作者 | 馬超

來(lái)源 | CSDN（ID：CSDNnews）

近日，全球安全事件頻發(fā)，先是推特驚爆史詩(shī)級(jí)漏洞，黑客對(duì)推特進(jìn)行比特幣釣魚騙局，獲取了對(duì)包括美國(guó)前總統(tǒng)奧巴馬、鋼鐵俠埃隆·馬斯克、和世界首富比爾·蓋茨推特賬戶的訪問權(quán)限。

在7月16日的315晚會(huì)上，曝光了55款A(yù)pp盜竊用戶個(gè)人隱私的問題。這些問題僅是近幾年信息安全領(lǐng)域的一個(gè)縮影。

根據(jù)卡巴斯基《2020年第一季度的DDoS攻擊報(bào)告》的數(shù)據(jù)顯示，2020年第一季度與2019年第一季度相比，DDoS攻擊次數(shù)增加了80％。特別是教育和行政Web資源，由于疫情原因，與2019年相比增加了兩倍的攻擊數(shù)量。DDoS攻擊會(huì)對(duì)企業(yè)系統(tǒng)和應(yīng)用造成不可用性的嚴(yán)重性后果。

云端安全引起廣泛關(guān)注。前不久，Gartner發(fā)布了《Solution Comparison for the Native Security Capabilities》報(bào)告，Gartner首次全面評(píng)估了亞馬遜、微軟、阿里云、谷歌、IBM和Oracle全球六大云廠商安全能力，看點(diǎn)頗多，下面筆者帶大家解剖下。

上云要快，更要安全

?

自2006年“云計(jì)算”概念誕生以來(lái)，企業(yè)上云浪潮席卷全球。由于企業(yè)上云后可靈活使用資源，擴(kuò)展靈活易管理的業(yè)務(wù)模式，可提高資源配置效率，降低信息化建設(shè)成本。業(yè)界有說(shuō)法是“系統(tǒng)上云后，硬件投入成本減少近2/3”。

于此同時(shí)，網(wǎng)絡(luò)安全事件也如幽靈般不斷為人們敲響警鐘，在Verizon《2020 數(shù)據(jù)泄露調(diào)查報(bào)告》中顯示，對(duì)Web應(yīng)用程序的攻擊占泄露總數(shù)的43％，是2019年的兩倍多。研究人員表示這是由于企業(yè)更多的工作流轉(zhuǎn)移到云服務(wù)上，而一旦黑客發(fā)現(xiàn)了云服務(wù)商的安全漏洞，那么其攻擊范圍與破壞程度都將較未上云時(shí)成倍的擴(kuò)大。所以用戶不僅要上云，更需要選擇安全的上云路徑，這也對(duì)云廠商的安全能力提出更高的要求。

為應(yīng)對(duì)日益高漲的云安全需求，2009年國(guó)際云安全聯(lián)盟（CSA）成立，后來(lái)CSA發(fā)布的《云安全指南》成為云計(jì)算領(lǐng)域最權(quán)威的安全指南。目前云安全技術(shù)日臻成熟，除了微軟、亞馬遜等云服務(wù)商以外，國(guó)外還涌現(xiàn)出一批云安全初創(chuàng)公司，可以說(shuō)Gartner此次對(duì)于全球云廠商的安全能力進(jìn)行全面評(píng)估，其報(bào)告的出爐是恰逢其時(shí)。

?

云安全哪家強(qiáng)？

?

云安全技術(shù)愈發(fā)重要，不過目前業(yè)界并沒有相應(yīng)評(píng)估的標(biāo)準(zhǔn)，而本次Gartner報(bào)告可謂填補(bǔ)了業(yè)內(nèi)安全評(píng)估標(biāo)準(zhǔn)的空白。報(bào)告分別從基礎(chǔ)設(shè)施安全、云治理和合規(guī)、網(wǎng)絡(luò)安全、應(yīng)用和容器安全、數(shù)據(jù)安全、日志和預(yù)警、應(yīng)用和工作負(fù)載保護(hù)七大模塊共24項(xiàng)能力維度進(jìn)行了測(cè)評(píng)，作為本次評(píng)估的前兩名微軟和阿里，在各項(xiàng)安全技術(shù)能力各方面的得分均較為均衡，在七大能力模塊中均獲得了High的評(píng)價(jià)；而其他四大廠商的安全能力則相對(duì)較為集中，亞馬遜集中在云治理與合規(guī)能力上，谷歌云集中在應(yīng)用與容器安全上；IBM集中在應(yīng)用與容器安全、數(shù)據(jù)安全兩大模塊表現(xiàn)優(yōu)異，其他模塊則基本沒有拿到High評(píng)價(jià)；Oracle在本次評(píng)估中得分靠后在安全方面的提升點(diǎn)還有很多。

數(shù)據(jù)加密都很強(qiáng)：值得關(guān)注的一點(diǎn)是，在24項(xiàng)細(xì)分安全能力上，六家云廠商均在“數(shù)據(jù)加密”方面均得到了High級(jí)別的評(píng)分。

筆者認(rèn)為出現(xiàn)這樣的情況，一是因?yàn)閿?shù)據(jù)安全是所有企業(yè)上云時(shí)，都會(huì)首要考慮的問題，這也就倒逼云服務(wù)商在數(shù)據(jù)安全方面都做了足夠多的努力；

二是數(shù)據(jù)安全是各云服務(wù)商的生命線，確保數(shù)據(jù)在服務(wù)端加密存儲(chǔ)，并將數(shù)據(jù)加密控制權(quán)給到用戶，是云計(jì)算最基本的服務(wù)要求，而在數(shù)據(jù)安全方面齊刷刷的高分，也說(shuō)明了用戶選擇云，就能確保自身的“數(shù)據(jù)加密”水平得到快速的提升。

可信執(zhí)行環(huán)境亮點(diǎn)：除了云廠商已經(jīng)具備了完備的數(shù)據(jù)加密能力之外，從報(bào)告中看到，企業(yè)上云還能享受到的一大好處是基于硬件的數(shù)據(jù)安全能力。

傳統(tǒng)的數(shù)據(jù)安全產(chǎn)品大多基于軟件實(shí)現(xiàn)的，阿里云、微軟、IBM三家都已經(jīng)為客戶提供了“可信執(zhí)行環(huán)境”，這是一個(gè)基于處理器硬件保護(hù)的解決方案，通過軟、硬件結(jié)合的方式防止數(shù)據(jù)運(yùn)行時(shí)泄露的發(fā)生。云廠商具備的計(jì)算資源規(guī)模優(yōu)勢(shì)等先天條件，使得其可以借助加密計(jì)算等多種前沿技術(shù)來(lái)保證用戶數(shù)據(jù)安全，以增強(qiáng)企業(yè)上云的安全性。

免費(fèi)DDoS防護(hù)很貼心：筆者在自建了個(gè)人博客網(wǎng)站之前，都會(huì)時(shí)常收到DDoS攻擊威脅郵件，DDoS是初創(chuàng)互聯(lián)網(wǎng)公司最為頭疼的攻擊手段。在這方面各大云廠商也都非常重視，基本都有從基礎(chǔ)防御到高級(jí)防御的整套安全防護(hù)產(chǎn)品，這里尤其值得一提的是，微軟和阿里云均提供了免費(fèi)的DDoS基本防護(hù)服務(wù)，充分考慮了對(duì)DDoS防護(hù)的差異化需求，還是非常貼心的。

?

云安全勢(shì)不可擋

?

據(jù)筆者觀察，傳統(tǒng)安全手段已經(jīng)漸漸落伍，無(wú)法再應(yīng)對(duì)目前的安全環(huán)境。這主要是因?yàn)閭鹘y(tǒng)安全遇到以下三大挑戰(zhàn)：

成本高昂、重復(fù)造輪子：傳統(tǒng)安全方案里，企業(yè)需要采購(gòu)幾十甚至上百個(gè)安全產(chǎn)品才能初步建立企業(yè)安全體系，成本高昂不說(shuō)，對(duì)于安全體系來(lái)說(shuō)，這是一種重復(fù)建設(shè)的浪費(fèi)。

傳統(tǒng)安全模型是游離在IT體系之外的外掛式安全：企業(yè)在使用網(wǎng)絡(luò)、存儲(chǔ)、數(shù)據(jù)庫(kù)等IT基礎(chǔ)設(shè)施時(shí)，往往采購(gòu)自不同的廠商，安全產(chǎn)品有不同的品牌。于是只能在基礎(chǔ)設(shè)施外部署相關(guān)的安全產(chǎn)品，做“外掛式的安全”。如何能讓安全產(chǎn)品與產(chǎn)品間，安全產(chǎn)品與基礎(chǔ)設(shè)施間做更好地聯(lián)動(dòng)？這對(duì)于傳統(tǒng)安全廠商來(lái)說(shuō)，是個(gè)較大的挑戰(zhàn)。

傳統(tǒng)安全產(chǎn)品使用門檻較高：這讓安全產(chǎn)品成了“奢侈品”。企業(yè)光購(gòu)買安全產(chǎn)品沒有用，必須還得有專門的安全人員來(lái)使用才能真正發(fā)揮效果，于是線下安全廠商大多采用產(chǎn)品加服務(wù)的銷售方式進(jìn)行，由于無(wú)法構(gòu)成相對(duì)聯(lián)動(dòng)的體系，導(dǎo)致企業(yè)需要招聘很多安全專業(yè)人員來(lái)專門運(yùn)營(yíng)，成本增大，導(dǎo)致大多數(shù)企業(yè)沒有足夠的專業(yè)安全人員來(lái)運(yùn)營(yíng)。

在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，IT基礎(chǔ)設(shè)施和應(yīng)用逐漸上云，安全也隨之往云化發(fā)展，由于在云上虛擬化環(huán)境，業(yè)務(wù)的流量更復(fù)雜，因此云防護(hù)的方式將更多元化、復(fù)雜化。云改變企業(yè)的底層基礎(chǔ)設(shè)施架構(gòu)，傳統(tǒng)安全架構(gòu)不再適用于云上，云安全將重新定義企業(yè)的安全架構(gòu)，從新的架構(gòu)上將解決傳統(tǒng)條件下無(wú)法解決的安全問題，云原生與云安全結(jié)合將改變企業(yè)下一代安全架構(gòu)。

?

云原生重新定義安全

?

根據(jù)O'ReillyMedia和Dynatrace的研究表示，預(yù)計(jì)到2021年，92%的企業(yè)將實(shí)現(xiàn)云原生，相信云原生安全將是安全領(lǐng)域未來(lái)的發(fā)展方向。

在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，其基礎(chǔ)設(shè)施技術(shù)架構(gòu)將會(huì)隨之云化，原來(lái)企業(yè)架構(gòu)是簡(jiǎn)單的單點(diǎn)系統(tǒng)架構(gòu)，而如今均發(fā)展為分布式架構(gòu)，底座是基于云的底層技術(shù)。由于企業(yè)底層架構(gòu)技術(shù)采用了云原生技術(shù)，架設(shè)底層架構(gòu)之上的安全技術(shù)架構(gòu)也將云原生化。

基于云原生安全能力構(gòu)建的下一代安全架構(gòu)可以實(shí)現(xiàn)云的基礎(chǔ)設(shè)施與安全能力的打通，解決原來(lái)傳統(tǒng)安全體系成本高昂的困境，同時(shí)云原生與IT基礎(chǔ)設(shè)施的結(jié)合也更為緊密。緊耦合的原生安全，從而做到安全管理、安全風(fēng)險(xiǎn)的持續(xù)化監(jiān)控，用一個(gè)控制臺(tái)實(shí)現(xiàn)對(duì)所有資產(chǎn)的全方面安全管理。同時(shí)，由于云上的全網(wǎng)威脅情報(bào)聯(lián)動(dòng)，可以做到針對(duì)安全風(fēng)險(xiǎn)做全網(wǎng)的自動(dòng)化響應(yīng)，由傳統(tǒng)的小時(shí)級(jí)降低到分鐘級(jí)，大大降低安全事件給企業(yè)帶來(lái)的損失。

如今云安全已逐漸成為行業(yè)共識(shí)，國(guó)內(nèi)云廠商聯(lián)動(dòng)起來(lái)，共同打造云安全生態(tài)已成為未來(lái)行業(yè)的發(fā)展趨勢(shì)。伴隨新基建政策，全球數(shù)字化轉(zhuǎn)型等趨勢(shì)，5G、人工智能、云計(jì)算、大數(shù)據(jù)等技術(shù)的快速發(fā)展，各行業(yè)對(duì)云安全需求的持續(xù)增長(zhǎng)，相信云安全行業(yè)的未來(lái)大有可為。

更多閱讀推薦

• Golang 混合寫屏障原理深入剖析，這篇文章給你梳理的明明白白！！！
  

• 重大事故！線上系統(tǒng)頻繁卡死，兇手竟然是 Full GC ？
  

• 架構(gòu)師們，怎么走著走著就變“煙囪”了呢？| 文末含福利
  

• Dubbo to Mesh 云原生架構(gòu)改造方案解析
  

• 用 Python 可以實(shí)現(xiàn)側(cè)臉轉(zhuǎn)正臉？我也要試一下！
  

總結(jié)

以上是生活随笔為你收集整理的推特惊爆史诗级漏洞，App 恶意窃取用户隐私，云端安全路向何方？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。