云安全标准
云安全责任共担
用户和使用的云服务商不同,安全的责任也不同。如果用户只是使用 IaaS 层的服务, IaaS 层安全由云服务商提供,之上的所有中间件以及业务安全责任全部由用户自己承担;如果使用的是 SaaS 层的服务,云服务商就要提供云相关全栈的服务; PaaS 层的情况介于这两者之间。
这不同于 IDC 环境下的安全。从用户角度来说,安全责任变轻了:以前从建设机房到部署应用的安全全部由用户自己承担,现在云服务提供商要承担相关的安全职责。
组织要评估和满足合规与审核要求
将业务从传统 IDC 迁移到云的一个重大挑战是:要遵守众多的合规和审核的约束。尤其在国内的环境,监管方存在“九龙治水”的情况。《网络安全法》已经开始正式执行,公安方面的等级保护针对云方面也推出了等保 2.0 ,以覆盖等保 1.0 在云计算领域的缺失,大数据中心联盟也推出了可信云的相关标准,网信部门更是对每个行业都提出新的监管要求, TC260 针对政府上云提出了 GB/T 31167 和 31168 。这些规定都意味着组织要承担更重大的监管责任。
合规可定义为对企业义务(企业社会责任、适用法律,道德指南)的感知和遵循,包括对适当和必要的纠正性措施的评估和排序。在某些高度监管的环境下,透明度可以对内部特定策略进行补充,成为组织效率的优势而非制约。
总体上,组织要保证合规性和完成审核,需要评估自身合规状态,借此感知和履行企业义务(社会责任、道德标准、法律责任等);评估风险、不合规代价以及合规成本,从而评估是否采取适当或必要的纠错性措施。
对于客户和服务提供商而言,内审和外审以及各种控制措施都合情合理、可为云计算效力。目前对于云计算厂商的审计并不充分,大多情况都是通过一次性的测评来证明云计算的安全性和可靠性。对于客户而言,更有保障的方法是通过认证方式对云计算厂商进行持续的认证
组织和云提供商要重视合规性和审核的作用,这一方面提高了自身的安全水平,另一方面也促进了组织的健康发展。
事件响应
信息安全领域不存在无懈可击的防御,无论是周详的计划还是周全的预防性措施,都无法完全避免信息资产遭到攻击。正因如此,致力于减少组织受攻击损失程度的事件响应,成为了信息安全管理的重要基石。
云计算不需要一个新的事件响应框架,只需将原有的响应程序、处理机制和工具与云计算相关的环境对应起来。与此同时,组织也要意识到,云计算的某些特征会影响事件响应的效果。
首先,云计算属于按需自服务,客户在处理安全事件的时候很难甚至不可能从云服务商那里获得协助。
第二,云服务的资源池化可能会导致事件响应过程复杂化。
第三、在多租户场景下,如果没有关于隐私信息的处理和资源池化的云服务方式,收集和分析事故的非直接数据和原始数据可能造成对隐私问题的担忧。
另一方面,云计算也给事件响应带来了新的机会。对于云的持续监控机制,可以减少事件处理时间或者事件响应频率。虚拟化技术和云计算平台固有的弹性特质,相比传统数据中心技术减少了服务中断时间,让遏制和恢复措施变得更有效率和效果。此外,由于虚拟机可以很容易地被移动到试验环境中并管理运行环境、取得鉴定映像及进行检查,这些都使得事件调查更容易开展。
目前情况并不太乐观,国内云计算厂商对于事故响应的手段极其有限,大部分是通过人工服务的情况进行解决,责任无法定位,造成的损失也无法衡量,导致用户和云服务提供商之间的不信任感。
笔者建议是:客户与每一个服务供应商约定的 SLA 中,必须明确供应商要支持企业事件响应所需要的事件处理,确保有效执行企业事件处理流程中的检测、分析、遏制、根除和恢复的每一阶段。
云安全挑战
为了安全地使用公有云、私有云、混合云等丰富多样的数字化服务,越来越多的企业需要满足不断增多的各种安全要求。企业要满足这些需求,必须首先意识到云安全方面的三大挑战:保护多租户环境下的信息,虚拟化和私有云安全,以及 SaaS 可视化和控制。这三大挑战将为企业的云安全建设提供实用的分类方法。
好消息是云厂商已经有了一定的安全能力,但是保证云 100% 安全是不可能完成的任务。使用云的客户需要应对以上三个方面的重大挑战。
评估和控制多租户环境下的安全和合规风险
安全管理人员关注公有云的相关安全问题。缺乏持续性的合规和风险的评估以及安全过程,使得一些敏感的场景无法迁移到公有云。
使用多租户的云服务并不直接导致安全问题,跟云厂商采取的安全措施有关,对云厂商的形成强大的挑战。持续的对云厂商进行风险监控还需要一段路。
安全管理人员甚至所有IT人员都关注公有云厂商是否安全。实际上,没有直接证据证明公有云厂商自身安全不到位会对用户造成重大影响。然而,如何评估公有云厂商安全性以及监管机构对公有云的接受度仍然值得探讨。公有云厂商缺乏透明度,合规状态不明确,风险评估和安全过程不成熟,使得一些敏感场景无法迁移到公有云。
对于企业而言,使用多租户的云服务并不会直接导致安全问题,还得看云厂商采取哪些安全措施。综合评估云厂商提供的服务和安全性,持续对云厂商进行风险监控,能够让企业在享受优质云服务的同时做到安全、合规。不过,市场对云厂商的评估和持续监控还没有形成最佳实践。
使用 CWPP 和微隔离等新技术保护虚拟环境下的工作负载
对硬件资源的虚拟化催生了新的安全技术,比如工作负载安全。工作负载指的是服务器、虚拟机和容器等系统核心业务的载体。云服务商的安全措施在某种意义来说比自建 IDC 机房的安全措施更好,但这并不意味着把工作负载从本地迁移到公有云上就能自动获得安全保障。实际上,云服务使用者应该利用好云厂商的安全特点和优势,由此产生效果也会更好。比如,利用好云厂商的安全自动化,能够大幅减少配置错误、管理错误、补丁缺失、人工操作失误等造成安全漏洞数量,从而大大提高云的安全特性。云工作负载保护平台( CWPP, cloud workload protection platform )和微隔离等新的技术能够在保证各种云环境下的安全,越来越受到国内外组织重视。
明确 SaaS 环境下的数据保护和行为监控
从当前企业支出来看, SaaS 是比 IaaS 更重要的计算领域。由企业的哪个角色来负责 SaaS 治理尚无定论,对 SaaS “所有权”的监管有所缺失,都影响了 SaaS 应用领域的推广。
对此,有些企业专门制定了 SaaS 评估、使用和部门职责的相关规定,也有些专家、架构师组成专门部门来管理 SaaS 应用。这些都是比较好的实践,能够帮助企业更好、更快做出关于 SaaS 使用的决策。
另一方面,安全团队在保护数据和监控行为时,要使用比 SaaS 厂商提供的控制机制更高级的技术手段。有数据显示,在 10,000 个使用的 SaaS 应用中,诸如身份治理和管理( IGA, identity governance and administration )和 CASB 等单点控制技术变得越来越重要。使用第三方产品来集中有效管理安全策略、权限和行为,也越来越被各种规模的企业所重视。
云安全的机遇
根据麦肯锡咨询机构的预计,云技术至 2020 年全球每年创造的价值在 3.72 亿美金。如果企业不重视云安全建设导致风险和损失,最终可能减少使用云技术。这种“数字反弹”的局面影响会非常严重,可能导致 1.4 万亿市场的萎缩。麦肯锡认为,企业在采用云技术的同时要同步建设云安全,这样才会使得技术不会倒退,市场不会反弹。任何一项技术在大规模扩张之前都没有考虑到安全问题(区块链技术除外),而技术产生泡沫的原因之一,正是安全问题没有得到充分的重视。
根据 Gartner 预测,2017 年基于云的安全服务市场规模将达到 41 亿美金,云安全的发展将受益于云计算市场的快速增长。
反观国内云计算市场,经过十年发展,目前已经“赛程过半”,上半场以中小长尾和互联网产业为主要目标客户,以公有云为主要交付形态,洗牌基本完成。下半场将以数字化转型为核心诉求,以传统纵向行业、大型企业为主要目标客户,以混合云为主要交付形态。
笔者大胆预测未来国内将是行业云和私有云的爆发期,针对关键基础设施(8+2)的云计算建设的方式,大部门会以行业云的方式存在。行业云(Industrial Cloud)这个概念跟国外标准中的社区云(community cloud)有类似的地方又不尽相同。行业云是数据和软件的拥有者为行业内部的核心组织或者成员,但服务对象是大众,满足社会经济运行信息需求。社区云的定义更着重于云计算后台的地理位置。针对于私有云和行业云的安全方案前景更加明朗,但是一般来说这些厂商的安全措施比公有云厂商的安全能力会更差一些。
国内大环境而言,目前网络安全领域得到了实质性的重视和发展。国家强调在任何技术领域必须提倡自主可控,这意味着国内安全厂商的机会大大增加。虽然我国网络信息技术和网络安全保障取得了不小成绩,但同世界先进水平相比还有很大差距,仍需要填补国内安全市场的空白,跟国际接轨,追赶世界最高安全水平。
Gartner声明:
Gartnerdoes not endorse any vendor, product or service depicted in its researchpublications, and does not advise technology users to select only those vendorswith the highest ratings or other designation. Gartner research publicationsconsist of the opinions of Gartner’s research organization and should not beconstrued as statement of fact. Gartner disclaims all warranties, expressed orimplied, with respect to this research, including any warranties ofmerchantability or fitness for a particular purpose.
