Gartner预测:到2023年,主流的云服务提供商出现重大安全事件的概率将非常低,99%以上的云安全问题都是由客户的过错引起的。而到2024年,利用云基础设施的可编程性来改进云上工作负载的安全,将展现出比传统数据中心更好的合规性,并减少至少60%的安全事件。

近日,Gartner高级分析总监高峰在以“中国云安全的最佳实践”为主题的线上研讨会上提到:“企业在云上是安全的,而且比传统的线下基础设施平台更加安全。”

中国企业面临三大云安全挑战

实际上,企业在云安全方面仍有诸多顾虑。由于云安全与传统的线下基础设施安全大不相同,企业在云上仍然面临诸多挑战,既有是否信任公有云以及如何信任公有云这类全球性挑战,也有中国市场独有的挑战。

Gartner认为,中国企业目前面临三大云安全挑战:

一是对云安全责任分摊模型的理解和相关技术能力的缺失。企业在云安全中分担的责任与传统线下数据中心的安全有很大不同,因此理解与云安全提供商的安全责任分工非常重要。此外,云安全所需要的技能与传统的边界安全也有很大区别,企业在这方面的能力缺失,使云安全的实施面临更大的挑战。

二是在云安全技术的选择与运用方面存在一定困难。云的部署模式需要一些安全工具支撑,然而中国的市场现状是:目前的云服务提供商和安全厂商无法满足云上安全的所有需求,不能提供所有的安全能力,因此许多企业在实施云安全的过程中面临技术选择难题。

三是缺乏对云服务提供商进行持续的风险评估。不同的云服务提供商存在不同风险,而这些风险并不是一成不变的,中国企业很少对云服务提供商进行系统性的风险评估,这使企业的云上资产面临一定风险。

企业应对云安全挑战的三大建议

如何应对以上三大挑战呢?高峰在会上给出了Gartner的三大建议。

建议一:明确企业和云服务提供商的安全责任范围,并建立云安全所需的能力。

云服务的资源共享理念,打破了传统IT资产的物理边界,使现有的安全架构无法有效保护云上的资产。由于对公有云缺乏信任,中国很多企业过于关注数据的存储位置,认为数据在企业自身的物理边界内更安全。而Gartner则认为:这种对数据物理位置的过度关注是错误的,数据保护需要企业对数据实施安全控制,而非过度关注数据的位置,这会使企业牺牲云计算的诸多好处。

实际上,对于云服务提供商而言,安全的重要性不言而喻,他们会持续进行大量安全投资,凭借大量的安全技术人员和用户基数,云供应商更容易发现和解决安全问题,因此从规模化效应的角度来看,公有云其实比私有云和传统数据中心更安全。企业之所以对数据的位置十分关注,除了监管合规的因素外,还有一部分原因是企业在实施云安全时存在一定困难,伴随物理边界的消失,企业不知道如何与云服务提供商共同保护云上的数据资产。

云计算安全责任共担模型

高峰提到:基于责任共担的理念,云计算的部署模式不同,企业与云供应商之间所承担的安全责任也有所不同。如上图所示,深蓝色模块代表企业的安全责任,绿色模块代表云服务商的责任,淡蓝色模块则是企业和云服务商需要共同承担的安全责任。从图中可以看出,无论云的部署类型如何,数据安全永远是企业自身的责任,必须通过数据加密、访问授权控制等一系列手段提升云上的数据安全水平。

大部分企业都存在安全人员和技术能力的缺失问题,通过与云服务商分担安全责任,企业能够更专注于保护核心的数据资产。数据显示,云上成功的安全攻击,大多数是由于用户的错误引起的,例如配置错误,或缺少必要的补丁,而充分利用云上内置的安全功能,以及高度自动化的工具,企业可以显著减少此类配置错误,杜绝管理不善等问题,通过进一步减少攻击面来改善整体的云安全状况。

云资源具有可共享、生命周期短、自动化以及可编程等特点,云上的安全运维涉及大量的自动化工作,以及跨领域、跨平台的安全保护工作,这与保护本地的基础设施安全有很大不同。因此,企业必须建立云安全相关的能力,设立云安全架构师和云安全工程师两个至关重要角色。

Gartner建议设立云安全架构师和云安全工程师两个角色

云安全架构师主要责任包括以下几点:

1)引领云安全的文化变革。

2)制定云安全策略。

3)开发和协调用于云安全的安全技术和工具。

4)招聘或培训云安全工程师。

企业可以雇佣或从内部提拔“云安全架构师”。值得一提的是,“云安全架构师”并非唯一识别和制定“云安全架构”的决策人,他需要与云架构师及其他安全架构师紧密合作,共同做出决策,确保云上安全。

此外,云安全工程师也是一个非常重要的角色,与某些特定安全领域的传统安全工程师不同的是,云安全工程师是拥有广泛技能的技术专业人员,负责配置本地云原生和第三方云安全管控,配置跨多云环境共同使用的核心安全服务。

高峰强调:上云对大多数企业而言都至关重要,设置云安全架构师和云安全工程师两个角色非常必要。对于中小型企业而言,如果无法设立这两个专职角色,可以通过职能外包或培训现有安全团队,来提升自身的云安全能力。

建议二:优先选择云服务商云原生的安全工具,并以第三方和开源安全工具作为补充实现安全控制。

如今,云服务提供商正在不断推出新的云安全工具,以提高其云安全水平,其中不乏一些具备或接近企业级产品能力的安全工具,这些工具与其云服务高度集成,采用云服务提供商的安全工具,对企业而言成本更低,而订阅式的付费模式非常方便、灵活,不仅能快速满足企业的诸多安全诉求,也可以随时取消或更换安全工具。

值得注意的是,为了满足中国市场的监管合规要求,国外云服务商在中国提供的云服务与全球云服务之间是物理隔离的,相互之间不互通,运维也由第三方团队负责,这就导致了其产品、技术和服务可用性的一些差异,国内可以订阅的安全工具与国外也可能有所不同。因此,企业在选择这些工具之前,需要核实其可用性以及产品路线图。

对于那些需要将国外的应用部署迁移到国内同一个云服务提供商的企业而言,由于国内外云服务可用性的不同,在无形中增加了应用迁移的复杂度,此时采用一些第三方的安全工具,实现更多个性化配置和服务,是不错的选择。

国外很多云服务商的SaaS产品,需要用户通过跨境连接的方式访问其全球的SaaS服务,然而数据跨境会面临一定的合规风险,当云服务商云原生的安全工具以及第三方安全工具都无法满足企业需求时,开源工具成为企业实施云安全的另一种选择,但是需要注意的是,由于缺乏商业支持,开源工具在漏洞管理等方面可能存在一定风险,需要企业仔细评估。

由于共享了云安全责任和云产品本身的复杂性,大部分企业上云后都需要对其安全工具进行更新,例如被国内大多数企业广泛应用的CWPP(云工作负载保护平台),在国外较为成熟的CASB(云访问安全代理)、CSPM(云安全态势管理)、CNAPP(云原生应用保护平台),以及SSPM(SaaS安全态势管理)和SMP(SaaS管理平台)等新兴的安全工具。

云安全工具组

从上图可以看出,CWPP和CASB一般关注数据平面的安全,CSPM、SSPM和SMP主要关注控制平面的安全,而CNAPP则同时适用于控制平面和数据平面的安全管控。随后,高峰详细介绍了几个重要的云安全工具。

CASB:即云访问安全代理,CASB通过对多种类型的云安全控制进行整合,为SaaS、IaaS和PaaS提供一些可见性、合规性、数据安全和威胁保护的控制,例如授权、用户行为分析(UEBA)、自适应访问控制、数据泄漏防护(DLP)以及设备分析等。据悉,CASB在国外已得到广泛应用,而在国内市场,由于CASB供应商需要与云服务提供商进行深度合作,因此市面上提供CASB的供应商较少。

CASB通常有四类集成方式:一是API集成,其部署优势是不存在代理模式的会话管理问题;二是正向代理方式,主要针对用户上云的访问进行保护,包括企业访问外网以及访问云上资源的流量;三是反向代理部署,针对外部用户(如:非企业管理的客户端)对企业云上的应用访问,进行保护;四是从安全网关或企业防火墙等安全设备提取日志,注入到CASB进行分析,并生成云应用的发行报告。

CWPP:即云工作负载保护平台,又称“云主机保护平台”,是以工作负载的保护为主的安全产品,可以保护混合云、多云和数据中心的服务器工作负载。与EDR不同的是,CWPP专注于保护服务器负载主机,为物理机、虚拟机、容器和无服务工作负载等所有主机提供保护,无论它们在数据中心还是云上,都能提供一致性的可见控制。CWPP能够结合多种功能保护工作负载,例如:系统完整性保护、应用程序控制、行为监控、入侵防御、以及恶意软件的保护。

需要强调的是,尽管中国的供应商提供了很多CWPP工具,但是其中不乏一些基于供应商原有的EDR进行修改的产品,这些修改版的CWPP工具对无服务工作负载、容器以及云集成的支持能力可能非常有限,企业在选择相关产品时需要格外注意。

CSPM:即云安全态势管理,主要通过预防、检测、响应和主动识别云基础设施风险,持续管理云安全状况,核心是通过ISO22701等通用框架要求,等保等相关法律法规要求,以及企业的安全策略,主动与被动结合,发现评估云服务的安全配置风险,一旦发现问题,可以提供自动或者人工的补救措施。例如,CSPM可以根据企业配置的安全策略,对其进行持续的安全检查,一旦发现配置偏移,即可阻止或通知安全人员。由于CSPM产品需与云服务提供商深度合作,目前只有少数本地供应商能够提供此类产品,而国外已经有很多CSPM产品开始支持中国的云服务商。

CNAPP :即云原生应用保护平台,CNAPP集成了安全与合规功能,助力保护云原生应用程序的整个生命周期,包括应用的构建、云基础设施的配置以及应用运行时的安全保护。CNAPP整合了大量独立功能,例如容器扫描、云安全态势管理以及云主机运行时的安全保护等等。目前,一些中国供应商,尤其是初创的云安全供应商,已经开始提供CNAPP产品,但是尚未覆盖所有领域,这一类工具有待进一步发展。

建议三:评估云服务提供商的风险。

评估云安全提供商的常用方式

无论企业采用哪种云部署方式,云服务提供商的风险都不容忽视。Gartner总结了一些常用的评估方法,如上图所示,这些评估方式从左到右给企业做出决定的评估价值会越来越高,从下到上评估所需要的投入会越来越少。企业可以根据自身的实际情况进行选择,也可以采用多种评估方式对云服务提供商的风险进行综合评估。

此外,Gartner根据云服务商的数量给出了一个简单的评估模型:

第一梯队是一些少量、成熟的大型云服务提供商,以及少数成熟的财务安全云服务提供商,他们主导市场的时间超过5年,均已通过等保三级等重要认证,以及市面上常见的第三方安全评估,这些巨头更注重保护形象,会不断增加安全投入以寻求客户的信任。

第二梯队是一些不断增长的中型云服务提供商和大型知名软件供应商,处于供应商成熟度与可靠性的中间层。第二梯队中的供应商虽然提供云服务,但是并没有良好的长期运营记录,在安全运营方面不如第一梯队成熟,往往缺乏一些重要的第三方安全评估认证,尤其是初创公司存在一些财务风险。因此,企业评估云服务商的大部分资源应放在第二梯队的云服务提供商上。

第三梯队是数量庞大、不断增长的小型云服务提供商,他们很少进行第三方评估,因此企业很难了解他们的实际运行状况,企业必须假设这些云服务提供商是不安全的,也不值得花费太多精力去评估其风险,这些云服务商的运营状况可能在短时间内就会发生变化。企业在使用这一梯队的云服务时,必须接受这些风险。在实际案例中,有些企业由于云服务提供商的云技术提供商破产,使其面临云服务支持、安全、软件版本更新等一系列问题,而后续的应用和数据迁移也会给企业带来很大风险。

由此可见,对云服务提供商进行风险评估至关重要。在实际的云评估中,一些针对云服务提供商的重要安全认证,也是企业评估其安全风险的重要参考。上图是企业需要重点关注的安全认证,相较于全球认证,中国企业为了满足法律与合规要求,更应该关注那些中国本土的认证,例如“等保三级”是合格“云服务商”的基础门槛。

高峰指出:这些认证有些只有通过和失败之分,并没有指定安全级别,而有些认证通常会提供针对云服务提供商的详细书面报告,包括对其优、缺点的具体评论,企业可以向云服务提供商索要这些评估结果,以便进行更详细的风险评估。当然,找专业的咨询公司和评估机构进行风险评估更为可靠。