云安全将是安全领域最大的赛道

admin 2022年10月1日10:28:04评论34 views字数 3796阅读12分39秒阅读模式

“云安全将是安全领域最大的赛道。”在近日2022年度发布会上,肖力对未来网络安全发展给出了自己的判断。

记者了解到,几个月前,从中国最大电商平台和云平台安全,在以攻防能力著称的长亭科技,肖力如何用其在云安全上的能力,走上一条面向云时代的道路?

云安全将是安全领域最大的赛道

伴云成长的云安全“老兵”

肖力可谓是一个安全界的“老兵”。从2005年开始,他就在阿里巴巴从事安全工作,和团队一起从0到1构建阿里集团的安全体系。2015年,随着云计算的风起云涌,肖力开始专职阿里云安全的工作,让阿里云成为广大用户放心使用的平台。截至2022年来到长亭科技,肖力在阿里巴巴做了整整17年的安全工作。

17年间,肖力经历了阿里巴巴逐渐成长为中国最大的电商平台的过程;也经历了云计算从一个新生事物到遍地开花的各个阶段。期间,既有克服重重安全挑战的成就感,也有面对云计算到底是什么的迷茫。

从阿里巴巴到阿里云,对肖力是一个安全视角的转变。在阿里巴巴,肖力的工作是标准的甲方视角,每天都在想着怎么把阿里巴巴的“金钟罩”打造得更牢靠。到了阿里云之后,一方面,肖力和他的团队把之前积累的安全经验和实践在阿里云上进一步发扬光大,让中国这个最大的云平台稳定可靠运转;同时,面对阿里云数百万的用户,尤其是大量的中小企业,既不懂安全技术又没有专职人员,肖力开始通过安全产品输出阿里的安全能力。就像阿里的的使命是让天下没有难做的生意,肖力他们的目标是让天下没有难用的云,帮助企业做好必要的安全防护,让广大企业安心上云。

进入传统的ToB领域,对肖力来说是一个全新的开始。

安全因势而动

作为一个安全从业者,肖力认为,必须时刻关注行业的重大变化。要抓住影响安全行业发展的变量:当这些变量产生变化时,就能看清事物发展变化的趋势,从而找到应对变化的正确方法,满足用户的新需求。

对当前影响网络安全体系发展的变量,肖力总结主要有四个方面:政策法规的推出、攻击技术的演进、用户业务的变化,IT基础设施的变化。

首先,合规是安全的基本要求。国家近年来政策法规不断完善,对安全行业的影响深远。《网络安全法》《数据安全法》《密码法》《关键信息基础设施安全保护条例》、等保2.0等,都对当前企事业单位的网络安全建设提出了明确要求。国家通过政策法规的驱动,包括常态化的攻防演练,推动全社会加强安全能力的建设,提升全社会的安全水位,应对未来网咯空间的竞争。所以,必须关注政策法规的导向,包括配套的标准规范,从而明确网络安全工作最基本的方向。

其次,是攻击技术的演进。安全行业有句老话叫“未知攻,焉知防”,防守方必须非常清楚攻击者的手段,才能做到有效对抗。最初的病毒木马让系统瘫痪,后来的DDoS攻击让业务不可用,但现在这些攻击已不再是主流。数字时代,数据是企业最重要的资产,是第一生产力,针对数据的攻击已经成为这两年的“顶流”。无论是APT攻击、勒索软件攻击,还是供应链攻击,都是针对数据而来,对抗这类攻击是未来企业必备的安全技能。

再次,是用户业务的变化。数字化给企业的IT和业务带来了根本性的改变,从简单的办公环境信息化,到现在企业的生产办公包括业务大多构建在网上、在云上。例如,物联网、车联网、工业互联网等新业态的发展催生了大量新场景新业务,疫情带来了远程办公浪潮,这些都产生了新的安全需求和安全挑战。数字化让安全和业务紧密关联,安全要和业务保持同步发展。

最后,是对企业安全体系影响最大的变量——IT基础设施的变化。安全本质上是在IT基础设施之上的应用,基于不同的IT基础设施来构建。当IT基础设施从办公网变成数据中心,再从数据中心变成渐趋统一的云,相应的安全架构,安全技术、产品和解决方案也都在跟随演进。

安全是一个动态的概念,肖力强调。这四个方面每出现一点变化,都可能导致整个网络体系出现新的风险、新的漏洞,安全也必须随之做出改变。

肖力认为,上述这四个变量的演进,让当前的企业网络安全面临三大挑战:攻击策略的不确定性、IT环境的复杂性,以及用户体验和安全的平衡。

挑战一,攻击策略的不确定性。从长亭的攻击者视角来看,软件供应链风险和不断暴露的企业攻击面,已经成为攻击者最主要的突破口。开源软件的流行,云上业务的增加,企业大量使用的软件中的漏洞,甚至安全设备自身的漏洞,让今天的攻击者处处有机可趁。而攻击者会从哪里入手,会采用何种攻击策略,却越来越难以判断。

挑战二,IT环境的复杂性。随着IT基础设施的复杂度越来越高,安全的管理难度不断加大。混合云是国内普遍采用的新IT基础设施,混合云场景对安全建设的挑战会成倍增加。这其中,既有OT和IT之间日益增长的互联性带来的挑战,又有为数众多的不同安全厂商产品带来的管理和协作的挑战。安全解决方案越来越复杂,甚至超过了IT架构的复杂性,让运维工作繁重而低效,用户对安全体系是否真正有效缺乏信心。

挑战三是用户体验和安全的平衡。业务的稳定运行是用户最重要的目标,作为深植在用户信息系统每个环节的安全硬件或软件,不能只考虑让自身发挥作用,而是要确保系统的稳定,兼顾安全和用户体验的平衡。

直面混合云时代的安全挑战

肖力认为,中国企业的数字化转型,以私有云为主的混合云将是主流趋势。这里所定义的混合云,是指由私有云、公共云,以及多云的环境组成的企业IT基础设施。据Gartner《中国混合云运营的三个重要经验》报告数据,中国的混合云采用率在2021年达到了42%,预计到2024年将达到70%,远高于50%的全球平均水平。肖力表示,未来再谈论数据安全、主机安全、身份安全、应用安全等,都是基于云的基础设施,所以,云安全将不再是安全领域的一个分支,而是会成为未来安全领域最大的赛道。

面对上面提到的种种安全挑战,混合云下的安全该怎么做?肖力表示,云基础设施让安全变得更简单,做好云安全要基于云原生安全的思维。

对云安全,尤其是云原生安全,肖力有着自己的理解。肖力认为,基于过去他对云安全的最佳实践,发现有些厂商和用户对云安全有理解上的误区。肖力总结了混合云安全体系的5个关键理念,分别对应云原生安全产品的定义、新的安全风险指标、云上安全的关注重点、安全运营的重要性以及云安全生态的构建。

第一是云原生安全的定义,这也是肖力强调的最为关键的一点,云安全必须具备云原生思维。云原生安全首先是一种安全思路的转变,而不局限于业界很多针对云工作负载、容器、K8S、API安全等细分的技术领域。只是把安全产品装到虚拟机上,这并不是一个真正的云安全产品。只有将安全能力融合于云基础设施、云产品组件之上的系统,才能说是云安全产品。换句话说,真正的云安全产品必须能够充分利用云基础设施的原生能力,例如分布式弹性的存储、计算、网络等,高度API化、数据统一、管理统一,把云的优势特点用到极致,在面对超大流量、动态庞杂资产、24小时在线的快速变化业务时,才能在扩展性、稳定性、安全看见能力、安全控制细粒度上表现出云原生安全的巨大优势。

第二是风险覆盖率成为安全的新指标。过去业界强调的指标是检测和响应,就像人生病了去医院做检查,对症下药。但现在云上安全体系更要做到“治未病”,防患于未然。成熟的安全团队要做的是设置持续减少风险暴露面的安全指标,融入日常运营,以缓解风险,消除风险。

第三是企业上云后安全要着重关注身份、应用数据和配置问题。云场景是一个多租户共享的环境,传统的安全隔离手段已经失效,一个应用有漏洞,或一个身份凭证被窃取,带来的可能是更多用户的身份权限、应用数据的安全问题。同时,Gartner提出,到2023年 99%的云安全事件将是客户错误的配置所导致,这充分说明了配置的重要性。高度自动化的日常巡检、基线扫描和配置管理,可以有效抵消云环境的复杂性和动态性。

第四是安全运营体系比安全产品更重要。很多客户非常重视安全,投入很大,买了大量的安全产品,但没有用好,达不到预期的防护效果。安全产品需要好的运营能力,才能做到真正有效,但很多用户在安全运营、安全服务的投入非常少。安全运营的价值,不仅是专业的分析,还要对各类安全事件的优先级做出判断,采取相对应的措施。例如,用扫描器发现了一个高危漏洞,找出漏洞后安全运营团队要做分析,判断危害性和影响范围,是否需要立即修复,并制定相应的修复方案。云安全运营更需要关注身份识别、风险评估和运营安全验证、合规性评估、威胁防范和风险发现、运营监控。

最后是云安全需要标准化的开放生态。从安全厂商的角度,常称自己有一站式的服务,可以满足用户的全部需求;但从成熟的甲方角度来看,其最佳实践是采用细分技术领域最好的产品,基于自己的业务特性来构建符合自己需求的安全体系。所以,云安全需要一个统一的生态,各家的产品都符合云原生架构,高度API化,可以统一存储、统一计算、统一决策、统一调度。最终,用户会基于统一标准的开放生态,用各个技术领域最好的产品来构建云安全解决方案。

肖力表示,云计算仍处于发展期,混合云的浪潮势不可挡。长亭科技始于技术和攻防,未来将面向异构混合云场景,将混合云的思想技术贯穿于产品中,围绕企业安全攻防场景的核心能力,打造更多单点极致的云原生安全产品。



原文来源:中国信息安全
“投稿联系方式:010-82992251   [email protected]

云安全将是安全领域最大的赛道

原文始发于微信公众号(关键基础设施安全应急响应中心):云安全将是安全领域最大的赛道

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日10:28:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   云安全将是安全领域最大的赛道http://cn-sec.com/archives/1316831.html

发表评论

匿名网友 填写信息