安恒信息郑赳:混合云、多云时代下,云安全的应用与风险治理
2021.01.04
4306
郑赳,安恒信息高级副总裁兼首席云安全战略官,2010年加入安恒信息,先后负责了数据库审计、堡垒机、天池等产品的设计研发,目前负责公司云战略,带领团队率先推出集多云管理和多云安全管理的一站式服务平台——安恒云。
云环境引入资源弹性共享、数据动态迁移、多租户资源共享等新应用架构和管理模式,最大程度发挥IT资源集约化效益,也为云环境中的应用带来了新的安全风险。CSA大中华区邀请到了安恒高级副总裁郑赳,就混合云、多云时代的云安全应用与风险治理展开探讨。
常见几类云安全风险有:滥用云计算、未知风险的API、社会工程学风险、共享资源产生的横向入侵风险、数据资源泄漏丢失或被篡改、用户账户和服务被劫持,以及未知应用场景风险等。企业借助云计算技术将广泛分布在网络中的计算机设备整合形成虚拟计算机系统,因其部署在云端的特性降低了终端设备预算,安全问题在云计算探索与研究中占据重要地位。
云环境中因为以下特性导致传统访问控制技术无法有效保护数据资产:1)动态多变的云环境致使安全管理十分复杂;2)租户与云服务商及各类供应商主体的实体均位于不同安全域,实体之间缺乏行之有效的信任机制;3)传统访问控制模型与云计算对接过程中产生冲突;4)租户、虚拟化技术支持跨层转移客户验证凭证验证访问权限的机制,使得访问与控制机制必须考虑云环境中安全性。
据悉,自2013年拟定云安全发展战略起,安恒一直重视云安全领域的发展,尤其今年作为云安全发展的关键时间节点,安恒相继推出了混合云、私有云等相关细分领域的安全产品。安恒今年最重要的变化是推出了一套将多云管理同多云安全相互融合的安全解决方案,这一解决方案的推出使得安恒主要市场方向发生了很大扩展和延伸,覆盖公有云、混合云的更广泛范围的用户,希望以此打开新的市场。
从风险角度分析:传统安全风险依旧存在,新风险也逐渐显现出来,例如:竞争风险、信任风险。传统企业组织内部建设IT系统只需要保护自身机房等设备不被入侵即可,现在云端存储数据资产后不仅安全边界发生改变,因三方代理存储、保管,导致责任划分不明,使得信任也成为了一种风险。
从防御角度分析:传统网络安全防御主要依靠硬件,现在云端更多需要考虑的问题是如何利用云端计算能力去做安全,也正是被大家热议的云原生安全。云原生安全是利用云计算的特殊性质让安全更便捷、有效的实施,便也随之伴生了云上弹性扩容、高可用性、智能运算等能力。
从技术角度分析:云安全在技术架构上发生了较大的变化,风险面与传统安全相比仍存在,并在原有基础上扩大了因虚拟空间的创造而外沿出的新风险。
聚焦行业:以前云用户主要分为政务云、运营商、医疗、教育的行业云用户,行业云用户的需求呈现出以私有云为主,私有云通过云安全能力资源池满足云上租户安全防护需求。另一方面,云上安全管理与运行由第三方网络安全企业负责,帮助运营商管理云上的安全情况。
以技术治理:云安全领域的快速发展,一些安全风险已然可以通过技术手段解决。安恒作为一家发展比较快的网络安全企业,云安全领域的实践经验和技术能力十分丰富,现以大数据安全、云安全等新兴安全技术方向为主打造安全产品。云安全能力的构建以等保三级要求建设整体安全能力池,在安全细分领域上安恒更擅长、市场占有率较高的有:一是检测领域,包括网站检测,主机安全的检测,以资产为角度构建云资产发现,以及资产的风险管理;二是网站防护,构建了以网站为中心的防护体系,包括防火墙防篡改;三是安全审计,比如数据库审计、堡垒机等;四是大数据分析。
以法规治理:技术治理是最快捷有效的举措,但并非所有问题都可以通过技术措施解决,法规成为构建数字化时代秩序、普适化问题的大势所趋。国内相继出台《网络安全法》、《密码法》、《个人信息保护法(草案)》、《数据安全法(草案)》,意味着法规层面为云安全领域提供更为重要的驱动作用。
以“技术+法规”为安全治理主体,持续动态优化调整结果,通过对云安全领域风险治理方式的分类,重点讨论与不同场景下的风险治理模式。郑赳表示云安全框架相当庞大,安恒在实践和安全研究中逐渐丰富安全产品品类。未来市场中真正能够发现安全问题的企业才能在未来竞争中赢得市场,且拥有完善的安全产品。客户网络安全知识水平越来越高,对于网络安全的理解越来越强了,大环境下,实战化场景逐渐增多,单一产品存续的安全企业竞争力会逐渐下降。考虑企业边界拓展的原因是业务量增多,需要选择更有价值、市场当量比较大的技术方向和领域,围绕大数据分析能力将众多安全防护能力相互串连,形成安全体系。云安全风险治理以技术治理为主,随着云计算技术深度渗透和广泛应用,破解安全问题也需要法规侧的深入驱动,治理好相应安全风险。
企业选择何种云进行迁移并保障过程安全性,这是一个复杂的问题。首先,企业进行数据迁移取决于具体业务形态;其次,重点关注企业数据资产分类分级结果,数据属性决定了风险等级。从安全角度考虑选择大型云计算供应商,基础安全性和售后服务均有保障,如云服务商获相关国内外安全认证。云安全的开放性作为另一个关键因素,安全生态建设是否完整、真正开放?这时监管侧的价值尤为凸显。因此,以“技术治理”为手段,审慎选择技术资源的合理配置,是治理多种形态下云安全的核心思想。
云环境中的两大主体,即租户和云服务提供商,二者间的信任问题在云安全中尤为重要。信任贯穿双方行为和身份等信息进行评价的全过程,重点研究信任机制和数据资产管理,前者任务是选择符合要求的信任度量框架,后者则是在IT系统中保障数据资产安全性。云安全的信任研究概括为三点:云服务提供商之间信任机制、租户同云服务提供商之间信任、虚拟化可信计算机制的建立。
而零信任是以身份为核心进行动态授权,用户行为分析(UEBA)类似于大数据分析能力。传统身份验证方式即一次认证永久使用,不论几个因子一旦认证完成不会控制后续访问行为,但零信任是对后续行为持续动态分析,这使得系统需要具备持续性的大数据分析能力。大数据分析能力、用户行为分析能力支撑用户在产生访问行为时识别对应风险,如遇异常访问行为及时编排响应,通过SOAR控制身份访问控制与管理系统,完成重新认证、调整访问权限,这才构成一个完整的零信任闭环。
云环境中存在云服务商与租户间信任和数字化时代大数据安全治理等问题,随着5G商用的深度应用和众多新型技术兴起,安全风险和其影响范围也会愈加严峻。云安全领域一直是异常复杂的网络安全研究主题,需要理论与实践更进一步的聚焦关注与持续探索。
总言之,安全风险和技术发展相伴相生,技术的本质决定数据资源的开放和共享,而风险治理始终贯穿整体生命周期。安恒自主可控一站式云安全解决方案,全局化管控企业安全策略,以复合型风险治理机制管控风险演进路径,为云计算的安全开放与共享体制提供保障。
登录
