在谈到云安全的挑战之前,我们第一步要确定的一件事,上云是趋势,并且从数据控制角度而不是仅仅关注数据物理位置、存储位置而言,在安全性整个方面,公有云相对传统的IT采购来讲应该更安全。
Gartner2022年CIO技术执行官问卷调查的最终结果显示:2022年有52%的企业会增加“云”投入,相对来说有32%的企业会减少传统基础架构和数据中心的投入。《Gartner中国云基础设施和平台服务市场指南》预测:到2024年中国将近40%的最终用户在系统的基础设施和基础设施的软件上支出将会转到“云服务”上。
上云成为趋势。云的出现打破了IT资产的物理边界,然而传统的IT架构无法很有效的保护“云”上的资产。我们也看到全球来看,不少企业对于公有云还是缺乏信任,包括中国许多企业组织都担心数据的位置,还是认为数据在自己的组织内部、在自己的物理边界内更安全。这就导致了私有云和混合云在中国使用率一直很高,因为这两种部署方式仍旧能把数据存储在组织内部的物理边界内。
但是这种对于物理数据位置的过度关注,往往会牺牲了“云”自身的好处。仅仅从规模效益来看,云服务商就能够给大家提供比私有云和传统数据中心更安全的保护。以现在工业化产品为例,今天工业化的产品无处不在,并且在效率和品质上远超于传统的小作坊。经过十数年的发展,“云”作为更先进的模式,基于规模效应,在技术成熟度、运维水平、技术团队、风险防控、成本控制等方面超出传统IT架构,不管是在安全还是效率都比传统的数据中心和私有云更加安全。
同时“云安全”非常大程度上是用户自身问题导致的。Gartner预测到2023年99%的“云安全”问题都是用户的因素引起的。公开信息也显示而很少有主流的“云服务”提供商出现重大的安全事件。另一个预测,就是到2024年利用云基础设施和编程性,改进云上工作负载的安全保护将展现出比传统数据中心更好的合规性和减少至少60%的安全事件。
基于此背景,近日Gartner高级分析总监高峰根据调研数据分析了中国企业“云安全”面临的三大挑战,并给出了相对应的行动指南。
基于未来“云安全”的安全和风险管理会成为中国管理领导者最关键的任务之一。Gartner发现客户“上云”面临着三个挑战:一,对于云安全责任分摊模型的理解,还有有关技术能力的缺失。二,云安全技术的选择和应用。三,缺乏对于“云服务提供商”进行风险评估。
Gartner针对这些挑战,主要有三个建议:一、明确企业和“云服务提供商”的安全责任范围,并建立“云安全”所需的能力。二、优先选择“云服务提供商”的一些原生安全工具,然后利用第三方/开源工具作为安全实施补充。三、持续去做云服务商的风险评估。
在“云安全”中,云安全责任跟传统的安全很大不同。理解“云安全”和“云安全”提供商的安全责任分工,是“云安全”成功的一个必要条件。云安全所需要的技能和传统的以边界为保护的安全也有很大不同。企业相对能力的缺失,使得云安全成功实施也受到很大的挑战。
因此企业一定要对云安全分摊的模式有充分的了解。云安全是基于“责任公摊”的概念、所以安全责任和因“云”的部署模式也有所不同。
在私有部署的模式下,所有的责任都是由客户自己承担的。但是“上云”之后若使用IaaS(基础架构级服务),在物理和虚拟层的责任由“云提供商”去承担。若使用PaaS(平台级服务),责任更多分摊给了“云提供商”。比如虚拟机、服务编排。如果用到软件级服务,基本上客户主要关注的就是“认证”和“授权管理”还有数据,分摊部分的应用和API的责任。
为了实施的正确控制,明确了企业与“云服务提供商”的安全责任范围,客户要建立相应的技能。“云”的部署因企业的需求而异,所以“云”资源具有共享、生命周期短、自动化等特点。所以企业要建立所需的“云安全”相关能力。
Gartner建议从现在开始企业应该打造两个角色:云安全架构师和云安全工程师
企业可以去雇佣或者内部提拔“云安全架构师”,“云安全架构师”不是唯一一个识别和制定“云安全架构”有关决策的人,他其实也要跟内部其他的架构师,比如:云架构师,还有一些其他的安全架构师紧密合作确保云上的安全。
云安全工程师是负责实施云安全控制方面的角色,具有广泛技能的专业人员,与传统的安全工程师不太一样,他的技能不会限于特定的某个安全领域,而是广泛分布于各种安全领域。比如:网络安全、服务器安全、漏洞管理、应用程序安全和数据安全。负责云原生的一些管控和第三方安全的管控,配置跨云平台的安全服务配置等。
针对“云”的部署模式,企业现有的一些安全工具可能需要做一些更新。没有一个“云服务”提供商或者安全厂商能提供企业所需的全部安全能力。有些国际厂商在中国面临落地困难,因为中国监管的一些原因、所以许多很多企业还面临着“云技术”选择和运用的一些困难。
Gartner建议企业去做的是要优先选择云服务提供商的云安全原生工具,利用第三方或者是开源工具作为补充来去实施安全控制。
Gartner推荐的一个步骤:先是“云提供商原生安全工具”,然后是“第三方工具”、还有就是“开源的工具”。
“云提供商原生安全工具”是云供应商提供的一些安全工具,云提供商在不断的增加一些安全工具来帮助提高云服务的安全。虽然有些工具其实还比较初级,但是他们也有很多的一些工具已经具有企业级产品能力或者是已经是接近企业级产品的能力。由于这些工具是和“云服务”是高度集成的,因此采用这些云原生安全工具具有成本的效应,而且部署非常简单,可以快速的满足客户的安全需求。
在云服务商和云原生安全工具不能提供满足的情况下,Gartner建议可以寻求第三方工具或者开源工具。相对云供应商来说,第三方的工具可以进行更多的个性化配置、服务。
第三个主要的工具来源就是开源的工具,开源的工具我们认为也是实施云安全的一种选择,尤其是在没有可用的商业工具时,它不仅具备成本效应、因为它很多是免费的,它们还提供了很多灵活性和创新型,因为它的开源可以去进行二次开发。高峰表示:“开源工具的使用,我们认为企业要仔细评估它带来的风险。比如:它会缺少一些商业的支持,还有漏洞管理这方面;在我们的最佳实践中,其实也有讨论过这种通过建立使用开源软件策略来管理风险和回报。”
由于“云”共享了安全责任和云产品的一些复杂性,客户需要一些新的安全工具来帮助他们安全的使用云。云供应商通常使用一些,采用产品模块和的方式提供服务、并将这个功能整合到一个产品中。这些产品主要分为几类:
比较成熟的,例如“云访问安全代理”或者是“云工作负载保护平台”和“云态势管理”。其它的包括一些云原生的应用保护平台CNAPP,还有就是如安全态势管理SSPM和SaaS管理平台SMP。CWPP和CSPM一般是关注数据平面控制的,CSPM、SSPM和和SMP主要是关注控制平面,CNAPP是同时适用于控制平面和数据平面的控制。
云安全访问代理CASB:CASB最主要的作用,是保护SaaS。CASB主要是通过多种类型的云安全控制整合到一起,为SaaS、IaaS和PaaS提供一些可见性、合规性、数据安全和威胁保护提供的一些控制。比如:授权,用户行为分析,自适应访问控制,数据泄漏防护。
云工作负载保护平台CWPP:也可以称之为“云主机保护平台”。这是中国大部分安全厂商主要提供的一个安全工具,CWPP是以工作主机,就是负载或者主机为安全的产品,它可以保护混合云、多云的服务器工作负载。CWPP为物理机、虚拟机、容器和无服务等多种形式,无论它们的位置在哪里,都能提供一致性的可见性和控制。CWPP结合多种功能来保护工作负载,比如:它的完整性保护、应用程序控制、行为控制、入侵预防、以及一些恶意软件的保护。
云安全态势管理CSPM:CSPM主要通过一些预防检测、响应和主动识别的云基础设施的风险,来持续管理云安全状况。它的产品核心,主要是通过一些框架和法规要求,比如:ISO22701。中国的法规,比如:等保或者安全策略,企业的安全策略去主动和被动发现云安全配置的风险,它可以发现云上的资源是否按照企业的策略去正确配置。如果发现问题,它会自动或者去人工的进行补救。目前在中国这个工具还没有被广泛的采用,也很少有本地的供应商提供此类产品。
云原生应用保护平台CNAPP :CNAPP是集成了安全性和合规性的一些功能,它主要是旨在帮助云原生的应用程序开发和生产中进行保护。CNAPP主要是整合了大量功能,包括:CWPP、CASB的所有功能、都要具有。高峰表示:“从某种程度来说。它提供了一些容器扫描,云安全态势管理、基础设施、代码扫描、云主机运行时保护等等。中国其实有一些本地的供应商,特别是一些初创的云安全供应商,它其实已经提供了相应的产品和解决云原生程序安全要求的产品,但是他们还没有覆盖所有的领域,所以这一类工具我们觉得还是有待开发。”
Gartner发现中国企业上云很少会系统性的对云服务提供商做一些风险评估,不同的云服务提供商有着不同的风险、而且这个风险也并不是一成不变的,所以缺少持续的风险评估、会让企业“云”上的资产面临一定的威胁。
云服务提供商的风险不可忽视。Gartner总结了一些客户最常用的方法,并根据这些方法、根据需要多少投入和对于它们产生的价值。比如说,云服务提供商宣传资料非常容易获得但是它的价值因为是服务商提供的,价值可能相对较低。如果通过第三方的评估机构或者是咨询机构,对云供应商提供一些审核,这些服务相对来说会价格比较高昂,您可能要投入更多的投资或者需要花更多的精力,但是它们带给您的价值也是更高的。另外Gartner根据云服务商的数量来做的一个三层模型、这种方式我们觉得也非常适用,它主要是包括了一些少量、成熟的第一级的大型云服务提供商。还有就是不断增长的第二级的一些云服务提供商和剩下的数量庞大/不断增长小型的第三级的云服务提供商。
第一级云服务提供商,是一些少数的、成熟的,在财务安全和云服务提供商中已经主导市场比较长。所有的第一梯队的云服务提供商,在中国可能都需要通过“等保三级”,包括:其它一些比较重要的第三方安全评估。而且这些巨头非常注重它们的形象,所以它们要不断的用各种方式寻求增加客户的信任。
第二个级别的云服务提供商,是中型提供商和大型知名软件的供应商也在提供“云”的服务。但是他们没有第一梯队云服务供应商在“云”方面良好的运营历史记录,他们可能刚进入这个领域或者主要的业务并不是“云服务”,他们代表了供应商和成熟度之间的一层。第二梯队的供应商在安全和运营方面并不是很成熟,缺少一些比较关键的第三方的评估、认证,比如:他们有时候在财务上会比较脆弱,特别是一些初创的公司。Gartner认为,评估云服务商的大部分的资源应放在第二级的云服务提供商上。
剩下的就是第三级云服务提供商,大多数都是非常小的提供商,客户很难去搞清楚他们的运行状况如何。你可能要去评估风险是否能够接受。比如:是否接受以及如何应对这些云供应商可能在某一天破产?是否在其它地方有相应的备份?根据企业对风险的接受度,您可以去做一些选择。
在“云评估”中,还要看云服务提供商是否通过一些比较重要的认证,这也是最容易获得的一些信息。一个合格的“云服务商”,最起码要通过“等保三级”,如果是一些金融机构在大多数情况下要通过“等保四级”的金融云。
总结,我们看到云供应商们一直不断的提升自己的服务,确保其是安全合规的,让客户不断提升对他们的信任,来帮助客户保护他们云上的数据。比如“云厂商”其实也一直在致力于提升自身的安全性,会通过各个国家的行业认证,还有国内等级保护、行业标准。其次还有很多企业可能没这么多的安全人员来使用云原生的安全工具,而云厂商通过你自己的“云”去开发了一些安全工具帮企业客户提高他的安全能力。这些工具最大的优势,就是它的购买、开通是很方便快捷的。最后,“风险评估”很重要,因为企业并不知道是否会有某个云提供商突然破产,因此导致自己的云上数据和应用没办法得到技术上的支持的情况出现。Gartner建议还需要找专业的咨询公司和评估机构来做多方面的审核。