kubernetes采用虛擬化技術(shù)，數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算等層面的全部虛擬化對(duì)于應(yīng)用程序開發(fā)者來講非常實(shí)用。

然而，這卻讓運(yùn)維安全人員無法了解容器的運(yùn)行狀況，即虛擬化技術(shù)本身對(duì)安全管控形成了一定的屏障，這無疑升級(jí)了安全挑戰(zhàn)。

使用“零信任”升級(jí)傳統(tǒng)安全

隨著“云大移物智”技術(shù)發(fā)展和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，傳統(tǒng)安全防御理念的“邊界”概念逐漸模糊，傳統(tǒng)安全防御模型也越來越不足以應(yīng)對(duì)威脅。

越來越多來自企業(yè)“可信”內(nèi)部人員與設(shè)備的威脅和APT攻擊讓企業(yè)“內(nèi)網(wǎng)”也充滿風(fēng)險(xiǎn)，傳統(tǒng)靜態(tài)的“隱式信任”模型急需重構(gòu)革新。零信任理念在這樣的背景下產(chǎn)生。

2004年成立的耶利哥論壇（Jericho forum）為了定義無邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題并尋求解決方案，提出要限制基于網(wǎng)絡(luò)位置的隱式信任，并且不依賴于靜態(tài)防御，這就是零信任最早提出的雛形。

2010年，國(guó)際著名研究機(jī)構(gòu)Forrester的首席分析師John Kindervag首次提出了零信任安全的概念，他總結(jié)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中隱含式信任（比如根據(jù)IP地址等來賦予信任權(quán)等）的潛在風(fēng)險(xiǎn)，認(rèn)為安全會(huì)跟隨服務(wù)模式變化，在去邊界化的時(shí)代基于“零信任”原則來演進(jìn)。

其包含三個(gè)原則：不應(yīng)該區(qū)分網(wǎng)絡(luò)位置、所有的訪問控制都應(yīng)該是最小權(quán)限且嚴(yán)格限制、所有的訪問都應(yīng)當(dāng)被記錄和跟蹤。

在這之后，Google花了6年時(shí)間逐步完成BeyondCorp零信任架構(gòu)的遷移工作，其目標(biāo)是摒棄對(duì)企業(yè)特權(quán)網(wǎng)絡(luò)（內(nèi)網(wǎng)）的依賴并開創(chuàng)一種全新安全訪問模式，員工在訪問企業(yè)內(nèi)部IT設(shè)備、應(yīng)用數(shù)據(jù)等資源時(shí)只依賴于受控設(shè)備和用戶身份憑證，而與用戶所處的網(wǎng)絡(luò)位置無關(guān)。

BeyondCorp零信任架構(gòu)的成功實(shí)踐，為國(guó)內(nèi)外各大廠商推進(jìn)零信任架構(gòu)的優(yōu)化與產(chǎn)品研發(fā)增加了動(dòng)力，“去邊界化”和“以身份為中心”的零信任架構(gòu)持續(xù)演進(jìn)。

2020年全球暴發(fā)的新冠疫情，更是為隨時(shí)隨地遠(yuǎn)程安全訪問的業(yè)務(wù)需求打了興奮劑，Google、Microsoft、騰訊及阿里等業(yè)界巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出完整解決方案，促進(jìn)了零信任標(biāo)準(zhǔn)和實(shí)踐的進(jìn)一步完善。

2021年底，“核彈級(jí)”的Log4j漏洞爆發(fā)，大量企業(yè)被波及。Log4j就好像是洋蔥芯中的bug，因?yàn)樗粚訉影?、嵌入在其他軟件包中，很難被常見的掃描方法識(shí)別到。

因此，首先要從源頭進(jìn)行有效的掃描和控制CVE安全漏洞；而對(duì)于無法下線進(jìn)行修復(fù)的應(yīng)用程序，零信任安全則是最有效的保護(hù)方法。

像Log4j這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增，但傳統(tǒng)安全工具在云環(huán)境很難提供全面的保護(hù)。

此外，隨著公有云的快速發(fā)展，業(yè)界對(duì)安全界限的認(rèn)識(shí)也出現(xiàn)了分歧。很多企業(yè)認(rèn)為，公有云的安全應(yīng)該完全交給供公有云廠商，但事實(shí)并非如此。應(yīng)用程序級(jí)別的安全必須由各個(gè)企業(yè)用戶自己負(fù)責(zé)。

這意味著，面對(duì)越來越多未知的安全風(fēng)險(xiǎn)，企業(yè)的安全防護(hù)要從被動(dòng)式的安全逐漸過渡到主動(dòng)式安全。

主動(dòng)安全是一個(gè)新的概念，無論處于云原生化的哪一個(gè)階段，企業(yè)都可以采取較為主動(dòng)的零信任安全功能來提高效率。零信任安全并不需要推翻一切從零開始，企業(yè)可以循序漸進(jìn)地進(jìn)行部署。

傳統(tǒng)安全能夠堵住已知的安全漏洞，而零信任安全能夠防范未知的安全風(fēng)險(xiǎn)，傳統(tǒng)安全與零信任安全的疊加使用可以幫助企業(yè)實(shí)現(xiàn)多層防護(hù)。

同時(shí)，考慮到大部分企業(yè)已經(jīng)在傳統(tǒng)安全上投入了大量資源和金錢，根據(jù)企業(yè)的實(shí)際情況選擇最有效的方面開始針對(duì)性部署零信任安全也是最經(jīng)濟(jì)的方式。

云原生零信任安全的實(shí)施可以劃分成四個(gè)階段：用戶和可視化；設(shè)備、網(wǎng)絡(luò)和環(huán)境；應(yīng)用程序、服務(wù)和編排管理；數(shù)據(jù)、自動(dòng)化和合規(guī)檢查。企業(yè)無需推翻所有的安全投資和配置，可以從某一個(gè)單點(diǎn)開始介入和部署，逐步深化。

云安全正在浮現(xiàn)的新趨勢(shì)

人工智能和機(jī)器學(xué)習(xí)模型由于其復(fù)雜性，在某些情況下會(huì)出現(xiàn)不可預(yù)測(cè)的行為，從而引入意想不到的漏洞。

隨著人工智能的普及，“黑匣子”問題變得更加嚴(yán)重。隨著人工智能工具變得越來越可用，用途的多樣性和潛在的誤用也在增加，從而擴(kuò)大了可能的攻擊媒介和安全威脅。

然而，人工智能是一把雙刃劍，在帶來潛在威脅的同時(shí)，人們可以利用人工只能讓云安全防護(hù)變得更加高效。

如果將人工智能和機(jī)器學(xué)習(xí)集成到云安全中，這些技術(shù)將通過自動(dòng)化和增強(qiáng)各種安全流程來徹底改變?cè)擃I(lǐng)域。

人工智能和機(jī)器學(xué)習(xí)可以以前所未有的速度分析大量數(shù)據(jù)，識(shí)別可能被忽視的潛在威脅和異常。這種主動(dòng)的安全方法允許早期發(fā)現(xiàn)和減輕風(fēng)險(xiǎn)，顯著改善云環(huán)境的整體安全狀況。

其次，安全即服務(wù)(SECaaS)的趨勢(shì)也愈加明顯。隨著企業(yè)越來越多地將其運(yùn)營(yíng)遷移到云端，對(duì)全面、可擴(kuò)展且經(jīng)濟(jì)高效的安全解決方案的需求不斷增加。

SECaaS提供商通過提供一系列安全服務(wù)來滿足這一需求，從威脅情報(bào)和入侵檢測(cè)到數(shù)據(jù)丟失防護(hù)和加密，所有這些服務(wù)都通過云交付。這種模式不僅降低了安全管理的復(fù)雜性和成本，還確保企業(yè)能夠獲得最新的安全技術(shù)和專業(yè)知識(shí)。

另一個(gè)值得關(guān)注的趨勢(shì)是云安全中對(duì)隱私和合規(guī)性的日益重視。隨著數(shù)據(jù)泄露和隱私侵犯成為頭條新聞，監(jiān)管機(jī)構(gòu)實(shí)施更嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，企業(yè)面臨著確保其云環(huán)境符合各種法規(guī)的壓力。

為此，云安全提供商正在開發(fā)復(fù)雜的工具和框架，幫助企業(yè)管理其合規(guī)義務(wù)、保護(hù)敏感數(shù)據(jù)并維持客戶信任。

未來，云安全將以先進(jìn)技術(shù)、創(chuàng)新服務(wù)模式以及對(duì)隱私和合規(guī)性的重新關(guān)注為特征。

隨著這些趨勢(shì)的不斷發(fā)展，企業(yè)必須跟上最新發(fā)展并利用這些創(chuàng)新來增強(qiáng)其云安全策略。畢竟，在數(shù)據(jù)成為新石油的時(shí)代，保護(hù)數(shù)據(jù)不僅是必需品，而且是戰(zhàn)略要?jiǎng)?wù)。

【關(guān)于科技云報(bào)道】

專注于原創(chuàng)的企業(yè)級(jí)內(nèi)容行家——科技云報(bào)道。成立于2015年，是前沿企業(yè)級(jí)IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可，可信云、全球云計(jì)算大會(huì)官方指定傳播媒體之一。深入原創(chuàng)報(bào)道云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

審核編輯 黃宇