云安全到底是什么?是传统厂商的盒子的iso化?是云厂商自身具备的安全能力?还是SaaS提供安全服务?这些观点都比较片面,作为聊天话题还可以,但落地还需要认真讨论。
一、云安全标准
要想了解云安全真正的含义,首先要了解云计算本身。根据NIST定义,云计算按照服务模式分为IaaS、PaaS和SaaS,按照部署模式分为私有云、公有云、社区云和混合云,按照用户角色分为消费者、供应商、代理商、运营商和审计方。
云安全的定义根据国际的CSA TCI-RA、NIST SP500-292、NIST SP 500-29,以及国内的GB/T 31167-2014、GB/T 31168-2014等标准来看,简单来说就是根据云计算的服务模式、部署方式以及角色,提供有针对性的安全方案。
然而,实际的云安全建设往往错综复杂,把握几个关键的观点,有助于大家更了解云安全。
云安全责任共担
用户和使用的云服务商不同,安全的责任也不同。如果用户只是使用IaaS层的服务,IaaS层安全由云服务商提供,之上的所有中间件以及业务安全责任全部由用户自己承担;如果使用的是SaaS层的服务,云服务商就要提供云相关全栈的服务;PaaS层的情况介于这两者之间。
这不同于IDC环境下的安全。从用户角度来说,安全责任变轻了:以前从建设机房到部署应用的安全全部由用户自己承担,现在云服务提供商要承担相关的安全职责
组织要评估和满足合规与审核要求
将业务从传统IDC迁移到云的一个重大挑战是:要遵守众多的合规和审核的约束。尤其在国内的环境,监管方存在“九龙治水”的情况。《网络安全法》已经开始正式执行;公安方面的等级保护针对云方面也推出了等保2.0;以覆盖等保1.0在云计算领域的缺失;大数据中心联盟也推出了可信云的相关标准;网信部门更是对每个行业都提出新的监管要求;TC260针对政府上云提出了GB/T 31167和31168。这些规定都意味着组织要承担更重大的监管责任。
合规可定义为对企业义务(企业社会责任、适用法律,道德指南)的感知和遵循,包括对适当和必要的纠正性措施的评估和排序。在某些高度监管的环境下,透明度可以对内部特定策略进行补充,成为组织效率的优势而非制约。
总体上,组织要保证合规性和完成审核,需要评估自身合规状态,借此感知和履行企业义务(社会责任、道德标准、法律责任等);评估风险、不合规代价以及合规成本,从而评估是否采取适当或必要的纠错性措施。
对于客户和服务提供商而言,内审和外审以及各种控制措施都合情合理、可为云计算效力。目前对于云计算厂商的审计并不充分,大多情况都是通过一次性的测评来证明云计算的安全性和可靠性。对于客户而言,更有保障的方法是通过认证方式对云计算厂商进行持续的认证。
事件响应
信息安全领域不存在无懈可击的防御,无论是周详的计划还是周全的预防性措施,都无法完全避免信息资产遭到攻击。正因如此,致力于减少组织受攻击损失程度的事件响应,成为了信息安全管理的重要基石。
云计算不需要一个新的事件响应框架,只需将原有的响应程序、处理机制和工具与云计算相关的环境对应起来。与此同时,组织也要意识到,云计算的某些特征会影响事件响应的效果。
首先,云计算属于按需自服务,客户在处理安全事件的时候很难甚至不可能从云服务商那里获得协助;第二,云服务的资源池化可能会导致 事件响应过程复杂化;第三、在多租户场景下,如果没有关于隐私信息的处理和资源池化的云服务方式,收集和分析事故的非直接数据和原始数据可能造成对隐私问题的担忧。
另一方面,云计算也给事件响应带来了新的机会。对于云的持续监控机制,可以减少事件处理时间或者事件响应频率。虚拟化技术和云计算平台固有的弹性特质,相比传统数据中心技术减少了服务中断时间,让遏制和恢复措施变得更有效率和效果。此外,由于虚拟机可以很容易地被移动到试验环境中并管理运行环境、取得鉴定映像及进行检查,这些都使得事件调查更容易开展。
目前情况并不太乐观,国内云计算厂商对于事故响应的手段极其有限,大部分是通过人工服务的情况进行解决,责任无法定位,造成的损失也无法衡量,导致用户和云服务提供商之间的不信任感。
二、云安全挑战
为了安全地使用公有云、私有云、混合云等丰富多样的数字化服务,越来越多的企业需要满足不断增多的各种安全要求。企业要满足这些需求,必须首先意识到云安全方面的三大挑战:保护多租户环境下的信息,虚拟化和私有云安全,以及SaaS可视化和控制。这三大挑战将为企业的云安全建设提供实用的分类方法。
评估和控制多租户环境下的安全和合规风险
安全管理人员关注公有云的相关安全问题。缺乏持续性的合规和风险的评估以及安全过程,使得一些敏感的场景无法迁移到公有云。
使用多租户的云服务并不直接导致安全问题,跟云厂商采取的安全措施有关,对云厂商的形成强大的挑战。持续的对云厂商进行风险监控还需要一段路。
安全管理人员甚至所有IT人员都关注公有云厂商是否安全。实际上,没有直接证据证明公有云厂商自身安全不到位会对用户造成重大影响。然而,如何评估公有云厂商安全性以及监管机构对公有云的接受度仍然值得探讨。公有云厂商缺乏透明度,合规状态不明确,风险评估和安全过程不成熟,使得一些敏感场景无法迁移到公有云。
对于企业而言,使用多租户的云服务并不会直接导致安全问题,还得看云厂商采取哪些安全措施。综合评估云厂商提供的服务和安全性,持续对云厂商进行风险监控,能够让企业在享受优质云服务的同时做到安全、合规。不过,市场对云厂商的评估和持续监控还没有形成最佳实践。
使用CWPP和微隔离等新技术保护虚拟环境下的工作负载
对硬件资源的虚拟化催生了新的安全技术,比如工作负载安全。工作负载指的是服务器、虚拟机和容器等系统核心业务的载体。云服务商的安全措施在某种意义来说比自建IDC机房的安全措施更好,但这并不意味着把工作负载从本地迁移到公有云上就能自动获得安全保障。实际上,云服务使用者应该利用好云厂商的安全特点和优势,由此产生效果也会更好。比如,利用好云厂商的安全自动化,能够大幅减少配置错误、管理错误、补丁缺失、人工操作失误等造成安全漏洞数量,从而大大提高云的安全特性。云工作负载保护平台(CWPP, cloud workload protection platform)和微隔离等新的技术能够在保证各种云环境下的安全,越来越受到国内外组织重视。
明确SaaS**环境下的数据保护和行为监控
从当前企业支出来看,SaaS是比IaaS更重要的计算领域。由企业的哪个角色来负责SaaS治理尚无定论,对SaaS“所有权”的监管有所缺失,都影响了SaaS应用领域的推广。
对此,有些企业专门制定了SaaS评估、使用和部门职责的相关规定,也有些专家、架构师组成专门部门来管理SaaS应用。这些都是比较好的实践,能够帮助企业更好、更快做出关于SaaS使用的决策。
另一方面,安全团队在保护数据和监控行为时,要使用比SaaS厂商提供的控制机制更高级的技术手段。有数据显示,在10,000个使用的SaaS应用中,诸如身份治理和管理(IGA, identity governance and administration)和CASB等单点控制技术变得越来越重要。使用第三方产品来集中有效管理安全策略、权限和行为,也越来越被各种规模的企业所重视。
三、云安全机遇
根据麦肯锡咨询机构的预计,云技术至2020年全球每年创造的价值在3.72亿美金。如果企业不重视云安全建设导致风险和损失,最终可能减少使用云技术。这种“数字反弹”的局面影响会非常严重,可能导致1.4万亿市场的萎缩。麦肯锡认为,企业在采用云技术的同时要同步建设云安全,这样才会使得技术不会倒退,市场不会反弹。任何一项技术在大规模扩张之前都没有考虑到安全问题(区块链技术除外),而技术产生泡沫的原因之一,正是安全问题没有得到充分的重视。
根据Gartner预测,2017年基于云的安全服务市场规模将达到41亿美金,云安全的发展将受益于云计算市场的快速增长。
反观国内云计算市场,经过十年发展,目前已经“赛程过半”,上半场以中小长尾和互联网产业为主要目标客户,以公有云为主要交付形态,洗牌基本完成。下半场将以数字化转型为核心诉求,以传统纵向行业、大型企业为主要目标客户,以混合云为主要交付形态。
笔者大胆预测未来国内将是行业云和私有云的爆发期,针对关键基础设施(8+2)的云计算建设的方式,大部门会以行业云的方式存在。行业云(Industrial Cloud)这个概念跟国外标准中的社区云(community cloud)有类似的地方又不尽相同。行业云是数据和软件的拥有者为行业内部的核心组织或者成员,但服务对象是大众,满足社会经济运行信息需求。社区云的定义更着重于云计算后台的地理位置。针对于私有云和行业云的安全方案前景更加明朗,但是一般来说这些厂商的安全措施比公有云厂商的安全能力会更差一些。
国内大环境而言,网络安全领域得到了实质性的重视和发展。国家强调在任何技术领域必须提倡自主可控,这意味着国内安全厂商的机会大大增加。虽然我国网络信息技术和网络安全保障取得了不小成绩,但同世界先进水平相比还有很大差距。我们要填补国内安全市场的空白,跟国际接轨,追赶世界最高安全水平。