安恒信息高级副总裁郑赳:多云、混合云场景下的云安全建设困境如何破局?

  • 2021-06-10

  • 来源:

来源丨网易新闻

6月8日,“2021金水科创大会”在郑州市金水区盛大开幕。本次大会由中共金水区委、金水区人民政府主办,郑州金水科教园区管委会联合36氪承办。大会汇聚科技领域的众多资深学者,以及200多家国内互联网知名企业和行业龙头企业代表。本次会议聚焦信息安全、人工智能、互联网经济等热点领域,共探科创产业发展未来,共促郑州科创产业集聚优势。

同时,大会邀请到了河南省委网络安全和信息化办公室、河南省发展改革委员会、河南省科学技术厅、河南省工业和信息化厅、河南省地方金融监督管理局、郑州市人民政府作为指导单位。

安恒信息高级副总裁兼首席云安全战略官郑赳代表安恒信息出席本次大会,并发表了《多云、混合云时代的安全解决之策》的主题演讲,共同探讨在由时代背景衍生的新挑战下,云安全的破局之道。

安恒信息高级副总裁兼首席云安全战略官郑赳

多云共存、混合云为主的场景使云安全面临管理分散、难以形成统一的管理体系、成本居高不下的问题。随着云计算技术的广泛应用,业务系统上云带来诸多便利,大量业务系逐渐统迁移上云(目前主要是IaaS云)。在整个上云过程中,由于业务系统的特性、对网络带宽和质量的要求、数据的敏感性以及政策合规等多方面原因,并且云计算市场、特别是公有云市场的蓬勃发展,用户可能选择多个公有云或者混合云等模式部署不同业务系统。这样的多云或者混合IT架构带来业务方便的同时,也引入了新的安全问题,特别是政策合规、安全管理和运营方面。具体分析如下:

1、云安全风险

安全问题是阻碍用户上云的重大因素已成为共识,在多云、混合云模式下这些问题更加突出。主机安全、应用安全和数据安全的风险依旧存在,而在网络层,由于业务层面通过隧道或proxy代理打通多云或云上云下环境,使得安全边界变得更大、更模糊。

2、安全权责划分

一般意义上的业务系统上云就存在安全权责界定问题。虽然有诸如等级保护2.0《云计算扩展要求》、《云计算安全责任共担模型》、CSA等国家标准和行业规范对不同对象进行责任界定或共担,但实际上安全能力和策略都会受限于云平台的支持,而在多云、混合云服务模式下,更为复杂的IT环境的引入更多的权责方,使得责任界定更加困难。

3、安全管理

由于不同云环境之间的壁垒问题十分严重,安全能力、安全策略颗粒度、安全操作习惯等有较大的差异,用户难以通过统一的视角对庞大的资产进行运维和管理,可能因为安全策略不统一导致安全管理的疏漏带来新的安全风险。

4、安全投入

遵循IATF纵深防御思想来投入所有云环境业务系统的虽然是理想的建设思路,但通常投入成本太过高昂。因此用户可能选择忽略对云上的安全投入,成为整个组织安全能力的薄弱环节。

5、安全运营

安全运营逐渐得到大家的认可,一般来讲安全运营包含安全能力管理、流程梳理、处置溯源闭环及安全服务等维度。但是资产分散到多云、混合云之后,云服务商提供的接口信息、监控数据等格式不统一,让本来就属于“奢侈品”的安全运营更难落地。

6、政策合规

在我国信创背景下,近些年来各级部门逐步建设信创云平台,信创云和X86云将长期共存,属于典型的的多云场景。因此安全能力充分融入信创平台需要长期支持。

在多云、混合云的场景下,为了解决以上提出的安全问题,主要的解决思路可以从以下几个方面入手。

1、一站式多云安全与多云管理

由于云商场的封闭性,安全厂商可以作为多云安全管理的切入点。这类多云安全管理平台在基于支持对国内外主流的公有云平台和VMware、Openstack等私有云平台的资源纳管,实现访问控制策略颗粒度、操作习惯得到统一,将安全管理简单化,获得一致的体验。从而进一步的推动安全能力可分发、可编排,同时将流程管理和安全服务的整合,实现多云、混合云环境的安全运营落地。

2、安全能力融云

为了充分保障云平台具备丰富的安全能力,需要将各类安全组件支持与云平台适配,将安全组件镜像置于公共镜像仓库中,或支持软件化部署,这样用户在使用多云平台时可选择统一的安全组件,匹配相同的策略逻辑、运维习惯等。只有安全能力融云后才能保障多云安全管理平台的可落地。

3、SaaS安全能力整合

目前SaaS安全能力相对局限在WEB类防护和监测,但是随着CASB、SASE等模式的演进和在我国的实践,越来越多的安全能力可以通过SaaS的方式进行交付。SaaS按需付费、灵活扩展、解耦云平台的方式天然的可以在多云、混合云场景下使用,与传统近源安全能力相互补充,降低投入成本。同时结合多云安全管理类平台实现融合管理,统一运维入口。

4、重视主机安全,退守安全边界

由于云主机的标准化和云环境带来的东西向安全问题,将安全边界退守至主机层面进行了大量的实践,获得了较好的防护效果。在主机安全层面,除了传统的恶意代码防护、操作系统加固、主机入侵检测与防范之外,对东西向流量的可管理、主机自身进程保护等维度也是时下热点,可将EDR、CWPP等新概念或产品应用到多云、混合云场景里。

5、生态开放

安全厂商的弊端在于安全能力的丰富度。几乎很难有安全厂商的产品能力可以覆盖所有的品类,产品能力都达到业内先进水平更是难以实现。因此用户丰富的安全需求、对安全能力要求高的现实情况下,多云安全管理平台需要具备更开放的特点,形成良好的生态环境,也避免新的“绑架模式”。

6、信创适配

在信创环境里的适配同样是对整个IT服务商的考验,各类服务提供商应积极推进信创适配,促进信创生态的繁荣。

安恒云也在多云、混合云环境下进行了思考和实践。安恒云基于多云对接能力,完成公有云、私有云、混合云及传统数据中心架构等混合IT环境下的安全能力融合,并全国首创的将SaaS安全能力融合到安全管理平台中,并采用通用许可的计费方式降低投入成本,实现对多类型关键基础设施的安全融合交付。帮助用户实现自由选云、安全上云,满足不同用户个性化的多云安全和多云管理需求。

安恒云始终以包容、开放的心态迎接四方伙伴,共同构建云安全生态,也希望在不远的未来,能看到金水区更多更耀眼的科技创新成果,坚定践行科技创新发展战略,实现进一步飞跃!

  • 新闻
  • 观点
  • IT/互联网
  • CIO
  • CDO
  • IT
  • 云计算

推荐

我要评论