从零信任到全面云化|安全村

admin 2023年2月14日16:15:20评论98 views字数 3150阅读10分30秒阅读模式

从“零信任”到“全面云化”|安全村


以NIST正式发布SP 800-207《零信任架构》为标志(2020年8月11日),“零信任”所代表的一系列新的网络安全范式(cybersecurity paradigms)成为主流。围绕“零信任”概念,几乎所有安全厂商都推出了相关的新产品;然而,绝大部分都只是对现有产品进行重新包装,以至于“零信任”在很多时候都只是“另一个概念多于实质的市场术语”,成为厂商宣传材料上的噱头。

但是,我们还是应该看到,“零信任”概念的提出和发展有着迫切的现实需求和深刻的技术背景(参见《喧嚣之外:为什么是“零信任”》),是网络安全技术和理念的新发展,更昭示着IT基础设施建设的未来。

一直以来,以个人电脑(PC)为基础, IT基础设施形成了树形网状的基本逻辑结构,业务架设和安全保障普遍遵从“以网络为中心,加强终端管理”的原则。然而,在以“云”和“移动”为代表的“数字化转型”(Digital Transformation)浪潮下,业务发展和安全威胁已经完全突破了传统的终端设备和网络边界:一方面,业务的进行和发展总是需要与现实世界对应,会受到各种物理位置和网络限制;另一方面,业务需求又没有边界且快速变化,相关的用户和资源近乎随机分布。

在“以业务为中心”的新形势下,从安全着眼我们得到了“零信任”的新范式,而更广范围内的IT基础设施整体架构也在发生相应的变化,需要提供按需服务(On-demand Service)、中心化管理(Centralized Management)和分布式执行(Distributed Enforcement)。从大型机时代完全中心化的资源供给和使用,到PC时代全面发展的网络化,如今IT基础设施的整体架构则呈现出“再中心化”趋势, IT基础设施的基本逻辑结构也将变成星形分布式。

由于“安全”在传统IT基础设施的底层架构和设计中存在根本性缺失,但在现代IT基础设施中处于核心位置,在IT基础设施“全面云化”的发展中“安全”是非常重要的推动力。同时,从特征库更新、恶意软件检测等“使用云计算”技术服务的安全解决方案,到以CSWG(Cloud Secure Web Gateway,云安全Web网关)为代表的“服务化”安全产品,再到SASE(Secure Access Service Edge,安全访问服务边缘)所代表的的安全基础设施“全面云化”的发展和融合,安全领域“全面云化”的发展路径可以提供更广泛的启发,使我们看到IT基础设施“全面云化”的未来:不受各种边界限制,根据业务需求管理和接入用户,按需调配、管理和使用各种资源,以最优的成本充分保障业务的灵活性和安全性。

“云”(Cloud)和“云化”(Cloudification)正在推动IT基础设施的变革,“全面云化”不会仅限于以云端服务的形式提供传统的产品功能(“服务化”,X-as-a-Service),更重要的是适应业务的变化而从根本上对业务运行和支撑体系的发展和融合。近年来,在最传统的IaaS、PaaS和SaaS等三种基本分类之外,出现了越来越多的新业务形态。这些新兴的技术方案和产品,不只是以云服务方式提供相关服务,丰富云服务生态,更是不断拓展云计算的概念和实践,实质性地打破了IT基础设施各种传统分类的边界。“全面云化”正在从根本上改变整个IT基础设施架构和体系,当然也蕴藏着数以万亿计的新的市场机会。

国内市场针对IT基础设施框架常常按“云、网、端”来区分,而“全面云化” 的发展趋势已经在打破这种传统分类方式。除了传统意义上的云服务(“云”),“端”和“网”的“云化”也逐渐成为显著趋势。对 “端”(用户终端设备)而言,从早先VDI的“虚拟化”开始,近年来以Microsoft Cloud PC为代表的“服务化”(Desktop-as-a-Service)广泛发展,而从最早Windows系统的RemoteApp服务到AWS AppStream等新兴业务,“端”的传统框架逐渐被突破,变成完全基于云的业务服务,已经属于“全面云化”的范畴。国内市场上,我们也可以看到阿里云“无影”产品线将“云应用”被作为“云计算市场的主要发展趋势之一”而大力发展。类似的,从SD-WAN发展到新近的Private Access,“网”的发展也已经进入“全面云化”的范畴。可以想见,“全面云化”将从根本上改变以PC(个人电脑)等用户终端设备为基础的资源供应(provisioning)和访问(accessing)方式,重塑软件供应链,强化数据安全,并充分保护用户隐私。

此外,“全面云化”使IT基础设施的部署和管理具有充分的灵活性,也会打破惯常对公有云、私有云和混合云的分界。不同组织的不同业务对基础设施的可靠性和安全性都有不同需求,对资本支出(Capital expenditure,CapEx)和运营支出(Operating expenditure,OpEx)的偏好也各不相同。与客户的私有基础设施(实体设备和相关的虚拟化平台及私有云)相比,公有云并不能提供绝对低成本的运算和存储,也无法满足很多明确的安全及合规性要求,其优势主要在于更简单的管理和按需供应的弹性,但由于只能从整体上保证较高的可靠性/可用性,因而并不具有广泛的成本优势。私有化部署选项的重要性在于,除了满足不同业务对安全和合规性的不同要求外,还能够在满足必要的可靠性需求基础上适应不同组织的支出偏好,并实现整体成本最优化。因此,在现有公有云业务模式的基础上,“全面云化”除了提供全面的SaaS化管理外,还将能够根据业务需要提供不同类型和规模的私有化部署选项,并在公有云和私有化部署之间按需协作和迁移。

自AWS在2019年12月正式发布AWS Outposts以来,各主要云厂商都已经提供了各自的边缘计算(Edge Computing)产品。虽然目前的边缘计算产品大都只是提供边缘节点以混合云(Hybrid Cloud)的方式作为现有公有云服务——特别是传统的计算和存储等IaaS业务——的延伸,并不是以业务为中心的IT基础设施“全面云化”,但各种边缘计算业务方案的成功实践进一步确认了IT基础设施“全面云化”的发展趋势,也为各种相关技术方案的形成和成熟提供了启发和基础。

最后想说的是,与欧美相比,国内传统IT基础设施的部署和管理普遍都非常薄弱,IT基础设施“全面云化”应该会有更为广阔的市场机会。传统IT基础设施上的不足使国内的各种组织在推进IT基础设施“全面云化”时面临的阻力更小,需要为业务迁移和方案兼容付出的成本也更小。以通过各种AD/LDAP软件进行身份管理为例,根据我们在实际工作中得到的经验数据,欧美企业市场的目标客户中的使用率超过90%,而国内企业中的使用率不到5%,成规模的企业中也不到10%;正因如此,钉钉和企业微信虽然是作为即时通信和办公协作工具进入企业市场,却帮助各种组织直接以云服务方式实现了基本的身份管理(Identity-as-a-Service),成为各种办公服务的基础。类似的,IT基础设施“全面云化”的同时,也将推动业务管理的系统化和正规化,并实现全面的数据保护。


作者介绍

杨洋,CISSP,CCSP,筋斗腾云科技创始人和CEO。基于近二十年的企业安全技术积累和国际领先安全企业的战略前瞻及核心产品管理经验,通过 SupraAXES安全办公空间提供数字化转型所要求的创新安全理念和解决方案,构建新一代IT基础设施,推动业务超越云和移动。



关于 安全村


安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

投稿邮箱:[email protected]



原文始发于微信公众号(SecUN安全村):从“零信任”到“全面云化”|安全村

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月14日16:15:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从零信任到全面云化|安全村https://cn-sec.com/archives/1552967.html

发表评论

匿名网友 填写信息