近日,Gartner高级研究总监高峰先生就中国云安全接受媒体采访,采访文章全文如下:
来源/数字商业时代
作者/王永
企业数字化转型和云计算技术的加持下,企业上云趋势势不可挡。与此同时,数据量加大,网络攻击日趋频繁,对企业来说,包括云计算安全在内的网络安全部署的重要性日益显现。
在Gartner2022年CIO技术执行官问卷调查中,结果显示:2022年有52%的企业会增加“云”投入,相对来说有32%的企业会减少传统基础架构和数据中心的投入。在网络和信息安全方面,有46%的企业会增加投入。“云”和“安全”在企业增加投入的选项中,分别排名“第三”和“第四”。
可预见的是,随着用户在系统的基础设施和软件支出转向“云服务”,云安全将会成中国安全和风险管理领导者最关键的任务之一。
针对当前中国的云安全市场,Gartner预测:到2023年,99%的“云安全”问题都是客户的过错,很少有主流的“云服务”提供商出现重大的安全事件;另一方面,到2024年,利用云基础设施和编程性,改进云上工作负载的安全保护将展现出比传统数据中心更好的合规性和减少至少60%的安全事件。
“通过这两个预测,Gartner想表达的意思很简单——相比传统线下的基础设施和平台,云上是更安全的方式。” 不过在Gartner高级分析总监高峰看来,“云安全”和传统的线下基础设施平台安全有很大的不同,并且由于中国市场的独特性、简单的采用国外的一些“最佳实践”并不一定有效。
事实上,相对于中国的云安全市场来说,企业大都面临三个层面的挑战:首先,对云安全责任分担模型的理解和相关的技能缺失。在“云安全”中,云安全责任跟传统的安全很大不同。理解“云安全”和“云安全”提供商的安全责任分工,是“云安全”成功的一个必要条件。云安全所需要的技能和传统的以边界为保护的安全也有很大不同。企业相对能力的缺失,使得云安全成功实施也受到很大的挑战。
其次,没有一个“云服务”提供商或者安全厂商,现在能提供企业所有需要的全部安全能力,所以在“云安全”技术选择和运用上,企业也面临着很多的困难。针对“云”的部署模式,企业现有的安全工具需要更新。
最后,中国企业上云很少会系统性的对云服务提供商做风险评估,不同的云服务提供商有着不同的风险、而且这个风险也并不是一成不变的,所以缺少持续的风险评估、会让企业“云”上的资产面临一定的威胁。
“我们认为对“云”的信任问题,主要是由于企业过于关注数据物理位置、存储位置导致的,而不是实施安全控制。” 高峰表示,成功的“云安全”需要对“云安全”的责任共享模型有一个很好的理解,“安全、技术、工具部署”和对“云服务”提供商的风险也是非常重要的。当然,这一切的前提也需要考虑到中国使用“云”的合规性。
为此,Gartner针对企业面临的云安全挑战,提供了三个行动建议:明确企业和云服务提供商的安全责任范围,建立“云安全”所需的能力;优先选择云服务提供商原生云安全工具,利用第三方和开源工具补充去实施云安全控制;以及对云服务提供商进行持续的风险评估。
具体来看,云的共享概念打破了IT资产的物理边界,使得现有的架构无法很有效的保护“云”上的资产。另外,对于公有云的缺乏信任,中国许多组织都担心数据的位置,他们认为:数据在自己的组织内部、在自己的物理边界内更安全。这就导致了私有云和混合云在中国使用率一直很高,因为这两种部署方式、仍然可以把数据存储在组织内部的物理边界内。这种对于物理数据位置的错误过度关注,牺牲了“云”自身的好处。
“企业组织过度关注数据的位置,是因为企业在实施云安全方面存在很多的困难,而大多数的云安全故障都是由客户的配置造成的,所以这个不仅是因为资产物理边界的缺失,还因为组织不知道如何和云服务提供商共同保护云上资产。” 高峰表示,云安全是基于“责任公摊的概念”,所以安全责任和因云的部署模式也有所不同。
也就是说,在私有部署的模式下,所有的责任由客户自己承担,“上云”之后,企业如果使用IaaS(基础架构级服务),在物理和虚拟层的责任则是由“云提供商”承担。
“对位置的过度关注并没有太大的意义,不管用何种部署模式,数据的责任始终在企业,而其它的安全责任要根据您的部署不同去和供应商分摊,所以企业需要对云中数据实施安全的控制,这些控制可能和本地的方法不同。”高峰表示,通过云服务商分担其它安全,企业能够投入更多的精力和关注度放在最核心的方面,比如:数据、身份和访问管理,这样可以做到比线下数据中心和传统的基础架构平台更安全。
另一方面,用户部署云安全的方式,Gartner的建议是:云提供商原生安全工具、第三方工具和开源工具。
其中,云提供商原生安全工具是云供应商提供的安全工具。目前,很多的工具已经具有企业级产品能力或者接近企业级产品的能力,而且因为它们和“云服务”是高度集成,采用云原生安全工具可以具有成本的效应,部署非常简单、可以很快速的满足客户的需要安全需求。
此外,由于中国云服务和全球的云服务是基于两朵云,建立在不同的物理基础设施和运维模式,所以默认是不同的,这就导致了产品和技术的可用性以及服务模式的差异,部分的云安全工具在中国云中不可被使用。在这样一个环境下,企业可以寻求第三方工具,进行更多的个性化配置和服务。
开源的工具也是实施云安全的一种选择,尤其是在没有可用的商业工具时,它不仅具备成本效应、而且是免费的,提供了灵活性和创新型,进行二次开发。不过需要注意的是,使用开源工具,必须要仔细评估它带来的风险。
“企业要去评估云服务商的风险,并且是一个持续性的。”高峰认为,当前评估云服务商风险主要有多种方式:比如基于云服务商提供的宣传资料,可获取的价值比较低;雇佣第三方的评估机构或咨询机构,不过成本较高,也需要花费更多的时间精力;根据云服务商的数量做一个三层模型,包括少量成熟的第一级的大型云服务提供商,越来越多的云服务提供商和大多数的小型云服务提供商。
更重要的一点是,在“云评估”环节,第三方的评估和证明,通常是用于评估“云运营服务商”的安全性。在中国的“云服务提供商”需要更多关注这些方面的认证,比如:MLPS、《中国网络安全法》等。
