企业上云成大势所趋,而云安全也成为备受关注的对象。
在2018年时,上游服务器行业毛利率降至11.2%,行业利润空间被压缩,云服务厂商开始聚焦公有云安全领域,传统网络安全企业则聚焦私有云安全领域。据前瞻产业研究院数据显示,到2019年时,云安全成为新上市公司投资方向重点之一。
一、云安全的核心能力
企业可以通过上云,利用云厂商的安全优势,帮助自己建立更安全的 IT 体系。腾讯云产品安全负责人、腾讯安全云鼎实验室高级安全工程师Fooying认为,云厂商在云安全上的核心能力主要体现在三个方面。
第一,足够安全与合规的云平台和云产品,给企业 IT 体系带来原生的安全与合规性。在过去,企业在相关IT体系中增加相关服务,意味着可能带来新的安全风险,即新增的服务可能由于其存在安全漏洞等问题导致企业IT体系引入安全漏洞。所以,企业需要相应地投入安全人力去进行风险收敛。而使用原生安全的云设施和服务,企业就不用过多精力去关注这些基础服务和产品默认安全,这也提升了企业IT体系安全性。
第二,提供更灵活、更统一、更原生的安全功能与产品,企业可以使用这些安全功能、安全产品来构建自身的安全体系。过去,传统安全系统常常面临各自作战、完全堆砌的问题,即不同安全系统可能无法实现数据互通、策略联动、统一管控等问题,而云原生的安全产品和系统则更统一化、更标准化。
第三,增值的安全服务与能力。云平台的内部安全团队建立安全情报的监测机制等。
二、认识云安全架构
1.基础设施安全
基于私有网络VPC设计网络隔离方案、应用防火墙WAF、安全组(云服务器的网络访问控制)、安全的链路连接(如VPN和专线等)等。
2. 身份与访问控制
访问管理系统、多因子认证等。
3. DDoS防护
云解析(防DDoS域名解析服务)、DDoS防护、安全CDN、高防IP等。
4.数据加密
块存储及对象存储加密、密钥管理系统、数据库中间件安全连接等。
5.日志与监控
网络流日志、云审计服务、日志服务、云监控等。
三、企业内部因素是影响云安全的根本因素
作为云服务的一部分,云供应商开始提供越来越健壮的安全措施,但是最终负责保护云上工作负载的依旧是用户自己。《2020年云安全报告》提出,66%的企业对自身的云安全态势没有信心。企业认为最突出的云安全挑战是数据泄漏,其次是数据隐私。
企业最担忧的云安全问题
而在运维安全痛点方面,企业认为缺乏合格的安全人员是上云后遇到的最大问题,其次是合规性问题。
运维安全痛点问题
企业上云,云平台是相对安全的,因为背后不仅有安全专家、专业的安全基础设施,还有完善的安全保障机制、更安全的产品服务和更及时的安全响应等。
反而,企业的内在因素经常会成为不安全的关键点,比如,企业员工安全意识不高、危险的信息外传操作、不合理的服务配置、不正确的运维管理、不及时的安全事件响应等,这都可能造成云资源直接被黑客控制甚至销毁等。
四、如何规避和降低云风险?
风险:信息泄露
措施:企业对员工进行云安全培训或认证。网络安全专业人士认为,59%的员工将从此措施中受益。
风险:云服务配置不当
措施:使用云服务提供的安全功能进行安全加固和配置,避免由此带来的数据泄露等问题。
风险:运维不当
措施:自建服务需要进行访问限制,避免主机和相关服务设置弱口令等。
风险:通用组件及系统漏洞
措施:需要及时修复与更新补丁,否则也会被黑客利用。
风险:DDoS 攻击
措施:在云服务器上删除未使用的服务,关闭未使用的端口。