最近笔者在参加华为全联接2020的圆桌讨论时专门就云上安全的话题与华为云的相关专家展开了讨论。
今年以来全球安全事件可谓层出不穷,永恒之黑、一张壁纸引发手机变砖等等惨案也不断出现,比特币勒索病毒造成了巨大的损失。尤其是今年4月份,谷歌旗下的Project Zero信息安全团队公布了其在苹果公司的Image I/O 中发现的一些bug。Image I/O库是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒体库,因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。而苹果的Image I/O库与安卓的图像库(Graphics)在各自体系内的地位类似。
笔者看到在此事件发生之后,不少网友都在开各种脑洞,一旦全世界手机全部出现蓝屏,那么我们在银行的钱会不会不翼而飞。这还真是一个好问题,下面笔者就带大家来近距离解析一下IT研究和咨询公司国际数据公司(IDC)发布了《IDC MarketScape: 中国终端安全检测与响应市场2020,厂商评估》报告内容。
上云要快,更要安全
自2006年“云计算”概念诞生以来,企业上云浪潮席卷全球。企业上云后可灵活使用资源,扩展灵活易管理的业务模式,可提高资源配置效率,降低信息化建设成本。业界有说法是“系统上云后,硬件投入成本减少近2/3”。
与此同时,网络安全事件也如幽灵般不断为人们敲响警钟,在Verizon《2020 数据泄露调查报告》中显示,对Web应用程序的攻击占泄露总数的43%,是2019年的两倍多。研究人员表示这是由于企业更多的工作流转移到云服务上,而一旦黑客发现了云服务商的安全漏洞,那么其攻击范围与破坏程度都将较未上云时成倍的扩大。所以用户不仅要上云,更需要选择安全的上云路径,这也对云厂商的安全能力提出更高的要求,Gartner此次对于全球云厂商的安全能力进行全面评估,其报告的出炉也是恰逢其时。
安全能力:云计算的安全基石
尽管云安全技术开始引起业内的关注,可用户在评估云厂商安全能力时,并没有相应的标准来参考。本次IDC报告的评估准则可以说第一次给业界提供了一些参考标准,报告分别从基础设施安全、云治理和合规、网络安全、应用和容器安全、数据安全、日志和预警、应用和工作负载保护七大模块共24项能力维度全面对云安全给予了评价的指导。
华为云凭借在保护云主机与容器技术上的出色表现进入了领导者象限,尤其是“数据加密”得分很高。由于终端检测与响应,是所有企业上云时都要首先考虑的问题,而华为在这方面也付出了足够多的努力,确实以数据安全为己任,确保数据在服务端加密存储,并将数据加密控制权给到用户,以提升云上用户安全感。
以笔者经常在华为云的同仁说这样一句话,华为云始终将数据安全作为第一准则,目前已经实现了全链路的数据加密。由此也解释了为什么越来越多的企业选择通过华为云完成上云梦想,原来是企业因为安全不上云,而现在是由于华为云安全而上云。
除了完备的数据加密能力之外,从报告中看到,华为云的用户还能享受到的一大好处是基于硬件的数据安全能力。传统的数据安全产品大多基于软件实现,解决的是数据存储、流转、采集过程中的安全问题,而华为可以为云上企业的敏感应用提供一个基于硬件保护的安全执行区域,从而防止数据运行时泄露的发生。华为凭借其在硬件制造方面的优势,使得其可以借助加密计算等多种前沿技术来保证用户数据安全,以增强企业上云的安全感。
由于网络环境复杂,企业上云后,不仅要关注数据的安全性,包括流量过滤、远程访问在内的网络安全性亦是重要考虑的一环。纵观近几年的安全威胁情况,网络安全确实面临很大挑战。据卡巴斯基发布《2020年第一季度的DDoS攻击报告》数据显示,2020年第一季度与2019年第一季度相比,DDoS攻击次数增加了80%。特别是教育和行政Web资源,由于疫情原因,与2019年相比增加了两倍的攻击数量。DDoS攻击会对企业系统和应用造成不可用性的严重后果。
华为也非常重视黑客对于云主机及容器的入侵检测问题,推出从基础防御到高级防御的整套安全防护产品,并且充分考虑了对DDoS防护的差异化需求,为客户提供预防为主的安全风险预警功能,和统一的云主机和容器安全管理。
传统安全向云安全迁移潮流不可逆
在打造企业云安全时,很多企业发现,无法将传统安全的经验直接照搬在搭建云安全上,这是为什么?据笔者观察,传统安全主要遇到以下三大挑战:
1、碎片化。企业往往需要采购几十甚至上百个安全产品来搭建传统企业安全体系。
2、安全是脱离基础设施的“外挂式安全”。企业在使用网络、存储、数据库等IT基础设施时,往往采购自不同的厂商,安全产品也有不同的品牌。于是只能在基础设施外部署相关的安全产品,做“外挂式的安全”。如何能让安全产品与产品间,安全产品与基础设施间做更好地联动?这对于传统安全厂商来说,是个较大的挑战。
3、线下安全产品使用门槛高。传统安全产品的使用门槛较高,这让安全产品成了“奢侈品”:企业光购买安全产品没有用,必须还得有专门的安全人员来使用才能真正发挥效果,于是线下安全厂商大多采用产品加服务的销售方式进行,由于无法构成相对联动的体系,企业需要招聘很多安全专业人员来专门运营,成本增大,导致大多数企业没有足够的专业安全人员来运营。
在企业数字化转型的过程中,IT基础设施和应用逐渐云化,安全也随之往云化发展,由于在云上虚拟化环境,业务的流量更复杂,因此云防护的方式将更多元化、复杂化。云改变企业的底层基础设施架构,传统安全架构不再适用于云上,云安全将重新定义企业的安全架构,从新的架构上将解决传统条件下无法解决的安全问题,结合本次报告,我们发现云原生将改变企业下一代安全架构。
云原生重新定义企业安全架构
根据O'ReillyMedia和Dynatrace的研究表示,预计到2021年,92%的企业将实现云原生,云原生将重新定义企业安全架构。
在企业数字化转型的过程中,其基础设施技术架构将会随之云化,原来企业架构是简单的单点系统架构,而如今均发展为分布式架构,底座是基于云的底层技术。由于企业底层架构技术采用了云原生技术,架设底层架构之上的安全技术架构也将云原生化。
基于云原生安全能力构建的下一代安全架构可以实现云的基础设施与安全能力的打通,解决原来安全体系碎片化困境,由传统的外挂式安全转变为与基础设施紧耦合的原生安全,从而做到安全管理、安全风险的持续化监控,用一个控制台实现对所有资产的全方面安全管理。同时,由于云上的全网威胁情报联动,可以做到针对安全风险做全网的自动化响应,由传统的小时级降低到分钟级,大大降低安全事件给企业带来的损失。
如今云安全已逐渐成为行业共识,云安全生态已成为未来行业的发展趋势。伴随新基建的落地与发展,全球数字化转型等趋势,华为凭借在5G、人工智能、云计算、大数据等技术的积累,相信在云安全方面未来大有可为。
为助力更多企业普惠上云,华为云11.11上云嘉年华现已正式启动。企业用户额外优惠、千万企业权利礼包、十大产品专场,超多产品特惠、还有11110元上云礼包等你领,快前往华为云官网选购吧!
https://activity.huaweicloud.com/1111_promotion/index.html?utm_source=zhizhe&utm_medium=ruanwen&utm_campaign=&utm_content=&utm_term=&utm_adplace=AdPlace033369
文/华为云MVP-马超