360企业安全刘浩:避免创可贴式安全,企业云安全从顶层设计开始

科技云报道原创。
 在企业上云并非难事的今天,云安全事件爆发的数量却显著增加。云的复杂性颠覆了传统的虚拟机环境和被动安全策略,让企业不得不开始重新审视安全系统的建设。如今,国内企业的云安全建设落地到底做得如何?

过去十年,全球公有云市场规模增长了5.4倍,中国云计算市场增长了十几倍,在云计算快速发展的过程中,与云计算相伴而生的云安全市场却没有得到同步的发展。

以前企业对于云安全可能不够了解,由于缺少与云环境相匹配的安全防御体系,许多行业的核心数据和用户隐私面临很大的暴露风险。近几年云端攻击事件爆发得越来越频繁,给企业造成的损失呈几何倍数增长,云安全已逐渐成为企业IT建设中非常关注的话题。

那么,在过去一年中,云安全在国内的发展形势是否发生了变化?云安全建设是否真正被提上企业议程?企业在云安全建设过程中又存在哪些问题?此次科技云报道专访360企业安全集团云安全事业部总经理刘浩,就企业云安全建设落地情况及面临的挑战进行了交流。

360企业安全集团云安全事业部总经理 刘浩

 云安全观念从无到有

但企业依然存在困惑

 近年来,在国家政策引导及合规需求拉动下,各行业正在加速业务上云落地。刘浩表示,在这种大背景下,国内大多数企业对云安全有了从无到有的认识,在云安全方面的预算也有了大幅提升。

 “2016-2017年,我们去和企业讲云安全,先要和企业聊什么是云计算,那时候很多企业的业务都还没有上云,云概念还不清楚,就更不用提云安全是什么了。从2018年开始,我们明显感觉到这种状况有了很大的改变,很多企业主动来找我们聊云安全。”

 刘浩表示, 各行各业在云安全建设方面发展都很迅猛,对云安全的理解和实践有了很大提升。比如说金融、运营商和政府,以不同行业属性的安全需求构建的在云安全体系思想已然非常成熟。

 在运营商行业,因SDN/NFV等技术发展、移动互联网发展、大数据的应用深化等给通信产业链带来了巨大变革,云计落地最早最充分,在其发展过程中积累了大量云安全诉求,也经历了大量的云安全实践。

 在金融机构,技术向来是重要的驱动力,移动互联网的发展为传统金融行业开创了崭新的业务模式。同时,金融行业是监管机构的重点看护区,其数据敏感性远高于其他行业,所以云安全的理解和实践水平都更高。

 在政府机构,由于国家政策的大力推动,政务云建设较之其他行业推进得更加迅速和彻底。政务云提供的是关系国计民生的政务服务,同时也涉及到国家信息安全,因此政务云对安全极为重视,从原先满足合规要求走向了如今对安全的整体规划,在安全建设上有了质的飞跃。

 刘浩认为,虽然国内云安全的发展整体走势向好,但是很多企业对云安全的认识还存在误区,例如:合规通过就能证明安全,云基础架构边界上了安全防护设备云内部就是安全的......与此同时,企业在云安全建设上充满了“迷茫”。

 一方面,企业面对云计算庞大而复杂的系统,不知道该怎么做云安全,也没有专业的云安全团队来运营。由于云计算系统涉及计算、网络、存储各方面技术,再加上业务的多元化,云安全成为一个涉及多种技术手段、多种业务场景、多种应用模式的多元化集中业务安全领域。

 另一方面,企业从以前的自建机房、系统、应用到半托管或全托管理式,控制权发生根本改变,客户从意识上还尚未完全接受控制权转移所带来的“不安全感”。传统模式下,按照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清楚。在云计算模式下,云计算平台的管理和运行主体与数据安全的责任主体不同,安全责任该如何界定?

 倒转思路

从顶层到执行构建云安全

 针对企业在云安全建设方面的困惑,刘浩认为,企业首先需要梳理清楚自身的安全诉求,是基于政策牵引、合规拉动,还是出于特定的安全功能需要,立足自身需求再参考行业内、领域内的优秀安全实践,循序渐进完善整体安全体系。

 “过去企业大多是有多少预算就做多少安全,合规要求多少就做多少,方案怎么写就做什么,想到什么就做什么,并没有深刻考虑做安全是为了什么,自己所处的行业、领域、生产属性需要怎样的安全。”

 刘浩表示,现在安全建设从合规要求走向了实际需求,“全面以结果为导向”成为云安全的核心理念,企业应该倒转思路,从“零”开始,重新审视云安全。

 360企业安全根据过去丰富的建云经验及众多成功云安全实践,认为构建云安全建设全命周期的理念体系,从顶层到执行主要分为4个步骤:

 顶层设计:从事后修补到全局视角的顶层设计。前瞻布局,至上而下、目标明确;

 系统规划:从单一防护到整体协防的系统规划。统筹规划、拉通考虑、计划明确;

 叠加建设:面向新技术新趋势的叠加建设路线。紧跟新理念、拥抱新技术、建设新思路;

 协同运营:安全能力、安全服务协同的运营思路。以人为本、能力附加、协同运营。

 对此,刘浩举了一个例子,“这就好比装修房子,承重墙已经做好了,再想改房屋结构就来不及了,只能根据已有的结构做一些贴片式的装修。在安全建设里,我们把这种事后打补丁的安全方式叫做‘创可贴式安全’,效果肯定不如从一开始就做好整体规划、原生的安全系统好。”

针对云安全顶层设计,刘浩进一步解释需要从四个技术思路进行规划:

零信任

零信任的策略就是默认不相信任何人、任何设备。在云环境中,企业的工作负载会在不同的云环境中迁移,业务边界的概念已不再存在。基于零信任的策略,对工作负载构建一个微隔离环境,对云环境中东西向、南北向流量实现完整的安全防护。

数据驱动安全

围墙式、塔防式安全防护方式都已过时,基于数据驱动的协同联动防御是未来方向。例如,360企业安全云安全基于底层云平台实现安全NFV组件的生命周期管理,实现运维数据全量记录,对不同来源、不同维度的安全数据进行快速汇集,深度关联,自动化的高级智能分析,并与云端威胁情报相结合,实现快速发现、精准定位和攻击溯源。

“三位一体”网络安全体系

从能力维度构建了低位、中位、高位“三位能力”系统,建立协同联动的云安全运营体系。低位能力是传统的安全防御能力,即通过端类产品,或者一个个安全组件实现单一功能的安全防护并完成数据的生产和采集。中位能力包含了态势感知、应急响应等能力,是对海量数据的建模与分析能力。高位能力是云端威胁与分析能力,对中位和低位提供支撑和决策。

云安全常态化运营

在云平台的生命周期中,大规模建设通常时间较短,而云安全运营却是一个长期的过程。运营如何能做到统一、完整、及时,需要从多方面考虑。比如,安全运维包括资产管理、网络安全管理、系统安全管理等。常态化安全运营需要覆盖安全运维、威胁发现、持续监测问题溯源及联动控制等几个方面。

光靠技术还不够
“人机协同”提供云安全服务 

当企业在关注云安全建设时,大多数会把目光放在外部的网络攻击和威胁上,然而,一个被忽略的因素却造成了云安全事故频发。Gartner曾预测,截止2020年,95%的云安全故障都是由于用户过错造成的。最新的《2018年Netwrix云安全报告》支持这一预测,指出2017年58%的安全事件都是员工的责任。

这个令人意外的发现,将云安全的潜在威胁指向了企业内部。

“有没有想过,为什么企业部署了这么多安全产品,依然会时不时中招病毒?”刘浩问道。“不是安全产品技术不过关,而是安全的本质,不是光靠技术就可以解决的,‘人’才是安全运营的核心。完全靠自动化运营,或者完全靠人力运营都不行,人+技术才是安全的解决之道。”

刘浩告诉记者,360企业安全的数据驱动安全理念除了构建基于大数据的云端安全能力平台,增加以人为核心的安全运营机制。“人机协同非常重要,云端安全能力、数据驱动的产品协同、以人为核心的安全运营,三个组成一个闭环,真正达成构建积极防御的完善能力体系。”

目前,360企业安全已拥有业内最庞大的安全服务团队,以“人机协同”的方式提供云安全服务。

对于大中型企业客户,提供云安全整体规划及产品部署,并配合驻场工程师来解决运营问题。这是因为企业规模大,涉及多种IT基础架构及复杂的业务系统,比如:有的企业是为全新的云数据中心规划业务安全,有的是在传统数据中心和新建的私有云基础上规划安全,这就导致安全建设不仅仅是安全体系的规划,甚至会涉及到企业部分业务制度的改造,人在安全设计和运营中发挥着极为重要的作用。

对于小微型企业客户,由于大多数使用云化的安全产品,通过一个工程师即可在云端解决多个企业客户的问题。同时,360在云端具备强大的情报收集及生产能力,拥有全球最大的样本库,可以在云端为企业推送实时的安全策略,将“人机协同”的服务模式大规模落地。

2018年国内云计算市场发展迅猛,云安全市场同样水涨船高,整体安全诉求由合规牵引向安全有效转化,推动着云安全技术向纵深发展,云安全业务形态逐渐从“云采用”向“云原生”过渡。在云安全新一轮的爆发式增长下,相信常态化的云安全也将成为企业的“标配”。

【科技云报道原创】

微信公众账号:科技云报道

为您推荐