CybersecurityResearch發佈《AWS雲安全報告2019》,統計了AWS一年來雲上安全現狀以及用户對這個領域的需求和看法等。報告通過與400,000網絡安全業內人士探討AWS雲上用户如何應對雲上安全威脅、採用何種工具和最佳實踐。
同時本文還會結合國內外機構如中國信通院、CybersecurityResearch、IDC、PaloAltoNetworks等雲安全相關報告的研究分析,藉此,可以預測國內雲計算市場所面臨的同類問題和潛在需求。為企業,尤其是雲服務商、雲承建商提供參考和指引。
從AWS看雲安全市場現狀 09 雲安全標準
隨着雲的部署,許多企業認識到需要與安全供應商合作,以獲得內部無法獲得的健全的保護能力。網絡安全專家在雲安全供應商中尋找的前三個屬性包括:
雲原生安全工具
成本效應
與雲平台的無縫集成
客户希望雲安全供應商提供什麼?
圖10 雲上用户最期望的服務
10 雲提供的傳統安全工具
當用户和應用程序託管在一個靜態的核心數據中心時,傳統的網絡安全工具就有了意義,但是這些遺留的安全工具和設備不是為動態的、分佈式的雲虛擬環境設計的。85%的受訪者確認,遺留的安全解決方案要麼根本無法在AWS雲環境中工作,要麼功能非常有限。
你的傳統網絡安全工具在雲環境下工作得怎麼樣?
圖11 雲環境下傳統方法使用情況
這是國內很多企業,尤其是政府、事業單位面臨的較為頭痛的問題之一。由於系統老舊,但又不能下線,又要遷移上雲,這就使得傳統工具和方法不再可用。部分企業選擇重新開發適應新環境的系統,廢棄老舊遺留系統或設施,但並不是所有企業都有能力做到這點,可以説大多數企業都做不到。
而這就需要雲供應商為這類用户提供完善的遷移方案,以及後續上雲後的持續技術支持和工具支持,這將為一大批企業解決一大難題。
11 雲原生安全工具驅動因素
企業認識到部署雲原生安全解決方案的優勢,包括:
更快的部署時間
更低的成本
任意地點的App安全訪問需求
基於雲安全解決方案的主要驅動因素
圖12 雲原生安全工具驅動因素
雲原生理唸的出現在很大程度上改變了這種現狀。雲原生是一系列雲計算技術體系和企業管理方法的集合,既包含了實現應用雲原生化的方法論,也包含了落地實踐的關鍵技術。雲原生專為雲計算模型而開發,用户可快速將這些應用構建和部署到與硬件解耦的平台上,為企業提供更高的敏捷性、彈性和雲間的可移植性。經過幾年的發展,雲原生的理念不斷豐富,正在行業中加速落地。
我們很高興的看到,國內各家雲服務商均在積極落地雲原生的理念,雲原生技術已經在深度學習、邊緣計算、區塊鏈等場景上廣泛應用,大幅降低了這些技術的使用門檻,促進了複雜應用的普遍化。
12 雲安全部署的阻礙
儘管基於雲的安全解決方案提供了顯著的優勢,但採用的障礙依然存在。當涉及到業務轉換和雲上應用時,三個重要的方面必須保持一致:人員、流程和技術。
我們的調查顯示,企業面臨的最大挑戰不是技術,而是人員和流程。員工的專業技能和培訓在調查中排名第一,其次是數據隱私問題和缺乏與本地技術的整合。
圖13 雲安全部署的阻礙
其他方面需求包括:
對加密密鑰的有限控制/本地化工具的成本折損/雲安全平台完整性/擴展性和性能
這一層面又回到了人的問題,也就是管理的問題。根據Palo Alto Networks的調查,中國有76%的企業在其基礎設施中部署了超過10個安全工具以實現雲安全,高於亞太區的59%。這是因為企業還保留着傳統的觀念和方法,在傳統網絡中國,企業習慣“貨比三家”,從不同安全廠商採購不同的產品,最終整合到一個網絡中,一方面是出於合規監管的驅動,另一方面受價格因素的驅動,導致一個網絡中存在多個廠商的多個產品,一旦出現問題或需要調整,就要協調各家共同調整策略和方案,容易造成互相推諉,一個簡單的變更可能會執行很久。
雲上環境亦是如此,過多的安全工具並不能帶來遞增的安全效應,反而造成了安全管理的碎片化,尤其當企業在多雲環境中運行的時候,碎片化意味着對安全很難做到及時響應和處理,使得雲安全管理更加複雜,同時,過多的工具也意味着更多的潛在風險。
多雲方式會導致危險的可視化缺陷。在中國,有77%受調查的大型企業表示這一情況相當普遍,高於亞太地區平均水平13個百分點。也就是説,大部分的企業沒有一個統一管理安全的能力。而且,介於責任問題,很多安全服務商並不願意承接這類安全服務項目。這裏建議企業加深認識,同時提升企業自身安全技術積累,不要將自己的安全工作寄希望於其他組織。
13 雲合規挑戰
在本次調查中,針對企業在雲合規方面面臨的挑戰問題,受訪企業表示監控策略和過程的合規性是企業面臨的與合規性相關的最大挑戰,其次是對其雲環境的審計和風險評估。
其他關注方面包括:
對於及時瞭解新的/變化的法規和法規要求/採用責任共擔模式/擴展和自動化合規活動
圖14 雲合規的主要挑戰
作為全球TOP1雲服務提供商,AWS持續維護所有全球業務之間的高標準安全性和合規性,它擁有比其他雲服務提供商更多的第三方安全與合規認證,支持包括ISO、SOC、PCI-DSS、HIPAA/HITECH、FedRAMP、《歐盟數據保護指令》、FIPS 140-2 、NIST 800-171在內的通用標準、細分領域標準以及各個國家出台的安全標準和合規性認證,優於其他廠商,有助於AWS客户滿足全球幾乎所有監管機構的合規性要求。
時間AWS合規里程碑2013.5 AWS 成為第一個獲得 FedRAMP 認證的主要雲服務提供商 2014 AWS 獲得美國國防部全美範圍節點的初始授權 2014 AWS GovCloud 獲得美國國防部 CSM3-5 級初始授權 2014 AWS 獲得 ISO-9001 認證 2017.07.31 Amazon Inspector 和 Amazon EC2 Systems Manager 現已通過 HIPAA 資格認證 2018.02.06 Amazon Cloud Directory 通過 SOC 和 ISO 認證 2018.3.28 AWS 服務達到了《通用數據保護條例》 的要求 2018.08.30 Amazon GuardDuty 現已符合 HIPAA 的要求 2018.11.12 AWS Certificate Manager 現已符合 HIPAA 要求 2018.12.12 AWS Certificate Manager 現已符合 SOC 和 PCI 要求 2019.05.23 Amazon GuardDuty 現已通過 SOC 認證 2019.07.11 AWS Resource Groups 現已符合 SOC 標準 2019.10.17 Amazon Lex 實現 PCI DSS 合規性
表3 AWS安全合規關鍵節點事件
AWS在安全性和合規性方面採用了責任共擔模型。AWS主要負責雲基礎設施及所有 AWS 發佈的雲服務的安全,而AWS的客户負責在雲上客户自己構建的應用或服務的安全。AWS聯合AWS的APN合作伙伴提供豐富的合規最佳實踐文檔、工具和功能、指南,幫助客户滿足合規要求。
國內環境下,除滿足雲安全外,雲合規性一直是企業上雲過程中另一個備受關注的關鍵性問題。隨着採用雲的企業數量持續增加,關於雲計算發展政策、雲計算的行業標準和安全監管制度紛紛出台,國家和行業監管機構對雲計算新場景的安全需求和防護提出了更嚴格的要求。
時間政策/標準/規範2015年4月1日 《信息安全技術雲計算服務安全能力要求》正式實施 2019年12月1日 《信息安全技術 網絡安全等級保護基本要求》標準中增加了“雲計算安全擴展要求”,並於2019年12月1日正式實施 2019年7月 國家網信辦、國家發展改革委、工業和信息化部、財政部聯合發佈《雲計算服務安全評估辦法》,對黨政機關、關鍵信息基礎設施運營者採購使用的雲計算服務提出更高安全要求 2019年8月 中國人民銀行印發《金融科技發展規劃》,圍繞大數據、雲計算、人工智能等新興技術在金融領域安全應用以及金融網絡安全風險管控等提出細化措施
表4 我國雲計算場景政策標準規範
14 雲戰略
43%的企業表示,他們的主要雲部署策略是混合雲,通過將多個雲供應商集成為一個單一的無縫環境來優化投資。其餘的受訪者表示,他們選擇的雲部署是一種非集成的多雲解決方案,其次是單雲。
日益增長的趨勢是,企業出於多種原因利用多個雲供應商,從高可用性、災難恢復和多供應商採購策略等。
15 上雲轉換的阻礙
重要的是能認識到,儘管雲有這麼多好處,但也不是沒有挑戰。
缺乏合格的人員或專業知識是採用雲的主要障礙,其次是:
通用安全風險
數據安全、丟失和泄漏風險
與現有IT環境的集成
調查強調了一些技術和企業上的障礙,這些會繼續妨礙對雲的採用,隨着雲技術的不斷成熟,企業將更容易克服這些阻礙。
圖16 上雲的主要阻礙
其他方面包括:
合規問題/失控/擔心被供應商牽制/內部阻礙和守舊/雲服務模型缺少成熟度/雲部署管理複雜化/缺乏透明度和可視性/缺少管理層的支持
對於企業上雲的戰略規劃,可以借鑑一些國內外的優秀最佳實踐,以及國家層面的戰略計劃,選擇適合自身需求和發展的方法,並通過持續實踐和改進以達成企業目標。企業在制定戰略計劃前,可以參考以下建議:
安全需要一開始就集成於雲環境中,安全應成為加速雲使用的助推器。
要在各類雲部署中創建一致的安全策略,可在工具助力下實現完美部署,並且能夠對全部雲資產以及其面臨的威脅形成統一視圖。
允許多雲環境的平滑部署和輕鬆擴展,消弭高度受控的安全團隊與高度敏捷的研發團隊之間的差距。
增加對IT和非IT人員的審核與培訓。
藉助本地集成的、數據驅動且基於分析的方法,實現威脅情報的自動化,避免人工出錯情況的發生。
近年來,我國高度重視雲計算的發展,在國家和地方層面出台了多項政策措施。當前,我國雲計算呈現產業發展快速、創新能力增強、行業應用深入等特點,但也存在市場需求尚未完全釋放、技術水平仍需加強、管理規範有待明確等問題。國家和地方政府將繼續從過個方面促進雲計算發展:
持續創造良好的雲計算發展環境;
着力發展雲原生技術能力及應用實踐;
穩步構建開源風險管理和治理體系;
不斷加強雲計算產業鏈上下游合作;
持續增強傳統行業供需雙方信任度。
16 雲承建商的信心
調查中詢問了一些企業,雲供應商可以採取哪些手段來提高他們向雲遷移的信心。他們確定了5個關鍵的信心增強因素,以幫助他們減輕對安全的顧慮:靜態數據加密是需要解決的首要問題,其次是:報告、審計和安全事件報警的API,以及跨雲設置和實施安全策略。
圖17 客户最關心的安全顧慮
其他方面包括:
非託管設備訪問限制/工作負載保護
隨着國內雲計算發展逐步走向成熟,加之《網絡安全法》、《等級保護制度》等合規要求的驅動,用户現在除遷移上雲之外,也開始更加關注雲上安全的概念。2020年初國內幾大公有云服務商紛紛推出自家的雲上等保2.0解決方案,併為用户提供體系化的安全產品生態。
各大雲服務商在不斷提升自身安全能力的同時,開始將內部能力向外產品化輸出,同時,也開始為客户提供雲上整體安全解決方案,與用户共同應對安全風險。
圖18 雲計算安全產品體系
2020年5月8日,國際數據公司發佈《中國公有云服務市場跟蹤》報告。報告顯示,2019下半年中國公有云服務整體市場規模達到69.6億美元,其中IaaS市場增速回落,同比增長60.9%,PaaS市場增速減緩,同比增長76.3%。
圖19 2019下半年中國前五大公有云IaaS PaaS廠商
2019年下半年延續了上半年的市場集中化趨勢。阿里、騰訊、中國電信、華為、AWS位居IaaS PaaS及IaaS市場前五,在IaaS PaaS市場總體佔據76.3%的市場份額,在IaaS市場總體佔據77.5%的市場份額,持續拉大領先優勢,呈現出“一超多強”的格局。
企業上雲已是必然之趨勢,但並非一帆風順。隨着業務系統向雲上的遷移,企業將面臨各種各樣的問題。例如,上述調研中用户較為關心的遺留工具問題、業務要完全放在雲上,還是部分業務上雲、如何保證系統遷移過程的穩定性、如何統一管理複雜的多雲和混合IT環境等等。要解決這些問題,就必須由“專業人事”來解決,因此一個新的服務領域–雲管理服務提供商隨之誕生。國內公有云服務商在諮詢、分銷、系統集成、獨立軟件開發商等方面開展雲MSP合作伙伴計劃,旨在幫助企業更好地上雲、用雲。這將大大提升用户對雲服務商的信心,建立信任關係,同時也能促進雲服務商自身的信心。