首頁 > 關(guān)于我們 > 安恒動態(tài) > 2020 > 正文

賠付0.87億背后的警示，安恒云如何打造“安全防線”？

閱讀量：次

2 月 23 日，微盟研發(fā)中心運維部核心運維人員通過 VPN 登入服務(wù)器，破壞 SaaS 線上生產(chǎn)環(huán)境并刪除數(shù)據(jù)庫，隨后微盟內(nèi)部系統(tǒng)監(jiān)控報警，導(dǎo)致大面積服務(wù)集群無法響應(yīng)。

根據(jù)最新財報，微盟上半年凈虧損為?5.46?億元，其刪庫事件預(yù)計賠付 0.87 億元。當(dāng)然，受損的不只是微盟，還有微盟的一眾客戶。

微盟事件不是必然的，卻是大數(shù)據(jù)和云計算時代的產(chǎn)物。云上安全的問題需要引起足夠的重視，因為只要上了云，一旦出問題，就面臨業(yè)務(wù)停擺，甚至倒閉的風(fēng)險。

安恒信息高級副總裁兼首席云安全戰(zhàn)略官鄭赳告訴 CSDN，刪庫事件一再發(fā)生，很多都是權(quán)限管理或者內(nèi)部的人員管理風(fēng)險導(dǎo)致的，而這僅僅是上云之后眾多安全隱患之一，因此企業(yè)迫切需要將運維管理跟安全管理進行結(jié)合，真正實現(xiàn)統(tǒng)一的安全管理。

作為一家從 2007 創(chuàng)立之初就開始專注于安全領(lǐng)域的公司，安恒信息的業(yè)務(wù)范圍已經(jīng)從最初的應(yīng)用安全、數(shù)據(jù)安全拓展到如今的云計算安全、工業(yè)互聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、智慧城市安全。

為何安恒信息這么早就開始重視并布局安全，從傳統(tǒng)安全到云安全的變遷過程中有哪些基于和挑戰(zhàn)，未來云安全會是怎樣的形態(tài)？CSDN 采訪到安恒信息高級副總裁兼首席云安全戰(zhàn)略官鄭赳，一起探討云安全的發(fā)展和變遷。

（圖為安恒信息高級副總裁兼首席云安全戰(zhàn)略官鄭赳）

# 安全領(lǐng)域變遷：從有形到無形，從有界到無疆

鄭赳表示，中國安全領(lǐng)域發(fā)展的背后主要有兩大驅(qū)動力。一是技術(shù)的變化，比如大數(shù)據(jù)、云計算的發(fā)展，技術(shù)的發(fā)展導(dǎo)致安全產(chǎn)品的形態(tài)發(fā)生了很大的變化；二是應(yīng)用場景的變化，比如物聯(lián)網(wǎng)、智慧城市的出現(xiàn)，而場景的變化會帶來新的安全挑戰(zhàn)和安全問題。

在數(shù)字化與上云的趨勢下，越來越多的企業(yè)選擇將業(yè)務(wù)與數(shù)據(jù)放在云端，進而使用更為高效、低成本、安全穩(wěn)定的云端服務(wù)，因而 IT 基礎(chǔ)設(shè)施逐漸云化。云改變了企業(yè)的底層基礎(chǔ)設(shè)施架構(gòu)，安全也隨之往云化，傳統(tǒng)安全架構(gòu)也不再適用于云上。

隨著 DDoS 攻擊、勒索攻擊、數(shù)據(jù)泄露等安全事件頻發(fā)，我們清晰地認(rèn)知到，無論是 5G、云計算、人工智能、物聯(lián)網(wǎng)等細(xì)分的技術(shù)，還是云平臺、服務(wù)器及硬件等服務(wù)，無一不是安全的突破口與防護口，而傳統(tǒng)的“壁壘式建高墻”防護手段早已失效。

在這個萬物互聯(lián)的時代，當(dāng)有人在不加前提約束的條件下簡單問“你的系統(tǒng)安全否？”就變成一個偽命題。因此，安全領(lǐng)域不再有邊界，而是應(yīng)該成為無處不在的防護盾。

# 安全上云，不只是“生搬硬套”

由于外部安全攻擊趨于智能化、復(fù)雜化、規(guī)?；?，云上防護的方式變得更多元化、復(fù)雜化，部署強大的安全架構(gòu)是企業(yè)迫在眉睫的事。傳統(tǒng)安全的能力對云有一定的賦能作用，但是安全的遷移并不是單純的“生搬硬套”，傳統(tǒng)的安全防護模式也并不適用于云安全。

鄭赳告訴 CSDN，云安全和傳統(tǒng)安全是完全不同的，兩者的架構(gòu)邏輯存在很大的差異。比如以前傳統(tǒng)的網(wǎng)絡(luò)防火墻不能簡單的搬到云上，傳統(tǒng)的防火墻設(shè)置在流量的入口和出口之間就能進行防護，但是在云上實現(xiàn)這一點就非常困難，因為云是可以遷移的，因此防火墻的策略也需要可以遷移。

相對于傳統(tǒng)場景，云上的風(fēng)險也發(fā)生了變化：一是風(fēng)險的優(yōu)先級發(fā)生變化，因為云計算的出現(xiàn)，數(shù)據(jù)安全和終端安全也變得更加突出和重要，而且不斷涌現(xiàn)出新的理念；二是新風(fēng)險的出現(xiàn)，比如容器的安全、訪問邊界的安全等。

因此，云安全不可能用傳統(tǒng)的硬件盒子來實現(xiàn)，而是需要充分利用云的能力和技術(shù)，比如云的負(fù)載能力、彈性伸縮能力、備份能力、熱遷移能力、計算能力、大數(shù)據(jù)能力等等。此外，還要用到云的模式，比如 SaaS 化的服務(wù)模式，并根據(jù)應(yīng)用場景提供按需服務(wù)。這些是云安全和傳統(tǒng)安全最大的差異。

傳統(tǒng)安全只有經(jīng)過云化改造才能夠適用，這也是現(xiàn)在安全公司包括所面臨的一些挑戰(zhàn)。

# 構(gòu)建云安全能力，需要“系統(tǒng)性思考”

在云計算時代，安全廠商、云計算廠商和客戶是共享責(zé)任。即便我們使用的是云上的 IaaS、PaaS、SaaS 服務(wù)，但并不意味著企業(yè)和客戶把相應(yīng)的安全責(zé)任轉(zhuǎn)移給云廠商。云廠商更多的是提供技術(shù)層面的武器，但是如何利用好這技術(shù)，這是企業(yè)的責(zé)任，需從企業(yè)安全架構(gòu)層面、從安全實現(xiàn)技術(shù)路線上來做分析。

那么在具體實現(xiàn)時，企業(yè)如何加強自身的云安全防御架構(gòu)？

鄭赳表示，構(gòu)建一個完整的云安全體系需要系統(tǒng)性的思考，這是非常大的挑戰(zhàn)。由于資源的分布不同，如何執(zhí)行統(tǒng)一的安全策略和安全管理是企業(yè)面臨的最大問題，而安恒云可以幫助企業(yè)構(gòu)建一個相對系統(tǒng)的安全防護框架。????

目前安恒云提供的解決方案就是針對云上用于的痛點，首次將云管理和云安全進行結(jié)合，簡化運維的復(fù)雜度，通過更低的成本，提供更高效的安全能力和更好的體驗。

# 從“一朵云”到“多朵云” 管理和安全如何真正統(tǒng)一？

隨著伴隨著云計算技術(shù)走向成熟以及用戶對成本、備份等多類訴求，“多云”的趨勢已經(jīng)非常明顯。在鄭赳看來，沒有用戶希望被一家云服務(wù)鎖定，而是希望充分利用各家云的服務(wù)和價格優(yōu)勢，因此會有越來越多的企業(yè)選擇多云架構(gòu)。

中國信通院的數(shù)據(jù)顯示，多云架構(gòu)已經(jīng)成為企業(yè)主流的部署模式，2020 年高達(dá) 93% 受訪企業(yè)是多云架構(gòu)。但多云架構(gòu)也給企業(yè)帶來了一些新挑戰(zhàn)，比如多云安全就是最大的挑戰(zhàn)之一，高達(dá) 83% 的調(diào)查對象認(rèn)為多云安全對其挑戰(zhàn)最大。

目前，多云管理和多云安全存在以下 3 大難題：

1、多云管理孤島：多云異構(gòu)，各云服務(wù)商架構(gòu)差異大，各資源相對獨立，難以統(tǒng)一管理；

2、多云安全建設(shè)成本高：每朵云都需要獨立建設(shè)安全，安全建設(shè)成本高；

3、安全能力無法統(tǒng)一分配、管理與運維：各朵云的云安全能力參差不齊，無法實現(xiàn)統(tǒng)一的安全配置、運維與安全態(tài)勢分析，造成應(yīng)用被入侵、數(shù)據(jù)被竊取等嚴(yán)重安全問題。

這時就需要一個多云管理平臺，將分散的資源統(tǒng)一起來，集中進行管理。安恒信息也看到了其中的問題，一方面是多云如何進行統(tǒng)一的運營管理，另一方面是多云如何進行統(tǒng)一的安全管理。

正是基于這些考慮，安恒信息率先提出了多云管理和多云安全相結(jié)合的理念和解決方案，并推出了一站式多云管理和多云安全管理服務(wù)平臺——安恒云。

鄭赳表示，提供統(tǒng)一的安全策略有很大的難度，從管理維度上來講，只有將不同的云連接起來之后，才能將進行統(tǒng)一的的監(jiān)控和分析，然后實施統(tǒng)一的安全策略。如果想要做好多云管理，需要從以下幾個維度出發(fā)：

1、云資產(chǎn)的管理，通過API對各種云上資產(chǎn)進行識別重組，建立資產(chǎn)庫，然后進行統(tǒng)一的管理；2、對云資源進行統(tǒng)一的監(jiān)控，分析其使用情況；3、構(gòu)建云的同業(yè)成本分析，幫助用戶優(yōu)化云資源，節(jié)約成本；4、實現(xiàn)統(tǒng)一的自動化運維。

目前，安恒云平臺可以無縫對接阿里云、AWS、華為云、騰訊云、Ucloud、百度云、Azure、京東云、青云等公有云，同時覆蓋阿里云、OpenStack、華為云等私有云平臺，讓用戶能在一個平臺上完成多云統(tǒng)一管理，并提供主機監(jiān)控與自動運維、成本分析與優(yōu)化、合規(guī)運維與審計，實現(xiàn)多云一站式管理。

然而，目前在國內(nèi)做多云管理和多云安全最大的挑戰(zhàn)就是公有云API的穩(wěn)定性和開放性問題。

鄭赳告訴 CSDN，很多公有云的 API 都號稱是完整開放的，但是真正使用的時候，就會發(fā)現(xiàn)這些函數(shù)的水平參差不齊，與國外的能力差距很大。一些公有云的 API 不夠完整，還有一些能力沒有開放出來，因此一些多云管理的想法在這些云上就無法實現(xiàn)。

不過我們并不需要悲觀，在鄭赳看來，這其實是云成熟度的問題。因為現(xiàn)在很多云上的開發(fā)和運維都依賴于 API，因此它不可能隨意變化，未來一定會開放，而且會標(biāo)準(zhǔn)化，需要一個發(fā)展成熟的過程。

未來，多云管理平臺的核心功能將不斷演進，與企業(yè)IT系統(tǒng)的集成更加緊密，并且與安全和網(wǎng)絡(luò)產(chǎn)品深度融合。

# 云原生時代? 安全“左移”，DevOps 變 DevSecOps

云原生這個概念現(xiàn)在很火，統(tǒng)計數(shù)據(jù)顯示，到 2021 年將有 92％的公司成為云原生公司。從基礎(chǔ)架構(gòu)到應(yīng)用程序的開發(fā)，堆棧在傳統(tǒng)方法與更現(xiàn)代的基于云的方法之間形成了鮮明的對比，其中大多數(shù)已對成功的模式和實踐達(dá)成了主流觀點：DevOps文化、持續(xù)交付和微服務(wù)架構(gòu) 。

然而為什么我們還沒有重新構(gòu)想云原生的安全性呢？要知道，通常使企業(yè)陷入困境的是因為對開發(fā)投入太多，而對安全投入太少。

在鄭赳看來，我們需要充分利用云原生的能力來去構(gòu)建安全能力，如大數(shù)據(jù)分析能力、網(wǎng)絡(luò)虛擬化能力、服務(wù)器快照、存儲備份等。然而云原生的利用同時也帶來了一些新的風(fēng)險，比如容器的風(fēng)險等。鄭赳表示，未來安全需求方面也會有一些變化，那就是開發(fā)運維會跟安全結(jié)合，實現(xiàn)DevSecOps，也就是“安全左移”。

關(guān)于“安全左移”，微軟企業(yè)服務(wù)大中華區(qū) Cybersecurity 首席架構(gòu)師張美波曾對CSDN表示，“軟件有規(guī)劃、設(shè)計、構(gòu)建、測試、部署階段，但往往在軟件的部署階段，我們再去評估安全性，這是非常不好的。如今我們想從開始規(guī)劃、設(shè)計、構(gòu)建、階段時就該考慮安全性。”

企業(yè)進行架構(gòu)轉(zhuǎn)型時，對應(yīng)的安全架構(gòu)也將轉(zhuǎn)型，安全是任何技術(shù)的基礎(chǔ)。因此，企業(yè)應(yīng)該將安全也納入速度、敏捷性和連續(xù)交付流程中，這樣才能保證企業(yè)不會因為安全問題而陷入困境。

# 結(jié)語

數(shù)據(jù)時代的背景下，無論運用哪一種前沿技術(shù)，最終都將體現(xiàn)到海量數(shù)據(jù)的采集、流轉(zhuǎn)、應(yīng)用的流程之中。因為數(shù)據(jù)的邊界愈加模糊，所以安全能力必須在云-邊-端實現(xiàn)更細(xì)粒度的防護。

而構(gòu)建這道看不見摸不著且無處不在的安全防護門，是時代的機遇，也是挑戰(zhàn)。

以上文章來源于CSDN?

采訪嘉賓 | 鄭赳

作者 | 阿司匹林

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>