云安全的新戰(zhàn)場上，如何打破“云威脅”的陰霾？

科技云報道原創(chuàng)。

近年來，在云計算和網(wǎng)絡安全產(chǎn)業(yè)的蓬勃發(fā)展下，我國云安全行業(yè)市場規(guī)模呈現(xiàn)高速增長態(tài)勢，在網(wǎng)絡安全市場總體規(guī)模中占比不斷上升。

據(jù)統(tǒng)計，近5年我國云安全市場保持高速增長，2021年我國云安全市場規(guī)模達到了117.7億元，2022年行業(yè)整體規(guī)模達到173.3億元，2023年市場規(guī)模將達到330億元人民幣，由此可見我國云安全市場規(guī)模蘊含著巨大潛力。

然而，云安全市場規(guī)模擴大的同時，也正面臨著挑戰(zhàn)，尤其是高度利用云計算技術，將重要業(yè)務遷移到云端的企業(yè)，正面臨例如數(shù)據(jù)泄露、隱私泄露、服務中斷、設備管理等一系列問題。

這些問題如果不得到解決可能會引發(fā)嚴重的隱私侵犯問題，影響企業(yè)用戶的信任和安全感，再加上如果系統(tǒng)遭受攻擊從而將引發(fā)業(yè)務中斷，會導致服務不可用，影響用戶體驗和業(yè)務連續(xù)性，企業(yè)聲譽受到嚴重影響，甚至可能導致企業(yè)面臨財務損失。

在此背景下，為企業(yè)提供云安全保障，確保云服務的安全性、穩(wěn)定性和可用性，保護云環(huán)境中的數(shù)據(jù)、應用程序和基礎設施，發(fā)揮預防潛在威脅和攻擊的作用正變得越來越重要。

新技術帶來新風險

虛擬機、容器、服務網(wǎng)格、多集群間通信、多云和混合云、Serverless等新技術不斷涌現(xiàn)，對安全邊界提出了越來越多的要求。

2014年流行起來的容器技術算是跨時代的變革，它與Kubernetes等技術共同助力企業(yè)實現(xiàn)了應用程序部署等諸多方面的自動化，但同時也帶來了新的安全挑戰(zhàn)。

綜合來看，安全挑戰(zhàn)主要包括四個方面。

首先容器更新迭代非?？欤瑐鹘y(tǒng)的保護方式已經(jīng)不適用于容器環(huán)境；第二是軟件生產(chǎn)的流程自動化，容器開發(fā)階段每天可達上千次的軟件發(fā)布依賴整套CI/CD自動化流程控制；三是越來越多的企業(yè)開始在跨云多云環(huán)境部署容器；四是容器將單一的應用變成了成百上千的微服務，導致服務內(nèi)部通信爆發(fā)式的增長。

Kubernetes采用虛擬化技術，數(shù)據(jù)、網(wǎng)絡、計算等層面的全部虛擬化對于應用程序開發(fā)者來講非常實用。

然而，這卻讓運維安全人員無法了解容器的運行狀況，即虛擬化技術本身對安全管控形成了一定的屏障，這無疑升級了安全挑戰(zhàn)。

使用“零信任”升級傳統(tǒng)安全

隨著“云大移物智”技術發(fā)展和產(chǎn)業(yè)數(shù)字化轉型，傳統(tǒng)安全防御理念的“邊界”概念逐漸模糊，傳統(tǒng)安全防御模型也越來越不足以應對威脅。

越來越多來自企業(yè)“可信”內(nèi)部人員與設備的威脅和APT攻擊讓企業(yè)“內(nèi)網(wǎng)”也充滿風險，傳統(tǒng)靜態(tài)的“隱式信任”模型急需重構革新。零信任理念在這樣的背景下產(chǎn)生。

2004年成立的耶利哥論壇（Jericho forum）為了定義無邊界趨勢下的網(wǎng)絡安全問題并尋求解決方案，提出要限制基于網(wǎng)絡位置的隱式信任，并且不依賴于靜態(tài)防御，這就是零信任最早提出的雛形。

2010年，國際著名研究機構Forrester的首席分析師John Kindervag首次提出了零信任安全的概念，他總結了傳統(tǒng)網(wǎng)絡架構中隱含式信任（比如根據(jù)IP地址等來賦予信任權等）的潛在風險，認為安全會跟隨服務模式變化，在去邊界化的時代基于“零信任”原則來演進。

其包含三個原則：不應該區(qū)分網(wǎng)絡位置、所有的訪問控制都應該是最小權限且嚴格限制、所有的訪問都應當被記錄和跟蹤。

在這之后，Google花了6年時間逐步完成BeyondCorp零信任架構的遷移工作，其目標是摒棄對企業(yè)特權網(wǎng)絡（內(nèi)網(wǎng)）的依賴并開創(chuàng)一種全新安全訪問模式，員工在訪問企業(yè)內(nèi)部IT設備、應用數(shù)據(jù)等資源時只依賴于受控設備和用戶身份憑證，而與用戶所處的網(wǎng)絡位置無關。

BeyondCorp零信任架構的成功實踐，為國內(nèi)外各大廠商推進零信任架構的優(yōu)化與產(chǎn)品研發(fā)增加了動力，“去邊界化”和“以身份為中心”的零信任架構持續(xù)演進。

2020年全球暴發(fā)的新冠疫情，更是為隨時隨地遠程安全訪問的業(yè)務需求打了興奮劑，Google、Microsoft、騰訊及阿里等業(yè)界巨頭率先在企業(yè)內(nèi)部實踐零信任并推出完整解決方案，促進了零信任標準和實踐的進一步完善。

2021年底，“核彈級”的Log4j漏洞爆發(fā)，大量企業(yè)被波及。Log4j就好像是洋蔥芯中的bug，因為它被層層包裹、嵌入在其他軟件包中，很難被常見的掃描方法識別到。

因此，首先要從源頭進行有效的掃描和控制CVE安全漏洞；而對于無法下線進行修復的應用程序，零信任安全則是最有效的保護方法。

像Log4j這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增，但傳統(tǒng)安全工具在云環(huán)境很難提供全面的保護。

此外，隨著公有云的快速發(fā)展，業(yè)界對安全界限的認識也出現(xiàn)了分歧。很多企業(yè)認為，公有云的安全應該完全交給供公有云廠商，但事實并非如此。應用程序級別的安全必須由各個企業(yè)用戶自己負責。

這意味著，面對越來越多未知的安全風險，企業(yè)的安全防護要從被動式的安全逐漸過渡到主動式安全。

主動安全是一個新的概念，無論處于云原生化的哪一個階段，企業(yè)都可以采取較為主動的零信任安全功能來提高效率。零信任安全并不需要推翻一切從零開始，企業(yè)可以循序漸進地進行部署。

傳統(tǒng)安全能夠堵住已知的安全漏洞，而零信任安全能夠防范未知的安全風險，傳統(tǒng)安全與零信任安全的疊加使用可以幫助企業(yè)實現(xiàn)多層防護。

同時，考慮到大部分企業(yè)已經(jīng)在傳統(tǒng)安全上投入了大量資源和金錢，根據(jù)企業(yè)的實際情況選擇最有效的方面開始針對性部署零信任安全也是最經(jīng)濟的方式。

云原生零信任安全的實施可以劃分成四個階段：用戶和可視化；設備、網(wǎng)絡和環(huán)境；應用程序、服務和編排管理；數(shù)據(jù)、自動化和合規(guī)檢查。企業(yè)無需推翻所有的安全投資和配置，可以從某一個單點開始介入和部署，逐步深化。

云安全正在浮現(xiàn)的新趨勢

人工智能和機器學習模型由于其復雜性，在某些情況下會出現(xiàn)不可預測的行為，從而引入意想不到的漏洞。

隨著人工智能的普及，“黑匣子”問題變得更加嚴重。隨著人工智能工具變得越來越可用，用途的多樣性和潛在的誤用也在增加，從而擴大了可能的攻擊媒介和安全威脅。

然而，人工智能是一把雙刃劍，在帶來潛在威脅的同時，人們可以利用人工只能讓云安全防護變得更加高效。

如果將人工智能和機器學習集成到云安全中，這些技術將通過自動化和增強各種安全流程來徹底改變該領域。

人工智能和機器學習可以以前所未有的速度分析大量數(shù)據(jù)，識別可能被忽視的潛在威脅和異常。這種主動的安全方法允許早期發(fā)現(xiàn)和減輕風險，顯著改善云環(huán)境的整體安全狀況。

其次，安全即服務(SECaaS)的趨勢也愈加明顯。隨著企業(yè)越來越多地將其運營遷移到云端，對全面、可擴展且經(jīng)濟高效的安全解決方案的需求不斷增加。

SECaaS提供商通過提供一系列安全服務來滿足這一需求，從威脅情報和入侵檢測到數(shù)據(jù)丟失防護和加密，所有這些服務都通過云交付。這種模式不僅降低了安全管理的復雜性和成本，還確保企業(yè)能夠獲得最新的安全技術和專業(yè)知識。

另一個值得關注的趨勢是云安全中對隱私和合規(guī)性的日益重視。隨著數(shù)據(jù)泄露和隱私侵犯成為頭條新聞，監(jiān)管機構實施更嚴格的數(shù)據(jù)保護標準，企業(yè)面臨著確保其云環(huán)境符合各種法規(guī)的壓力。

為此，云安全提供商正在開發(fā)復雜的工具和框架，幫助企業(yè)管理其合規(guī)義務、保護敏感數(shù)據(jù)并維持客戶信任。

未來，云安全將以先進技術、創(chuàng)新服務模式以及對隱私和合規(guī)性的重新關注為特征。

隨著這些趨勢的不斷發(fā)展，企業(yè)必須跟上最新發(fā)展并利用這些創(chuàng)新來增強其云安全策略。畢竟，在數(shù)據(jù)成為新石油的時代，保護數(shù)據(jù)不僅是必需品，而且是戰(zhàn)略要務。

生成海報

免責聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關。文章僅供讀者參考，并請自行核實相關內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。