在談到云安全的挑戰(zhàn)之前，我們首先要確定的一件事，上云是趨勢，并且從數(shù)據(jù)控制角度而不是僅僅關(guān)注數(shù)據(jù)物理位置、存儲位置而言，在安全性整個方面，公有云相對傳統(tǒng)的IT采購來講應(yīng)該更安全。

Gartner2022年CIO技術(shù)執(zhí)行官問卷調(diào)查結(jié)果顯示：2022年有52%的企業(yè)會增加“云”投入，相對來說有32%的企業(yè)會減少傳統(tǒng)基礎(chǔ)架構(gòu)和數(shù)據(jù)中心的投入?！禛artner中國云基礎(chǔ)設(shè)施和平臺服務(wù)市場指南》預(yù)測：到2024年中國將近40%的最終用戶在系統(tǒng)的基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施的軟件上支出將會轉(zhuǎn)到“云服務(wù)”上。

上云成為趨勢。云的出現(xiàn)打破了IT資產(chǎn)的物理邊界，然而傳統(tǒng)的IT架構(gòu)無法很有效的保護“云”上的資產(chǎn)。我們也看到全球來看，不少企業(yè)對于公有云還是缺乏信任，包括中國許多企業(yè)組織都擔心數(shù)據(jù)的位置，還是認為數(shù)據(jù)在自己的組織內(nèi)部、在自己的物理邊界內(nèi)更安全。這就導(dǎo)致了私有云和混合云在中國使用率一直很高，因為這兩種部署方式仍然可以把數(shù)據(jù)存儲在組織內(nèi)部的物理邊界內(nèi)。

但是這種對于物理數(shù)據(jù)位置的過度關(guān)注，往往會犧牲了“云”自身的好處。僅僅從規(guī)模效益來看，云服務(wù)商就可以提供比私有云和傳統(tǒng)數(shù)據(jù)中心更安全的保護。以現(xiàn)在工業(yè)化產(chǎn)品為例，今天工業(yè)化的產(chǎn)品無處不在，并且在效率和品質(zhì)上遠遠超過傳統(tǒng)的小作坊。經(jīng)過十數(shù)年的發(fā)展，“云”作為更先進的模式，基于規(guī)模效應(yīng)，在技術(shù)成熟度、運維水平、技術(shù)團隊、風險防控、成本控制等方面超出傳統(tǒng)IT架構(gòu)，不管是在安全還是效率都比傳統(tǒng)的數(shù)據(jù)中心和私有云更加安全。

同時“云安全”很大程度上是用戶自身原因造成的。Gartner預(yù)測到2023年99%的“云安全”問題都是用戶的因素引起的。公開信息也顯示而很少有主流的“云服務(wù)”提供商出現(xiàn)重大的安全事件。另一個預(yù)測，就是到2024年利用云基礎(chǔ)設(shè)施和編程性，改進云上工作負載的安全保護將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性和減少至少60%的安全事件。

基于此背景，近日Gartner高級分析總監(jiān)高峰根據(jù)調(diào)研數(shù)據(jù)分析了中國企業(yè)“云安全”面臨的三大挑戰(zhàn)，并給出了相對應(yīng)的行動指南。

Gartner高級分析總監(jiān) 高峰

基于未來“云安全”的安全和風險管理會成為中國管理領(lǐng)導(dǎo)者最關(guān)鍵的任務(wù)之一。Gartner發(fā)現(xiàn)客戶“上云”面臨著三個挑戰(zhàn)：一，對于云安全責任分攤模型的理解，還有相關(guān)技術(shù)能力的缺失。二，云安全技術(shù)的選擇和應(yīng)用。三，缺乏對于“云服務(wù)提供商”進行風險評估。

Gartner針對這些挑戰(zhàn)，主要有三個建議：一、明確企業(yè)和“云服務(wù)提供商”的安全責任范圍，并建立“云安全”所需的能力。二、優(yōu)先選擇“云服務(wù)提供商”的一些原生安全工具，然后利用第三方/開源工具作為安全實施補充。三、持續(xù)去做云服務(wù)商的風險評估。

具體而言：

挑戰(zhàn)一、對云安全責任分擔模型的理解和相關(guān)的一些技能缺失。

在“云安全”中，云安全責任跟傳統(tǒng)的安全很大不同。理解“云安全”和“云安全”提供商的安全責任分工，是“云安全”成功的一個必要條件。云安全所需要的技能和傳統(tǒng)的以邊界為保護的安全也有很大不同。企業(yè)相對能力的缺失，使得云安全成功實施也受到很大的挑戰(zhàn)。

因此企業(yè)必須要對云安全分攤的模式有充分的了解。云安全是基于“責任公攤”的概念、所以安全責任和因“云”的部署模式也有所不同。

在私有部署的模式下，所有的責任都是由客戶自己承擔的。但是“上云”之后如果使用IaaS(基礎(chǔ)架構(gòu)級服務(wù))，在物理和虛擬層的責任由“云提供商”去承擔。如果使用PaaS(平臺級服務(wù))，責任更多分攤給了“云提供商”。比如虛擬機、服務(wù)編排。如果用到軟件級服務(wù)，基本上客戶主要關(guān)注的就是“認證”和“授權(quán)管理”還有數(shù)據(jù)，分攤部分的應(yīng)用和API的責任。

建議一、明確企業(yè)和“云服務(wù)提供商”的安全責任范圍，并建立“云安全”所需的一些能力。

為了實施的正確控制，明確了企業(yè)與“云服務(wù)提供商”的安全責任范圍，客戶需要建立相應(yīng)的技能?！霸啤钡牟渴鹨蚱髽I(yè)的需求而異，所以“云”資源具有共享、生命周期短、自動化等特點。所以企業(yè)需要建立所需的“云安全”相關(guān)能力。

Gartner建議從現(xiàn)在開始企業(yè)應(yīng)該打造兩個角色：云安全架構(gòu)師和云安全工程師

企業(yè)可以去雇傭或者內(nèi)部提拔“云安全架構(gòu)師”，“云安全架構(gòu)師”不是唯一一個識別和制定“云安全架構(gòu)”有關(guān)決策的人，他其實也要跟內(nèi)部其他的架構(gòu)師，比如：云架構(gòu)師，還有一些其他的安全架構(gòu)師緊密合作確保云上的安全。

云安全架構(gòu)師主要責任包括以下幾點：

• 引領(lǐng)云安全的文化變革。
• 制定云安全策略。
• 開發(fā)和協(xié)調(diào)云安全技術(shù)和工具采用。
• 要去雇傭和培訓(xùn)云安全工程師。

云安全工程師是負責實施云安全控制方面的角色，具有廣泛技能的專業(yè)人員，與傳統(tǒng)的安全工程師不太一樣，他的技能不會限于特定的某個安全領(lǐng)域，而是廣泛分布于各種安全領(lǐng)域。比如：網(wǎng)絡(luò)安全、服務(wù)器安全、漏洞管理、應(yīng)用程序安全和數(shù)據(jù)安全。負責云原生的一些管控和第三方安全的管控，配置跨云平臺的安全服務(wù)配置等。

挑戰(zhàn)二、在“云安全”技術(shù)選擇和運用上，企業(yè)也面臨著很多的困難。

針對“云”的部署模式，企業(yè)現(xiàn)有的一些安全工具可能需要做一些更新。沒有一個“云服務(wù)”提供商或者安全廠商能提供企業(yè)所需的全部安全能力。有些國際廠商在中國面臨落地困難，因為中國監(jiān)管的一些原因、所以許多很多企業(yè)還面臨著“云技術(shù)”選擇和運用的一些困難。

建議二、優(yōu)先選擇“云服務(wù)提供商”的一些原生安全工具，然后利用第三方/開源工具作為安全實施補充。

Gartner建議企業(yè)去做的是要優(yōu)先選擇云服務(wù)提供商的云安全原生工具，利用第三方或者是開源工具作為補充來去實施安全控制。

Gartner推薦的一個步驟：先是“云提供商原生安全工具”，然后是“第三方工具”、還有就是“開源的工具”。

“云提供商原生安全工具”是云供應(yīng)商提供的一些安全工具，云提供商在不斷的增加一些安全工具來幫助提高云服務(wù)的安全。雖然有些工具其實還比較初級，但是他們也有很多的一些工具已經(jīng)具有企業(yè)級產(chǎn)品能力或者是已經(jīng)是接近企業(yè)級產(chǎn)品的能力。由于這些工具是和“云服務(wù)”是高度集成的，因此采用這些云原生安全工具具有成本的效應(yīng)，而且部署非常簡單，可以快速的滿足客戶的安全需求。

在云服務(wù)商和云原生安全工具不能提供滿足的情況下，Gartner建議可以尋求第三方工具或者開源工具。相對云供應(yīng)商來說，第三方的工具可以進行更多的個性化配置、服務(wù)。

第三個主要的工具來源就是開源的工具，開源的工具我們認為也是實施云安全的一種選擇，尤其是在沒有可用的商業(yè)工具時，它不僅具備成本效應(yīng)、因為它很多是免費的，它們還提供了很多靈活性和創(chuàng)新型，因為它的開源可以去進行二次開發(fā)。高峰表示：“開源工具的使用，我們認為企業(yè)需要仔細評估它帶來的風險。比如：它會缺少一些商業(yè)的支持，還有漏洞管理這方面;在我們的最佳實踐中，其實也有討論過這種通過建立使用開源軟件策略來管理風險和回報?！?/p>

Gartner推薦了比較重要的一些“云保護安全工具”。

由于“云”共享了安全責任和云產(chǎn)品的一些復(fù)雜性，客戶需要一些新的安全工具來幫助他們安全的使用云。云供應(yīng)商通常使用一些，采用產(chǎn)品模塊和的方式提供服務(wù)、并將這個功能整合到一個產(chǎn)品中。這些產(chǎn)品主要分為幾類：

比較成熟的，例如“云訪問安全代理”或者是“云工作負載保護平臺”和“云態(tài)勢管理”。其它的包括一些云原生的應(yīng)用保護平臺CNAPP，還有就是如安全態(tài)勢管理SSPM和SaaS管理平臺SMP。CWPP和CSPM一般是關(guān)注數(shù)據(jù)平面控制的，CSPM、SSPM和和SMP主要是關(guān)注控制平面，CNAPP是同時適用于控制平面和數(shù)據(jù)平面的控制。

云安全訪問代理CASB：CASB最主要的作用，是保護SaaS。CASB主要是通過多種類型的云安全控制整合到一起，為SaaS、IaaS和PaaS提供一些可見性、合規(guī)性、數(shù)據(jù)安全和威脅保護提供的一些控制。比如：授權(quán)，用戶行為分析，自適應(yīng)訪問控制，數(shù)據(jù)泄漏防護。

云工作負載保護平臺CWPP：也可以稱之為“云主機保護平臺”。這是中國大部分安全廠商主要提供的一個安全工具，CWPP是以工作主機，就是負載或者主機為安全的產(chǎn)品，它可以保護混合云、多云的服務(wù)器工作負載。CWPP為物理機、虛擬機、容器和無服務(wù)等多種形式，無論它們的位置在哪里，都能提供一致性的可見性和控制。CWPP結(jié)合多種功能來保護工作負載，比如：它的完整性保護、應(yīng)用程序控制、行為控制、入侵預(yù)防、以及一些惡意軟件的保護。

云安全態(tài)勢管理CSPM：CSPM主要通過一些預(yù)防檢測、響應(yīng)和主動識別的云基礎(chǔ)設(shè)施的風險，來持續(xù)管理云安全狀況。它的產(chǎn)品核心，主要是通過一些框架和法規(guī)要求，比如：ISO22701。中國的法規(guī)，比如：等?；蛘甙踩呗?，企業(yè)的安全策略去主動和被動發(fā)現(xiàn)云安全配置的風險，它可以發(fā)現(xiàn)云上的資源是否按照企業(yè)的策略去正確配置。如果發(fā)現(xiàn)問題，它會自動或者去人工的進行補救。目前在中國這個工具還沒有被廣泛的采用，也很少有本地的供應(yīng)商提供此類產(chǎn)品。

云原生應(yīng)用保護平臺CNAPP ：CNAPP是集成了安全性和合規(guī)性的一些功能，它主要是旨在幫助云原生的應(yīng)用程序開發(fā)和生產(chǎn)中進行保護。CNAPP主要是整合了大量功能，包括：CWPP、CASB的所有功能、都要具有。高峰表示：“從某種程度來說。它提供了一些容器掃描，云安全態(tài)勢管理、基礎(chǔ)設(shè)施、代碼掃描、云主機運行時保護等等。中國其實有一些本地的供應(yīng)商，特別是一些初創(chuàng)的云安全供應(yīng)商，它其實已經(jīng)提供了相應(yīng)的產(chǎn)品和解決云原生程序安全要求的產(chǎn)品，但是他們還沒有覆蓋所有的領(lǐng)域，所以這一類工具我們覺得還是有待開發(fā)?！?/p>

挑戰(zhàn)三、對“云服務(wù)商”持續(xù)的評估。

Gartner發(fā)現(xiàn)中國企業(yè)上云很少會系統(tǒng)性的對云服務(wù)提供商做一些風險評估，不同的云服務(wù)提供商有著不同的風險、而且這個風險也并不是一成不變的，所以缺少持續(xù)的風險評估、會讓企業(yè)“云”上的資產(chǎn)面臨一定的威脅。

建議三、Gartner建議企業(yè)要去評估云服務(wù)商的風險、并且要持續(xù)進行評估。

云服務(wù)提供商的風險不可忽視。Gartner總結(jié)了一些客戶最常用的方法，并根據(jù)這些方法、根據(jù)需要多少投入和對于它們產(chǎn)生的價值。比如說，云服務(wù)提供商宣傳資料非常容易獲得但是它的價值因為是服務(wù)商提供的，價值可能相對較低。如果通過第三方的評估機構(gòu)或者是咨詢機構(gòu)，對云供應(yīng)商提供一些審核，這些服務(wù)相對來說會價格比較高昂，您可能要投入更多的投資或者需要花更多的精力，但是它們帶給您的價值也是更高的。另外Gartner根據(jù)云服務(wù)商的數(shù)量來做的一個三層模型、這種方式我們覺得也非常適用，它主要是包括了一些少量、成熟的第一級的大型云服務(wù)提供商。還有就是不斷增長的第二級的一些云服務(wù)提供商和剩下的數(shù)量龐大/不斷增長小型的第三級的云服務(wù)提供商。

第一級云服務(wù)提供商，是一些少數(shù)的、成熟的，在財務(wù)安全和云服務(wù)提供商中已經(jīng)主導(dǎo)市場比較長。所有的第一梯隊的云服務(wù)提供商，在中國可能都需要通過“等保三級”，包括：其它一些比較重要的第三方安全評估。而且這些巨頭非常注重它們的形象，所以它們要不斷的用各種方式尋求增加客戶的信任。

第二個級別的云服務(wù)提供商，是中型提供商和大型知名軟件的供應(yīng)商也在提供“云”的服務(wù)。但是他們沒有第一梯隊云服務(wù)供應(yīng)商在“云”方面良好的運營歷史記錄，他們可能剛進入這個領(lǐng)域或者主要的業(yè)務(wù)并不是“云服務(wù)”，他們代表了供應(yīng)商和成熟度之間的一層。第二梯隊的供應(yīng)商在安全和運營方面并不是很成熟，缺少一些比較關(guān)鍵的第三方的評估、認證，比如：他們有時候在財務(wù)上會比較脆弱，特別是一些初創(chuàng)的公司。Gartner認為，評估云服務(wù)商的大部分的資源應(yīng)放在第二級的云服務(wù)提供商上。

剩下的就是第三級云服務(wù)提供商，大多數(shù)都是非常小的提供商，客戶很難去搞清楚他們的運行狀況如何。你可能要去評估風險是否能夠接受。比如：是否接受以及如何應(yīng)對這些云供應(yīng)商可能在某一天破產(chǎn)?是否在其它地方有相應(yīng)的備份?根據(jù)企業(yè)對風險的接受度，您可以去做一些選擇。

在“云評估”中，還要看云服務(wù)提供商是否通過一些比較重要的認證，這也是最容易獲得的一些信息。一個合格的“云服務(wù)商”，最起碼要通過“等保三級”，如果是一些金融機構(gòu)可能需要通過“等保四級”的金融云。

總結(jié)，我們看到云供應(yīng)商們一直不斷的提升自己的服務(wù)，確保其是安全合規(guī)的，讓客戶不斷提升對他們的信任，來幫助客戶保護他們云上的數(shù)據(jù)。比如“云廠商”其實也一直在致力于提升自身的安全性，會通過各個國家的行業(yè)認證，還有國內(nèi)等級保護、行業(yè)標準。其次還有很多企業(yè)可能沒有這么多的安全人員來使用云原生的安全工具，而云廠商根據(jù)自己的“云”去開發(fā)了一些安全工具幫助企業(yè)客戶提高他的安全能力。這些工具最大的優(yōu)勢，就是它的購買、開通是非常便捷的。最后，“風險評估”很重要，因為企業(yè)并不知道是否會有某個云提供商突然破產(chǎn)，從而導(dǎo)致自己的云上數(shù)據(jù)和應(yīng)用無法得到技術(shù)支持的情況出現(xiàn)。Gartner建議還需要找專業(yè)的咨詢公司和評估機構(gòu)來做多方面的審核。