当整个社会进入到数字经济时代以后,企业和组织对云计算的关注程度也在不断上升,通过上云驱动业务发展和效率提升已经成为企业提高创造数据的不二选择,根据Gartner2022年CIO技术执行官问卷调查的结果,2022年,有52%的企业会增加“云”投入,相对来说有32%的企业会减少传统基础架构和数据中心的投入。
但在企业上云和用云的过程中,云上安全也成为了企业展开数字化建设的前提,从Gartner的数据可以看到,2022年有46%的企业会增加网络和信息安全方面的投入,云”和“安全”在企业增加投入的选项中已成为第三和第四位;而在《Gartner中国云基础设施和平台服务市场指南》这篇研究报告中,Garnter则预测,到2024年,中国会有将近40%的最终用户在系统的基础设施和基础设施软件支出会转移到“云服务”上,种种数据表明,云和安全正成为企业数字化建设路上十分重要的考量。
“从公开信息中可以发现,一直以来的云安全事件都发生在企业侧,这在一定程度上表明云上是安全的,然而‘云安全’和传统的线下基础设施平台安全有很大的不同。一味采用国外的‘最佳实践’反而在中国有可能达不到想要的效果,企业现在面临着各种各样的挑战,包括公有云信任问题这样的全球性挑战和部分云安全技术在中国没有产供可用的本土挑战。”Gartner高级分析总监高峰在接受采访时表示。
Gartner高级分析总监高峰
Gartner认为,在建设云上安全的过程中,中国本土的企业主要面临以下三个挑战:
第一是对云安全责任分担模型的理解和相关的一些技能缺失。由于云安全责任和传统的安全存在很大不同,因此理解云安全和云安全提供商的安全责任分工,是云安全成功的必要条件之一。云安全需要的技能和传统的以边界为保护的安全也有很大不同,企业一旦在对应能力上有所缺失,就会在云安全的实施上受阻。
第二是在云安全技术的选择和运用上,企业也面临着很多困难。针对云的部署模式,企业现有的安全工具需要做出更新和调整,同时由于没有一个云服务提供商或者安全厂商能提供企业所有需要的安全能力,很多企业面临着安全技术选择和运用方面的困难。
第三则是对云服务商的持续评估,不同的云服务提供商有着不同的风险,而且风险也并非一成不变,所以需要系统性地对云服务提供商做风险评估,以保护企业云上的资产安全。
那企业应该如何应对挑战,建设云上安全呢?Gartner也提供了以下三方面的建议。
明确企业和云服务提供商的安全责任范围,建立云安全所需的能力
基于云本身的共享概念,IT资产的物理边界被打破,很多现有的架构无法有效保护云上的资产,此外,由于对公有云缺乏信任,许多企业和组织都认为数据保存在组织自身的物理边界内更加安全,这导致了私有云和混合云的使用率居高不下,但对物理数据位置的过度关注反而牺牲了云本身的好处。
高峰表示,根据规模效应,公有云无论在效率还是安全方面都要比传统的数据中心和私有云更加安全,过度关注数据位置是企业普遍存在的一个误区,同时由于组织不知道如何与云服务提供商共同保护云上资产,导致在实施云安全的过程中遇到了颇多困难。
要明确的是,云安全是基于“责任公摊”的概念,因此安全责任划分在不同的云的部署模式下也有所不同:在私有部署模式下,所有责任需要客户自己承担,如果采用IaaS(基础架构级服务),物理和虚拟层的责任则由云提供商负责,如果使用PaaS(平台级服务),虚拟机、服务编排等更多的责任将会分摊到云提供商。为了成功实施云上安全,企业必须要对安全分摊的模式进行充分了解,而无需过度关注数据的位置,事实上,不管采用哪种模式部署,数据的责任始终在企业,而其他安全责任划分则根据部署的改变而改变。
在充分了解安全分摊的模式之后,企业能够投入更多的精力和关注度放在更为核心的安全方面,例如数据、身份和访问管理,这样可以做到比线下数据中心和传统的基础架构平台更安全。通过充分利用“云”内置的安全功能和一些高度自动化,企业可以显著的减少配置错误和管理不善的问题,这样做还可以减少攻击面、并且可以改善“云”的安全状况,然后基于“云”的基础设施平台和服务,可以比企业的数据中心更加安全。
此外,企业还需要建立云安全所需的相关能力,Gartner认为,成功的云安全需要云安全架构师的角色,他的工作需要得到业务、IT、安全组织的支持。企业可以去雇佣或者内部提拔“云安全架构师”,和云架构师等其他架构师紧密合作实施云上安全。同时,企业还需要雇佣和培训云安全工程师,以负责云原生的一些管控和第三方安全的管控,对于小企业而言,则可以利用外部供应商的专业知识或者培训现在已有的安全和风险团队来达成上述目标。
优先选择云服务提供商原生云安全工具,利用第三方和开源工具补充去实施云安全控制
对大多数企业而言,选择云服务提供商原生云安全工具是十分有必要的,采用这些云原生安全工具可以具有成本的效应,而且部署简单,可以很快速的满足客户需要的安全需求。如果云服务商和云原生安全工具不能提供满足,则可以寻求第三方工具或者开源工具。相对云供应商而言,第三方的工具可以进行更多的个性化配置、服务。
不过,无论是云服务提供商原生云安全工具还是第三方的工具,都有可能存在无法在中国提供服务的情况,中国本土的安全厂商其实更关注本地和私有云的部署安全工具,对于公有云安全保护产品的投入还不够,这造成了中国和国外在技术之间、包括选用的工具之间存在一些差别。
高峰认为,随着全球安全厂商的能力提高以及在中国服务可用性的提高,中国与全球的技术可用性的差别最终应该会缩小。而在这个过程中,可以利用“云服务”供应商的一些工具或者开源的一些工具,持续关注技术可用性的问题,开源工具作为实施云安全的一种选择,具备成本效应、灵活性高和创新性的优势,但同时由于缺少商业支持,并且在漏洞管理方面有一定风险,所以企业需要仔细评估开源工具的风险。
由于云共享了安全责任和云产品的复杂性,因此企业需要新的安全工具来帮助他们安全的使用云,例如CWPP(云工作负载保护平台)、CSPM(云安全态势管理)、CNAPP(云原生应用保护平台)、CASB(云安全访问代理)等等。
对云服务提供商进行持续的风险评估
虽然企业部署的类型存在不同,但云服务提供商的风险是不可忽视的,在评估的过程中,很重要的一点,就是看云服务提供商是否通过一些比较重要的认证,这也是最容易获得的一些信息。
“这些第三方的评估和证明,通常是用于评估云运营服务商的安全性。除了一些全球的认证,其实还有一些中国本土的认证。如果是在中国的云服务提供者可能需要更多关注这些方面的认证,这些当中我们认为MLPS是最重要的、因为它也是中国的一个法律要求、《中国网络安全法》的要求。所以合格的云服务商至少应该通过等保三级,金融机构则可能需要选择通过四级认证的云服务提供商,尽管这些认证的严格程度和检查的领域方面其实有一些差别,但是可以通过这些认证来证明云服务商对其产品有充分的控制。”高峰总结道。
不过需要指出的是,这里的评估更多是针对云平台本身的评估,因为分层模型是一种快速的评估云厂商安全的方法,云厂商提供的服务很多,同一种服务根据需求不同可以提供不同的性能和可用性、安全性等,这个需要根据企业自身的实际要求做一些评估。而企业在选用云厂商服务过程中,对RPO/RTO、数据备份成功率和可靠性、投资回报率等的要求,则是根据业务的需求制定的,并需要结合云厂商的产品性能参数,所以并不简单的包括在对云厂商风险的评估范围之内。
另外,随着《数据保护法》等相关法律法规的推出,企业在选择云服务厂商之时也拥有了更多考虑,对于云厂商而言,首先需要让客户信任他们的服务是安全合规的,其次则是通过自身服务保护企业云上的数据,企业需要评估这些云服务提供商是否通过各个国家的行业认证,还有国内等级保护、行业标准,以及云服务商自身的数据保护规范,隐私政策等,以提前了解云服务商在云安全方面的能力。
现如今,云计算不仅成为企业运营商业案例的一种选择,还成为降低成本、确保持续可用性的有效手段,而在这个过程中,数据安全则成为了企业创造数据价值的前提。构建云上安全,成为了越来越多企业的“必修课”,当下的企业,需要通过更多有效的措施,来为自己的云上数据安全加码。
本文属于原创文章,如若转载,请注明来源:如何保护企业云上资产安全?听听Gartner怎么说http://cloud.zol.com.cn/790/7906812.html
