Gartner預(yù)測：到2023年，主流的云服務(wù)提供商出現(xiàn)重大安全事件的概率將非常低，99%以上的云安全問題都是由客戶的過錯引起的。而到2024年，利用云基礎(chǔ)設(shè)施的可編程性來改進(jìn)云上工作負(fù)載的安全，將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性，并減少至少60%的安全事件。

近日，Gartner高級分析總監(jiān)高峰在以“中國云安全的最佳實踐”為主題的線上研討會上提到：“企業(yè)在云上是安全的，而且比傳統(tǒng)的線下基礎(chǔ)設(shè)施平臺更加安全?！?/p>

中國企業(yè)面臨三大云安全挑戰(zhàn)

實際上，企業(yè)在云安全方面仍有諸多顧慮。由于云安全與傳統(tǒng)的線下基礎(chǔ)設(shè)施安全大不相同，企業(yè)在云上仍然面臨諸多挑戰(zhàn)，既有是否信任公有云以及如何信任公有云這類全球性挑戰(zhàn)，也有中國市場獨有的挑戰(zhàn)。

Gartner認(rèn)為，中國企業(yè)目前面臨三大云安全挑戰(zhàn)：

• 一是對云安全責(zé)任分?jǐn)偰Ｐ偷睦斫夂拖嚓P(guān)技術(shù)能力的缺失。企業(yè)在云安全中分擔(dān)的責(zé)任與傳統(tǒng)線下數(shù)據(jù)中心的安全有很大不同，因此理解與云安全提供商的安全責(zé)任分工非常重要。此外，云安全所需要的技能與傳統(tǒng)的邊界安全也有很大區(qū)別，企業(yè)在這方面的能力缺失，使云安全的實施面臨更大的挑戰(zhàn)。
• 二是在云安全技術(shù)的選擇與運用方面存在一定困難。云的部署模式需要一些安全工具支撐，然而中國的市場現(xiàn)狀是：目前的云服務(wù)提供商和安全廠商無法滿足云上安全的所有需求，不能提供所有的安全能力，因此許多企業(yè)在實施云安全的過程中面臨技術(shù)選擇難題。
• 三是缺乏對云服務(wù)提供商進(jìn)行持續(xù)的風(fēng)險評估。不同的云服務(wù)提供商存在不同風(fēng)險，而這些風(fēng)險并不是一成不變的，中國企業(yè)很少對云服務(wù)提供商進(jìn)行系統(tǒng)性的風(fēng)險評估，這使企業(yè)的云上資產(chǎn)面臨一定風(fēng)險。

企業(yè)應(yīng)對云安全挑戰(zhàn)的三大建議

如何應(yīng)對以上三大挑戰(zhàn)呢?高峰在會上給出了Gartner的三大建議。

建議一：明確企業(yè)和云服務(wù)提供商的安全責(zé)任范圍，并建立云安全所需的能力。

云服務(wù)的資源共享理念，打破了傳統(tǒng)IT資產(chǎn)的物理邊界，使現(xiàn)有的安全架構(gòu)無法有效保護(hù)云上的資產(chǎn)。由于對公有云缺乏信任，中國很多企業(yè)過于關(guān)注數(shù)據(jù)的存儲位置，認(rèn)為數(shù)據(jù)在企業(yè)自身的物理邊界內(nèi)更安全。而Gartner則認(rèn)為：這種對數(shù)據(jù)物理位置的過度關(guān)注是錯誤的，數(shù)據(jù)保護(hù)需要企業(yè)對數(shù)據(jù)實施安全控制，而非過度關(guān)注數(shù)據(jù)的位置，這會使企業(yè)犧牲云計算的諸多好處。

實際上，對于云服務(wù)提供商而言，安全的重要性不言而喻，他們會持續(xù)進(jìn)行大量安全投資，憑借大量的安全技術(shù)人員和用戶基數(shù)，云供應(yīng)商更容易發(fā)現(xiàn)和解決安全問題，因此從規(guī)?；?yīng)的角度來看，公有云其實比私有云和傳統(tǒng)數(shù)據(jù)中心更安全。企業(yè)之所以對數(shù)據(jù)的位置十分關(guān)注，除了監(jiān)管合規(guī)的因素外，還有一部分原因是企業(yè)在實施云安全時存在一定困難，伴隨物理邊界的消失，企業(yè)不知道如何與云服務(wù)提供商共同保護(hù)云上的數(shù)據(jù)資產(chǎn)。

云計算安全責(zé)任共擔(dān)模型

高峰提到：基于責(zé)任共擔(dān)的理念，云計算的部署模式不同，企業(yè)與云供應(yīng)商之間所承擔(dān)的安全責(zé)任也有所不同。如上圖所示，深藍(lán)色模塊代表企業(yè)的安全責(zé)任，綠色模塊代表云服務(wù)商的責(zé)任，淡藍(lán)色模塊則是企業(yè)和云服務(wù)商需要共同承擔(dān)的安全責(zé)任。從圖中可以看出，無論云的部署類型如何，數(shù)據(jù)安全永遠(yuǎn)是企業(yè)自身的責(zé)任，必須通過數(shù)據(jù)加密、訪問授權(quán)控制等一系列手段提升云上的數(shù)據(jù)安全水平。

大部分企業(yè)都存在安全人員和技術(shù)能力的缺失問題，通過與云服務(wù)商分擔(dān)安全責(zé)任，企業(yè)能夠更專注于保護(hù)核心的數(shù)據(jù)資產(chǎn)。數(shù)據(jù)顯示，云上成功的安全攻擊，大多數(shù)是由于用戶的錯誤引起的，例如配置錯誤，或缺少必要的補丁，而充分利用云上內(nèi)置的安全功能，以及高度自動化的工具，企業(yè)可以顯著減少此類配置錯誤，杜絕管理不善等問題，通過進(jìn)一步減少攻擊面來改善整體的云安全狀況。

云資源具有可共享、生命周期短、自動化以及可編程等特點，云上的安全運維涉及大量的自動化工作，以及跨領(lǐng)域、跨平臺的安全保護(hù)工作，這與保護(hù)本地的基礎(chǔ)設(shè)施安全有很大不同。因此，企業(yè)必須建立云安全相關(guān)的能力，設(shè)立云安全架構(gòu)師和云安全工程師兩個至關(guān)重要角色。

Gartner建議設(shè)立云安全架構(gòu)師和云安全工程師兩個角色

云安全架構(gòu)師主要責(zé)任包括以下幾點：

• 引領(lǐng)云安全的文化變革。
• 制定云安全策略。
• 開發(fā)和協(xié)調(diào)用于云安全的安全技術(shù)和工具。
• 招聘或培訓(xùn)云安全工程師。

企業(yè)可以雇傭或從內(nèi)部提拔“云安全架構(gòu)師”。值得一提的是，“云安全架構(gòu)師”并非唯一識別和制定“云安全架構(gòu)”的決策人，他需要與云架構(gòu)師及其他安全架構(gòu)師緊密合作，共同做出決策，確保云上安全。

此外，云安全工程師也是一個非常重要的角色，與某些特定安全領(lǐng)域的傳統(tǒng)安全工程師不同的是，云安全工程師是擁有廣泛技能的技術(shù)專業(yè)人員，負(fù)責(zé)配置本地云原生和第三方云安全管控，配置跨多云環(huán)境共同使用的核心安全服務(wù)。

高峰強調(diào)：上云對大多數(shù)企業(yè)而言都至關(guān)重要，設(shè)置云安全架構(gòu)師和云安全工程師兩個角色非常必要。對于中小型企業(yè)而言，如果無法設(shè)立這兩個專職角色，可以通過職能外包或培訓(xùn)現(xiàn)有安全團(tuán)隊，來提升自身的云安全能力。

建議二：優(yōu)先選擇云服務(wù)商云原生的安全工具，并以第三方和開源安全工具作為補充實現(xiàn)安全控制。

如今，云服務(wù)提供商正在不斷推出新的云安全工具，以提高其云安全水平，其中不乏一些具備或接近企業(yè)級產(chǎn)品能力的安全工具，這些工具與其云服務(wù)高度集成，采用云服務(wù)提供商的安全工具，對企業(yè)而言成本更低，而訂閱式的付費模式非常方便、靈活，不僅能快速滿足企業(yè)的諸多安全訴求，也可以隨時取消或更換安全工具。

值得注意的是，為了滿足中國市場的監(jiān)管合規(guī)要求，國外云服務(wù)商在中國提供的云服務(wù)與全球云服務(wù)之間是物理隔離的，相互之間不互通，運維也由第三方團(tuán)隊負(fù)責(zé)，這就導(dǎo)致了其產(chǎn)品、技術(shù)和服務(wù)可用性的一些差異，國內(nèi)可以訂閱的安全工具與國外也可能有所不同。因此，企業(yè)在選擇這些工具之前，需要核實其可用性以及產(chǎn)品路線圖。

對于那些需要將國外的應(yīng)用部署遷移到國內(nèi)同一個云服務(wù)提供商的企業(yè)而言，由于國內(nèi)外云服務(wù)可用性的不同，在無形中增加了應(yīng)用遷移的復(fù)雜度，此時采用一些第三方的安全工具，實現(xiàn)更多個性化配置和服務(wù)，是不錯的選擇。

國外很多云服務(wù)商的SaaS產(chǎn)品，需要用戶通過跨境連接的方式訪問其全球的SaaS服務(wù)，然而數(shù)據(jù)跨境會面臨一定的合規(guī)風(fēng)險，當(dāng)云服務(wù)商云原生的安全工具以及第三方安全工具都無法滿足企業(yè)需求時，開源工具成為企業(yè)實施云安全的另一種選擇，但是需要注意的是，由于缺乏商業(yè)支持，開源工具在漏洞管理等方面可能存在一定風(fēng)險，需要企業(yè)仔細(xì)評估。

由于共享了云安全責(zé)任和云產(chǎn)品本身的復(fù)雜性，大部分企業(yè)上云后都需要對其安全工具進(jìn)行更新，例如被國內(nèi)大多數(shù)企業(yè)廣泛應(yīng)用的CWPP(云工作負(fù)載保護(hù)平臺)，在國外較為成熟的CASB(云訪問安全代理)、CSPM(云安全態(tài)勢管理)、CNAPP(云原生應(yīng)用保護(hù)平臺)，以及SSPM(SaaS安全態(tài)勢管理)和SMP(SaaS管理平臺)等新興的安全工具。

云安全工具組

從上圖可以看出，CWPP和CASB一般關(guān)注數(shù)據(jù)平面的安全，CSPM、SSPM和SMP主要關(guān)注控制平面的安全，而CNAPP則同時適用于控制平面和數(shù)據(jù)平面的安全管控。隨后，高峰詳細(xì)介紹了幾個重要的云安全工具。

(1) CASB：即云訪問安全代理，CASB通過對多種類型的云安全控制進(jìn)行整合，為SaaS、IaaS和PaaS提供一些可見性、合規(guī)性、數(shù)據(jù)安全和威脅保護(hù)的控制，例如授權(quán)、用戶行為分析(UEBA)、自適應(yīng)訪問控制、數(shù)據(jù)泄漏防護(hù)(DLP)以及設(shè)備分析等。據(jù)悉，CASB在國外已得到廣泛應(yīng)用，而在國內(nèi)市場，由于CASB供應(yīng)商需要與云服務(wù)提供商進(jìn)行深度合作，因此市面上提供CASB的供應(yīng)商較少。

CASB通常有四類集成方式：一是API集成，其部署優(yōu)勢是不存在代理模式的會話管理問題;二是正向代理方式，主要針對用戶上云的訪問進(jìn)行保護(hù)，包括企業(yè)訪問外網(wǎng)以及訪問云上資源的流量;三是反向代理部署，針對外部用戶(如：非企業(yè)管理的客戶端)對企業(yè)云上的應(yīng)用訪問，進(jìn)行保護(hù);四是從安全網(wǎng)關(guān)或企業(yè)防火墻等安全設(shè)備提取日志，注入到CASB進(jìn)行分析，并生成云應(yīng)用的發(fā)行報告。

(2) CWPP：即云工作負(fù)載保護(hù)平臺，又稱“云主機保護(hù)平臺”，是以工作負(fù)載的保護(hù)為主的安全產(chǎn)品，可以保護(hù)混合云、多云和數(shù)據(jù)中心的服務(wù)器工作負(fù)載。與EDR不同的是，CWPP專注于保護(hù)服務(wù)器負(fù)載主機，為物理機、虛擬機、容器和無服務(wù)工作負(fù)載等所有主機提供保護(hù)，無論它們在數(shù)據(jù)中心還是云上，都能提供一致性的可見控制。CWPP能夠結(jié)合多種功能保護(hù)工作負(fù)載，例如：系統(tǒng)完整性保護(hù)、應(yīng)用程序控制、行為監(jiān)控、入侵防御、以及惡意軟件的保護(hù)。

需要強調(diào)的是，盡管中國的供應(yīng)商提供了很多CWPP工具，但是其中不乏一些基于供應(yīng)商原有的EDR進(jìn)行修改的產(chǎn)品，這些修改版的CWPP工具對無服務(wù)工作負(fù)載、容器以及云集成的支持能力可能非常有限，企業(yè)在選擇相關(guān)產(chǎn)品時需要格外注意。

(3) CSPM：即云安全態(tài)勢管理，主要通過預(yù)防、檢測、響應(yīng)和主動識別云基礎(chǔ)設(shè)施風(fēng)險，持續(xù)管理云安全狀況，核心是通過ISO22701等通用框架要求，等保等相關(guān)法律法規(guī)要求，以及企業(yè)的安全策略，主動與被動結(jié)合，發(fā)現(xiàn)評估云服務(wù)的安全配置風(fēng)險，一旦發(fā)現(xiàn)問題，可以提供自動或者人工的補救措施。例如，CSPM可以根據(jù)企業(yè)配置的安全策略，對其進(jìn)行持續(xù)的安全檢查，一旦發(fā)現(xiàn)配置偏移，即可阻止或通知安全人員。由于CSPM產(chǎn)品需與云服務(wù)提供商深度合作，目前只有少數(shù)本地供應(yīng)商能夠提供此類產(chǎn)品，而國外已經(jīng)有很多CSPM產(chǎn)品開始支持中國的云服務(wù)商。

(4) CNAPP ：即云原生應(yīng)用保護(hù)平臺，CNAPP集成了安全與合規(guī)功能，助力保護(hù)云原生應(yīng)用程序的整個生命周期，包括應(yīng)用的構(gòu)建、云基礎(chǔ)設(shè)施的配置以及應(yīng)用運行時的安全保護(hù)。CNAPP整合了大量獨立功能，例如容器掃描、云安全態(tài)勢管理以及云主機運行時的安全保護(hù)等等。目前，一些中國供應(yīng)商，尤其是初創(chuàng)的云安全供應(yīng)商，已經(jīng)開始提供CNAPP產(chǎn)品，但是尚未覆蓋所有領(lǐng)域，這一類工具有待進(jìn)一步發(fā)展。

建議三：評估云服務(wù)提供商的風(fēng)險。

評估云安全提供商的常用方式

無論企業(yè)采用哪種云部署方式，云服務(wù)提供商的風(fēng)險都不容忽視。Gartner總結(jié)了一些常用的評估方法，如上圖所示，這些評估方式從左到右給企業(yè)做出決定的評估價值會越來越高，從下到上評估所需要的投入會越來越少。企業(yè)可以根據(jù)自身的實際情況進(jìn)行選擇，也可以采用多種評估方式對云服務(wù)提供商的風(fēng)險進(jìn)行綜合評估。

此外，Gartner根據(jù)云服務(wù)商的數(shù)量給出了一個簡單的評估模型：

• 第一梯隊是一些少量、成熟的大型云服務(wù)提供商，以及少數(shù)成熟的財務(wù)安全云服務(wù)提供商，他們主導(dǎo)市場的時間超過5年，均已通過等保三級等重要認(rèn)證，以及市面上常見的第三方安全評估，這些巨頭更注重保護(hù)形象，會不斷增加安全投入以尋求客戶的信任。
• 第二梯隊是一些不斷增長的中型云服務(wù)提供商和大型知名軟件供應(yīng)商，處于供應(yīng)商成熟度與可靠性的中間層。第二梯隊中的供應(yīng)商雖然提供云服務(wù)，但是并沒有良好的長期運營記錄，在安全運營方面不如第一梯隊成熟，往往缺乏一些重要的第三方安全評估認(rèn)證，尤其是初創(chuàng)公司存在一些財務(wù)風(fēng)險。因此，企業(yè)評估云服務(wù)商的大部分資源應(yīng)放在第二梯隊的云服務(wù)提供商上。
• 第三梯隊是數(shù)量龐大、不斷增長的小型云服務(wù)提供商，他們很少進(jìn)行第三方評估，因此企業(yè)很難了解他們的實際運行狀況，企業(yè)必須假設(shè)這些云服務(wù)提供商是不安全的，也不值得花費太多精力去評估其風(fēng)險，這些云服務(wù)商的運營狀況可能在短時間內(nèi)就會發(fā)生變化。企業(yè)在使用這一梯隊的云服務(wù)時，必須接受這些風(fēng)險。在實際案例中，有些企業(yè)由于云服務(wù)提供商的云技術(shù)提供商破產(chǎn)，使其面臨云服務(wù)支持、安全、軟件版本更新等一系列問題，而后續(xù)的應(yīng)用和數(shù)據(jù)遷移也會給企業(yè)帶來很大風(fēng)險。

由此可見，對云服務(wù)提供商進(jìn)行風(fēng)險評估至關(guān)重要。在實際的云評估中，一些針對云服務(wù)提供商的重要安全認(rèn)證，也是企業(yè)評估其安全風(fēng)險的重要參考。上圖是企業(yè)需要重點關(guān)注的安全認(rèn)證，相較于全球認(rèn)證，中國企業(yè)為了滿足法律與合規(guī)要求，更應(yīng)該關(guān)注那些中國本土的認(rèn)證，例如“等保三級”是合格“云服務(wù)商”的基礎(chǔ)門檻。

高峰指出：這些認(rèn)證有些只有通過和失敗之分，并沒有指定安全級別，而有些認(rèn)證通常會提供針對云服務(wù)提供商的詳細(xì)書面報告，包括對其優(yōu)、缺點的具體評論，企業(yè)可以向云服務(wù)提供商索要這些評估結(jié)果，以便進(jìn)行更詳細(xì)的風(fēng)險評估。當(dāng)然，找專業(yè)的咨詢公司和評估機構(gòu)進(jìn)行風(fēng)險評估更為可靠。