|
Gartner2022年CIO技術執(zhí)行官問卷調(diào)查結果顯示:2022年有52%的企業(yè)會增加“云”投入��,相對來說有32%的企業(yè)會減少傳統(tǒng)基礎架構和數(shù)據(jù)中心的投入��?��!禛artner中國云基礎設施和平臺服務市場指南》預測:到2024年中國將近40%的最終用戶在系統(tǒng)的基礎設施和基礎設施的軟件上支出將會轉到“云服務”上����。 上云成為趨勢����。云的出現(xiàn)打破了IT資產(chǎn)的物理邊界,然而傳統(tǒng)的IT架構無法很有效的保護“云”上的資產(chǎn)�。我們也看到全球來看,不少企業(yè)對于公有云還是缺乏信任��,包括中國許多企業(yè)組織都擔心數(shù)據(jù)的位置�,還是認為數(shù)據(jù)在自己的組織內(nèi)部、在自己的物理邊界內(nèi)更安全����。這就導致了私有云和混合云在中國使用率一直很高��,因為這兩種部署方式仍然可以把數(shù)據(jù)存儲在組織內(nèi)部的物理邊界內(nèi)。 但是這種對于物理數(shù)據(jù)位置的過度關注��,往往會犧牲了“云”自身的好處�����。僅僅從規(guī)模效益來看���,云服務商就可以提供比私有云和傳統(tǒng)數(shù)據(jù)中心更安全的保護�����。以現(xiàn)在工業(yè)化產(chǎn)品為例����,今天工業(yè)化的產(chǎn)品無處不在����,并且在效率和品質(zhì)上遠遠超過傳統(tǒng)的小作坊。經(jīng)過十數(shù)年的發(fā)展�,“云”作為更先進的模式��,基于規(guī)模效應����,在技術成熟度�����、運維水平��、技術團隊���、風險防控����、成本控制等方面超出傳統(tǒng)IT架構�����,不管是在安全還是效率都比傳統(tǒng)的數(shù)據(jù)中心和私有云更加安全����。 同時“云安全”很大程度上是用戶自身原因造成的。Gartner預測到2023年99%的“云安全”問題都是用戶的因素引起的�����。公開信息也顯示而很少有主流的“云服務”提供商出現(xiàn)重大的安全事件。另一個預測����,就是到2024年利用云基礎設施和編程性,改進云上工作負載的安全保護將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性和減少至少60%的安全事件����。 基于此背景�����,近日Gartner高級分析總監(jiān)高峰根據(jù)調(diào)研數(shù)據(jù)分析了中國企業(yè)“云安全”面臨的三大挑戰(zhàn)����,并給出了相對應的行動指南。 基于未來“云安全”的安全和風險管理會成為中國管理領導者最關鍵的任務之一�。Gartner發(fā)現(xiàn)客戶“上云”面臨著三個挑戰(zhàn):一,對于云安全責任分攤模型的理解���,還有相關技術能力的缺失�����。二�����,云安全技術的選擇和應用��。三���,缺乏對于“云服務提供商”進行風險評估���。 Gartner針對這些挑戰(zhàn),主要有三個建議:一���、明確企業(yè)和“云服務提供商”的安全責任范圍�����,并建立“云安全”所需的能力���。二、優(yōu)先選擇“云服務提供商”的一些原生安全工具��,然后利用第三方/開源工具作為安全實施補充。三����、持續(xù)去做云服務商的風險評估。 具體而言: 挑戰(zhàn)一�����、對云安全責任分擔模型的理解和相關的一些技能缺失�����。 在“云安全”中���,云安全責任跟傳統(tǒng)的安全很大不同。理解“云安全”和“云安全”提供商的安全責任分工���,是“云安全”成功的一個必要條件���。云安全所需要的技能和傳統(tǒng)的以邊界為保護的安全也有很大不同。企業(yè)相對能力的缺失�,使得云安全成功實施也受到很大的挑戰(zhàn)。 因此企業(yè)必須要對云安全分攤的模式有充分的了解�����。云安全是基于“責任公攤”的概念、所以安全責任和因“云”的部署模式也有所不同��。 在私有部署的模式下���,所有的責任都是由客戶自己承擔的�。但是“上云”之后如果使用IaaS(基礎架構級服務)�����,在物理和虛擬層的責任由“云提供商”去承擔�。如果使用PaaS(平臺級服務),責任更多分攤給了“云提供商”�。比如虛擬機、服務編排�����。如果用到軟件級服務��,基本上客戶主要關注的就是“認證”和“授權管理”還有數(shù)據(jù)��,分攤部分的應用和API的責任����。 建議一����、明確企業(yè)和“云服務提供商”的安全責任范圍��,并建立“云安全”所需的一些能力�����。 為了實施的正確控制��,明確了企業(yè)與“云服務提供商”的安全責任范圍��,客戶需要建立相應的技能�����?��!霸啤钡牟渴鹨蚱髽I(yè)的需求而異,所以“云”資源具有共享����、生命周期短、自動化等特點。所以企業(yè)需要建立所需的“云安全”相關能力��。 Gartner建議從現(xiàn)在開始企業(yè)應該打造兩個角色:云安全架構師和云安全工程師 企業(yè)可以去雇傭或者內(nèi)部提拔“云安全架構師”��,“云安全架構師”不是唯一一個識別和制定“云安全架構”有關決策的人�,他其實也要跟內(nèi)部其他的架構師,比如:云架構師���,還有一些其他的安全架構師緊密合作確保云上的安全���。 云安全架構師主要責任包括以下幾點: (1)引領云安全的文化變革。 (2)制定云安全策略�����。 (3)開發(fā)和協(xié)調(diào)云安全技術和工具采用�����。 (4)要去雇傭和培訓云安全工程師���。 云安全工程師是負責實施云安全控制方面的角色�,具有廣泛技能的專業(yè)人員�,與傳統(tǒng)的安全工程師不太一樣��,他的技能不會限于特定的某個安全領域����,而是廣泛分布于各種安全領域�。比如:網(wǎng)絡安全、服務器安全�、漏洞管理、應用程序安全和數(shù)據(jù)安全���。負責云原生的一些管控和第三方安全的管控�,配置跨云平臺的安全服務配置等���。 挑戰(zhàn)二�、在“云安全”技術選擇和運用上�,企業(yè)也面臨著很多的困難。 針對“云”的部署模式����,企業(yè)現(xiàn)有的一些安全工具可能需要做一些更新�。沒有一個“云服務”提供商或者安全廠商能提供企業(yè)所需的全部安全能力。有些國際廠商在中國面臨落地困難��,因為中國監(jiān)管的一些原因、所以許多很多企業(yè)還面臨著“云技術”選擇和運用的一些困難�。 建議二、優(yōu)先選擇“云服務提供商”的一些原生安全工具�,然后利用第三方/開源工具作為安全實施補充。 Gartner建議企業(yè)去做的是要優(yōu)先選擇云服務提供商的云安全原生工具�,利用第三方或者是開源工具作為補充來去實施安全控制。 Gartner推薦的一個步驟:先是“云提供商原生安全工具”��,然后是“第三方工具”����、還有就是“開源的工具”。 “云提供商原生安全工具”是云供應商提供的一些安全工具����,云提供商在不斷的增加一些安全工具來幫助提高云服務的安全。雖然有些工具其實還比較初級�,但是他們也有很多的一些工具已經(jīng)具有企業(yè)級產(chǎn)品能力或者是已經(jīng)是接近企業(yè)級產(chǎn)品的能力。由于這些工具是和“云服務”是高度集成的���,因此采用這些云原生安全工具具有成本的效應�����,而且部署非常簡單��,可以快速的滿足客戶的安全需求���。 在云服務商和云原生安全工具不能提供滿足的情況下�����,Gartner建議可以尋求第三方工具或者開源工具��。相對云供應商來說�,第三方的工具可以進行更多的個性化配置����、服務。 第三個主要的工具來源就是開源的工具�,開源的工具我們認為也是實施云安全的一種選擇,尤其是在沒有可用的商業(yè)工具時��,它不僅具備成本效應��、因為它很多是免費的��,它們還提供了很多靈活性和創(chuàng)新型���,因為它的開源可以去進行二次開發(fā)����。高峰表示:“開源工具的使用����,我們認為企業(yè)需要仔細評估它帶來的風險。比如:它會缺少一些商業(yè)的支持�����,還有漏洞管理這方面�;在我們的最佳實踐中,其實也有討論過這種通過建立使用開源軟件策略來管理風險和回報�����?!?/span> Gartner推薦了比較重要的一些“云保護安全工具”。 由于“云”共享了安全責任和云產(chǎn)品的一些復雜性�,客戶需要一些新的安全工具來幫助他們安全的使用云。云供應商通常使用一些��,采用產(chǎn)品模塊和的方式提供服務���、并將這個功能整合到一個產(chǎn)品中����。這些產(chǎn)品主要分為幾類: 比較成熟的,例如“云訪問安全代理”或者是“云工作負載保護平臺”和“云態(tài)勢管理”���。其它的包括一些云原生的應用保護平臺CNAPP��,還有就是如安全態(tài)勢管理SSPM和SaaS管理平臺SMP���。CWPP和CSPM一般是關注數(shù)據(jù)平面控制的,CSPM����、SSPM和和SMP主要是關注控制平面,CNAPP是同時適用于控制平面和數(shù)據(jù)平面的控制�����。 云安全訪問代理CASB:CASB最主要的作用�����,是保護SaaS�。CASB主要是通過多種類型的云安全控制整合到一起,為SaaS、IaaS和PaaS提供一些可見性��、合規(guī)性�、數(shù)據(jù)安全和威脅保護提供的一些控制。比如:授權�,用戶行為分析��,自適應訪問控制�����,數(shù)據(jù)泄漏防護����。 云工作負載保護平臺CWPP:也可以稱之為“云主機保護平臺”。這是中國大部分安全廠商主要提供的一個安全工具���,CWPP是以工作主機�����,就是負載或者主機為安全的產(chǎn)品����,它可以保護混合云、多云的服務器工作負載���。CWPP為物理機����、虛擬機�����、容器和無服務等多種形式�,無論它們的位置在哪里,都能提供一致性的可見性和控制��。CWPP結合多種功能來保護工作負載�,比如:它的完整性保護、應用程序控制����、行為控制、入侵預防��、以及一些惡意軟件的保護���。 云安全態(tài)勢管理CSPM:CSPM主要通過一些預防檢測�、響應和主動識別的云基礎設施的風險,來持續(xù)管理云安全狀況����。它的產(chǎn)品核心,主要是通過一些框架和法規(guī)要求�,比如:ISO22701。中國的法規(guī)����,比如:等?�;蛘甙踩呗?��,企業(yè)的安全策略去主動和被動發(fā)現(xiàn)云安全配置的風險�,它可以發(fā)現(xiàn)云上的資源是否按照企業(yè)的策略去正確配置����。如果發(fā)現(xiàn)問題,它會自動或者去人工的進行補救����。目前在中國這個工具還沒有被廣泛的采用,也很少有本地的供應商提供此類產(chǎn)品����。 云原生應用保護平臺CNAPP :CNAPP是集成了安全性和合規(guī)性的一些功能��,它主要是旨在幫助云原生的應用程序開發(fā)和生產(chǎn)中進行保護����。CNAPP主要是整合了大量功能���,包括:CWPP���、CASB的所有功能、都要具有��。高峰表示:“從某種程度來說�。它提供了一些容器掃描,云安全態(tài)勢管理��、基礎設施���、代碼掃描���、云主機運行時保護等等。中國其實有一些本地的供應商���,特別是一些初創(chuàng)的云安全供應商�����,它其實已經(jīng)提供了相應的產(chǎn)品和解決云原生程序安全要求的產(chǎn)品�,但是他們還沒有覆蓋所有的領域,所以這一類工具我們覺得還是有待開發(fā)����。” 挑戰(zhàn)三����、對“云服務商”持續(xù)的評估�����。 Gartner發(fā)現(xiàn)中國企業(yè)上云很少會系統(tǒng)性的對云服務提供商做一些風險評估��,不同的云服務提供商有著不同的風險���、而且這個風險也并不是一成不變的�����,所以缺少持續(xù)的風險評估�����、會讓企業(yè)“云”上的資產(chǎn)面臨一定的威脅�。 建議三、Gartner建議企業(yè)要去評估云服務商的風險���、并且要持續(xù)進行評估��。 云服務提供商的風險不可忽視����。Gartner總結了一些客戶最常用的方法����,并根據(jù)這些方法、根據(jù)需要多少投入和對于它們產(chǎn)生的價值���。比如說�,云服務提供商宣傳資料非常容易獲得但是它的價值因為是服務商提供的����,價值可能相對較低�����。如果通過第三方的評估機構或者是咨詢機構���,對云供應商提供一些審核,這些服務相對來說會價格比較高昂����,您可能要投入更多的投資或者需要花更多的精力,但是它們帶給您的價值也是更高的���。另外Gartner根據(jù)云服務商的數(shù)量來做的一個三層模型�、這種方式我們覺得也非常適用���,它主要是包括了一些少量、成熟的第一級的大型云服務提供商��。還有就是不斷增長的第二級的一些云服務提供商和剩下的數(shù)量龐大/不斷增長小型的第三級的云服務提供商���。 第一級云服務提供商��,是一些少數(shù)的��、成熟的�����,在財務安全和云服務提供商中已經(jīng)主導市場比較長�����。所有的第一梯隊的云服務提供商�,在中國可能都需要通過“等保三級”,包括:其它一些比較重要的第三方安全評估��。而且這些巨頭非常注重它們的形象���,所以它們要不斷的用各種方式尋求增加客戶的信任�。 第二個級別的云服務提供商��,是中型提供商和大型知名軟件的供應商也在提供“云”的服務����。但是他們沒有第一梯隊云服務供應商在“云”方面良好的運營歷史記錄,他們可能剛進入這個領域或者主要的業(yè)務并不是“云服務”�,他們代表了供應商和成熟度之間的一層。第二梯隊的供應商在安全和運營方面并不是很成熟,缺少一些比較關鍵的第三方的評估���、認證�,比如:他們有時候在財務上會比較脆弱�����,特別是一些初創(chuàng)的公司�。Gartner認為,評估云服務商的大部分的資源應放在第二級的云服務提供商上�。 剩下的就是第三級云服務提供商,大多數(shù)都是非常小的提供商�����,客戶很難去搞清楚他們的運行狀況如何���。你可能要去評估風險是否能夠接受���。比如:是否接受以及如何應對這些云供應商可能在某一天破產(chǎn)?是否在其它地方有相應的備份���?根據(jù)企業(yè)對風險的接受度,您可以去做一些選擇。 在“云評估”中�����,還要看云服務提供商是否通過一些比較重要的認證����,這也是最容易獲得的一些信息。一個合格的“云服務商”�,最起碼要通過“等保三級”,如果是一些金融機構可能需要通過“等保四級”的金融云����。 總結,我們看到云供應商們一直不斷的提升自己的服務�,確保其是安全合規(guī)的,讓客戶不斷提升對他們的信任���,來幫助客戶保護他們云上的數(shù)據(jù)����。比如“云廠商”其實也一直在致力于提升自身的安全性����,會通過各個國家的行業(yè)認證,還有國內(nèi)等級保護、行業(yè)標準�����。其次還有很多企業(yè)可能沒有這么多的安全人員來使用云原生的安全工具���,而云廠商根據(jù)自己的“云”去開發(fā)了一些安全工具幫助企業(yè)客戶提高他的安全能力�����。這些工具最大的優(yōu)勢��,就是它的購買����、開通是非常便捷的����。最后,“風險評估”很重要�,因為企業(yè)并不知道是否會有某個云提供商突然破產(chǎn),從而導致自己的云上數(shù)據(jù)和應用無法得到技術支持的情況出現(xiàn)���。Gartner建議還需要找專業(yè)的咨詢公司和評估機構來做多方面的審核��。
|
