云安全，料敵先機勝過唯快不破

姜紅德

隨著云計算的普及，基于云且針對云的安全威脅成為IT決策者不得不面對的新挑戰(zhàn)。企業(yè)如何在云端獲取利益的同時，能夠最大程度避免云端威脅帶來的損失？同時，我們常常會被問起，企業(yè)業(yè)務(wù)面臨從數(shù)據(jù)中心（IDC）向以數(shù)據(jù)為中心的云環(huán)境遷移，怎樣才能保證業(yè)務(wù)的安全高效？

“在傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域一直有天下武功唯快不破的說法，但在我看來，快速反應(yīng)不足以應(yīng)對針對云的安全威脅，如何從快到先，才是解決這些威脅的關(guān)鍵。” Check Point Research中國區(qū)總經(jīng)理陳欣在談到2019年云計算安全形勢時這樣表示。

意識不足提升了安全壓力

著名咨詢機構(gòu)Forrester預(yù)測：云計算將真正成為企業(yè)完成數(shù)字化轉(zhuǎn)型的核心基礎(chǔ)。在我國，隨著5G的商用化推進，物聯(lián)網(wǎng)、大數(shù)據(jù)等新興科技的快速發(fā)展，云計算將迎來井噴期。在工信部2017年印發(fā)的《云計算發(fā)展三年行動計劃（2017-2019年）》中提出：到2019年我國云計算產(chǎn)業(yè)規(guī)模會達到4300億元，要建立云計算公共服務(wù)平臺，支持軟件企業(yè)向云計算加速轉(zhuǎn)型，加大力度培育云計算骨干企業(yè)，建立產(chǎn)業(yè)生態(tài)體系。

Gartner研究指出，全球云安全服務(wù)2020年的市場容量將接近90億美元，到2022年云安全市場預(yù)計將從2017年的40億美元增至110億美元，年均復(fù)合增長率達到24%。在安全市場剛性需求爆發(fā)的大背景下，傳統(tǒng)安全軟硬件廠商、第三方云服務(wù)廠商以及CDN服務(wù)商，集體涌入云安全市場。

在企業(yè)上云過程中，越來越多的CIO發(fā)現(xiàn)，從集中式數(shù)據(jù)中心轉(zhuǎn)向超級分布式應(yīng)用程序和邊緣數(shù)據(jù)中心，網(wǎng)絡(luò)與安全的復(fù)雜性上升到了一個全新的高度。當企業(yè)的大量資產(chǎn)已經(jīng)數(shù)據(jù)化之后，如果不能及時解決這些問題，將會造成不可估量的損失。

與此同時，對于云計算的邊界認知和責任分工的誤解，使得安全并沒有引起用戶的足夠重視。“云計算只是別人的數(shù)據(jù)中心”，這個概念讓很多人感到困惑，因為這可能假設(shè)企業(yè)放棄安全責任，因為“別人會照顧它”。

Check Point Research發(fā)布的《2019年安全報告》指出，仍有30%的IT安全從業(yè)者認為云安全應(yīng)有云服務(wù)提供商負責，高達59%的IT人員沒有考慮實施移動設(shè)備安全策略。這在混合云方興未艾，各種智能設(shè)備普及的今天，無疑對企業(yè)的云平臺帶來了更大的潛在危險。

也就是說，很多企業(yè)的數(shù)據(jù)存放在云端，而沒有存放在內(nèi)部部署數(shù)據(jù)中心，但這并不意味著可以不用負責其數(shù)據(jù)的安全性。

2019年有哪些來自云端的威脅？

近1～2年來，全球性的網(wǎng)絡(luò)安全事件頻發(fā)，比如芯片代工企業(yè)臺積電遭遇病毒攻擊，帶來了5.84億元的經(jīng)濟損失；華住集團旗下酒店有5億條信息泄露；而最新的一樁安全事件是，萬豪酒店旗下的喜達屋酒店客房預(yù)訂數(shù)據(jù)庫被黑客入侵，高達約5億名客人的信息被竊取，萬豪也因此遭遇了嚴重的集體訴訟，索賠金額高達125億美元。

作為最典型的安全升級事件，近年來全球范圍內(nèi)已經(jīng)發(fā)生多起T級DDoS攻擊。2018年2月下旬，知名代碼托管網(wǎng)站GitHub遭遇了帶寬1.35T的DDoS攻擊。11月，網(wǎng)宿科技宣布其云安全平臺防御了一起攻擊流量高達1.02T的DDoS攻擊事件。

依照慣例，云安全聯(lián)盟（CSA）于今年4月份發(fā)布了最新版本的《12大頂級云安全威脅：行業(yè)見解報告》。報告的重點聚焦在數(shù)據(jù)泄密、身份憑證和訪問管理不足、系統(tǒng)漏洞、不安全的接口和應(yīng)用程序編程接口（API）、惡意的內(nèi)部人員、高級持續(xù)性威脅（APT）、拒絕服務(wù)（DoS）、共享的技術(shù)漏洞等12個涉及云計算的共享和按需特性方面的威脅。

云計算安全聯(lián)盟專家表示，數(shù)據(jù)泄露可能是有針對性攻擊的主要目標，也可能是人為錯誤、應(yīng)用程序漏洞或安全措施不佳所導(dǎo)致的后果。這可能涉及任何非公開發(fā)布的信息，其中包括個人健康信息、財務(wù)信息、個人身份信息（PII）、商業(yè)機密以及知識產(chǎn)權(quán)等。由于不同的原因，組織基于云端的數(shù)據(jù)可能會對不同的組織具有更大的價值。數(shù)據(jù)泄露的風險并不是云計算所獨有的，但它始終是云計算用戶需要首要考慮的因素。

另一份來自360威脅情報中心的報告顯示，2018年全球99個專業(yè)機構(gòu)（含媒體）發(fā)布了各類APT研究報告共478份，涉及相關(guān)威脅來源109個，其中APT組織53個，各項數(shù)據(jù)相較于2017年都有大幅度增加，APT活動日益猖獗。

物聯(lián)網(wǎng)安全也將是重點。據(jù)Gartner稱，全球聯(lián)網(wǎng)設(shè)備數(shù)量到2020年將由2017年的84億部增至204億部，涵蓋了家居設(shè)備、安防、智能汽車、醫(yī)療設(shè)備等各個場景，勢必催生出更多樣化、更復(fù)雜的安全需求。這意味著安全態(tài)勢發(fā)生了轉(zhuǎn)變，僅靠傳統(tǒng)的集中式、本地化的防護遠遠不夠，如防火墻、殺毒、WAF、漏洞評估等以防御為主的安全軟硬件方案，已經(jīng)難以適應(yīng)物聯(lián)網(wǎng)、云計算架構(gòu)下的安全需求了。

云安全這個市場到底有多大容量？Gartner研究指出，全球云安全服務(wù)2020年的市場容量將接近90億美元，到2022年云安全市場預(yù)計將從2017年的40億美元增至110億美元，年均復(fù)合增長率達到24%。在安全市場剛性需求爆發(fā)的大背景下，傳統(tǒng)安全軟硬件廠商、第三方云服務(wù)廠商以及CDN服務(wù)商，集體涌入云安全市場。

主動安全，抓住先機

在《網(wǎng)絡(luò)安全法 》和云等保2.0等文件法規(guī)正式落地實施以來，云安全的問題開始受到外界的重視，解決它們只是時間問題。正如 Check Point Research中國區(qū)總經(jīng)理陳欣指出的那樣，云的普及使我們必須以更加前瞻的視角審視企業(yè)的安全策略，比如主動安全。

所謂主動安全，我們并不陌生。美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（SANS）曾提出網(wǎng)絡(luò)安全滑動標尺模型，將企業(yè)信息安全能力分為五個階段，分別是架構(gòu)建設(shè)、被動防御、積極防御、威脅情報以及進攻反制。對于政企機構(gòu)來說，企業(yè)安全防護體系五階段論更符合現(xiàn)實情況，分別為初期防護階段、被動防護階段、合規(guī)防護階段、主動安全階段、智能安全階段。與被動應(yīng)對、無法協(xié)同、缺乏監(jiān)控的被動防護，以及等保合規(guī)驅(qū)動的合規(guī)防護不同，主動安全階段可以實現(xiàn)提前預(yù)警、自動運維、全面防護、主動防護。

作為國內(nèi)知名的安全企業(yè)，北京奇安信集團（原360企業(yè)安全集團）總裁吳云坤曾表示，在數(shù)字化轉(zhuǎn)型的浪潮中，高級和未知威脅不斷挑戰(zhàn)著企業(yè)的信息化安全防護能力。360具備準確有效的威脅情報能夠幫助企業(yè)實現(xiàn)對各類威脅的實時檢測、主動防御、提前預(yù)警、快速響應(yīng)，實現(xiàn)從被動防御體系向積極（主動）防御體系的轉(zhuǎn)變。

無獨有偶。紫光集團旗下新華三也已經(jīng)正式發(fā)布主動安全戰(zhàn)略，充分利用其海量大數(shù)據(jù)優(yōu)勢、豐富的產(chǎn)品與方案優(yōu)勢，大數(shù)據(jù)分析能力、深度學(xué)習(xí)與人工智能技術(shù)，云網(wǎng)端協(xié)同聯(lián)動能力，以及豐富的行業(yè)生態(tài)優(yōu)勢，幫助客戶實現(xiàn)從被動防護向主動安全的轉(zhuǎn)變。新華三集團副總裁、新華三信息安全技術(shù)有限公司總裁張力表示，新華三已經(jīng)構(gòu)筑完備的主動安全產(chǎn)品體系。

調(diào)查報告顯示，目前企業(yè)最為關(guān)注的安全問題是如何做到事態(tài)可發(fā)現(xiàn)、趨勢可預(yù)測、風險可感應(yīng)、知行可管控。調(diào)查還發(fā)現(xiàn)，95%的企業(yè)認為安全威脅會不斷增加。在大數(shù)據(jù)和云化的基礎(chǔ)上，有73%的企業(yè)CIO認為，企業(yè)的安全預(yù)算會增加20%以上。