Gartner：關于中國云安全的三個思考

王永

企業數字化轉型和云計算技術的加持下，企業上云趨勢勢不可擋。與此同時，數據量加大，網絡攻擊日趨頻繁，對企業來說，包括云計算安全在內的網絡安全部署的重要性日益顯現。

在Gartner2022年CIO技術執行官問卷調查中，結果顯示：2022年有52%的企業會增加“云”投入，相對來說有32%的企業會減少傳統基礎架構和數據中心的投入。在網絡和信息安全方面，有46%的企業會增加投入。“云”和“安全”在企業增加投入的選項中，分別排名“第三”和“第四”。

可預見的是，隨著用戶在系統的基礎設施和軟件支出轉向“云服務”，云安全將會成中國安全和風險管理領導者最關鍵的任務之一。

針對當前中國的云安全市場，Gartner預測：到2023年，99%的“云安全”問題都是客戶的過錯，很少有主流的“云服務”提供商出現重大的安全事件；另一方面，到2024年，利用云基礎設施和編程性，改進云上工作負載的安全保護將展現出比傳統數據中心更好的合規性和減少至少60%的安全事件。

“通過這兩個預測，Gartner想表達的意思很簡單——相比傳統線下的基礎設施和平臺，云上是更安全的方式。” 不過在Gartner高級分析總監高峰看來，“云安全”和傳統的線下基礎設施平臺安全有很大的不同，并且由于中國市場的獨特性、簡單的采用國外的一些“最佳實踐”并不一定有效。

事實上，相對于中國的云安全市場來說，企業大都面臨三個層面的挑戰：首先，對云安全責任分擔模型的理解和相關的技能缺失。在“云安全”中，云安全責任跟傳統的安全很大不同。理解“云安全”和“云安全”提供商的安全責任分工，是“云安全”成功的一個必要條件。云安全所需要的技能和傳統的以邊界為保護的安全也有很大不同。企業相對能力的缺失，使得云安全成功實施也受到很大的挑戰。

其次，沒有一個“云服務”提供商或者安全廠商，現在能提供企業所有需要的全部安全能力，所以在“云安全”技術選擇和運用上，企業也面臨著很多的困難。針對“云”的部署模式，企業現有的安全工具需要更新。

最后，中國企業上云很少會系統性的對云服務提供商做風險評估，不同的云服務提供商有著不同的風險、而且這個風險也并不是一成不變的，所以缺少持續的風險評估、會讓企業“云”上的資產面臨一定的威脅。

“我們認為對“云”的信任問題，主要是由于企業過于關注數據物理位置、存儲位置導致的，而不是實施安全控制。” 高峰表示，成功的“云安全”需要對“云安全”的責任共享模型有一個很好的理解，“安全、技術、工具部署”和對“云服務”提供商的風險也是非常重要的。當然，這一切的前提也需要考慮到中國使用“云”的合規性。

為此，Gartner針對企業面臨的云安全挑戰，提供了三個行動建議：明確企業和云服務提供商的安全責任范圍，建立“云安全”所需的能力；優先選擇云服務提供商原生云安全工具，利用第三方和開源工具補充去實施云安全控制；以及對云服務提供商進行持續的風險評估。

具體來看，云的共享概念打破了IT資產的物理邊界，使得現有的架構無法很有效的保護“云”上的資產。另外，對于公有云的缺乏信任，中國許多組織都擔心數據的位置，他們認為：數據在自己的組織內部、在自己的物理邊界內更安全。這就導致了私有云和混合云在中國使用率一直很高，因為這兩種部署方式、仍然可以把數據存儲在組織內部的物理邊界內。這種對于物理數據位置的錯誤過度關注，犧牲了“云”自身的好處。

“企業組織過度關注數據的位置，是因為企業在實施云安全方面存在很多的困難，而大多數的云安全故障都是由客戶的配置造成的，所以這個不僅是因為資產物理邊界的缺失，還因為組織不知道如何和云服務提供商共同保護云上資產。”高峰表示，云安全是基于“責任公攤的概念”，所以安全責任和因云的部署模式也有所不同。

也就是說，在私有部署的模式下，所有的責任由客戶自己承擔，“上云”之后，企業如果使用IaaS（基礎架構級服務），在物理和虛擬層的責任則是由“云提供商”承擔。

“對位置的過度關注并沒有太大的意義，不管用何種部署模式，數據的責任始終在企業，而其它的安全責任要根據您的部署不同去和供應商分攤，所以企業需要對云中數據實施安全的控制，這些控制可能和本地的方法不同。”高峰表示，通過云服務商分擔其它安全，企業能夠投入更多的精力和關注度放在最核心的方面，比如：數據、身份和訪問管理，這樣可以做到比線下數據中心和傳統的基礎架構平臺更安全。

另一方面，用戶部署云安全的方式，Gartner的建議是：云提供商原生安全工具、第三方工具和開源工具。

其中，云提供商原生安全工具是云供應商提供的安全工具。目前，很多的工具已經具有企業級產品能力或者接近企業級產品的能力，而且因為它們和“云服務”是高度集成，采用云原生安全工具可以具有成本的效應，部署非常簡單、可以很快速的滿足客戶的需要安全需求。

此外，由于中國云服務和全球的云服務是基于兩朵云，建立在不同的物理基礎設施和運維模式，所以默認是不同的，這就導致了產品和技術的可用性以及服務模式的差異，部分的云安全工具在中國云中不可被使用。在這樣一個環境下，企業可以尋求第三方工具，進行更多的個性化配置和服務。

開源的工具也是實施云安全的一種選擇，尤其是在沒有可用的商業工具時，它不僅具備成本效應、而且是免費的，提供了靈活性和創新型，進行二次開發。不過需要注意的是，使用開源工具，必須要仔細評估它帶來的風險。

“企業要去評估云服務商的風險，并且是一個持續性的。”高峰認為，當前評估云服務商風險主要有多種方式：比如基于云服務商提供的宣傳資料，可獲取的價值比較低；雇傭第三方的評估機構或咨詢機構，不過成本較高，也需要花費更多的時間精力；根據云服務商的數量做一個三層模型，包括少量成熟的第一級的大型云服務提供商，越來越多的云服務提供商和大多數的小型云服務提供商。

更重要的一點是，在“云評估”環節，第三方的評估和證明，通常是用于評估“云運營服務商”的安全性。在中國的“云服務提供商”需要更多關注這些方面的認證，比如：MLPS、《中國網絡安全法》等。