一、云安全背景

Gartner:云安全在中国的最佳实践-RadeBit瑞安全

从上图Gartner的2022年CIO技术执行官问卷调查结果显示:2022年有52%的企业会增加云投入,相对来说有32%的企业会减少传统基础架构和数据中心的投入。在网络和信息安全方面有46%的企业会增加投入。由此可见,大部分中国企业在2022年应该会对“云安全”增加投入。云和“安全”在企业增加投入的选项中,分别排名“第三”和“第四”。可见企业对这两方面的重视程度。

在《Gartner中国云基础设施和平台服务市场指南》这篇研究报告中,Gartner也做过一些预测:2024年中国将近40%的最终用户在系统的基础设施和基础设施的软件上支出将会转到“云服务”上。随着这一重大改变,可以预测“云安全”也会成为中国安全和风险管理领导者最关键的任务之一。

二、云安全面临的挑战与解决方案

针对如何做好“云安全”,目前企业主要面临以下三个挑战:

1、对云安全责任分担模型的理解和相关的一些技能缺失。在“云安全”中,云安全责任跟传统的安全很大不同。理解“云安全”和“云安全”提供商的安全责任分工,是“云安全”成功的一个必要条件。云安全所需要的技能和传统的以边界为保护的安全也有很大不同。企业相对能力的缺失,使得云安全成功实施也受到很大的挑战。

2、在“云安全”技术选择和运用上,企业也面临着很多的困难。针对云的部署模式,企业现有的一些安全工具可能需要做一些更新。没有一个“云服务”提供商或者安全厂商能提供企业所需的所有安全能力。有些国际厂商在中国面临落地困难,所以许多企业还面临着“云安全技术”选择和运用的挑战。

3、缺少对“云服务商”持续的评估。发现中国企业上云很少会系统性的对云服务提供商做一些风险评估,不同的云服务提供商有着不同的风险,而风险也并不是一成不变的,所以缺少持续的风险评估会让企业云上的资产面临一定的威胁。

Gartner针对这三个挑战,提供了三个行动建议:

1、明确企业和云服务提供商的安全责任范围,建立“云安全”所需的能力。云安全是基于“责任公摊”的概念,所以安全责任因云的部署模式也有所不同。通过充分利用云内置的安全功能和高度自动化,企业可显著减少配置错误和管理不善的问题,这样做还可以减少攻击面,并改善云的安全状况。基于云的基础设施平台和服务,可比企业的数据中心更加安全。除此之外客户还需要建立相应的技能,引入云安全工程师和云安全架构师保障企业自身业务的云上安全。

2、优先选择云服务提供商原生云安全工具,利用第三方和开源工具作为补充去实施云安全控制。企业去做的是要优先选择云服务提供商的云安全原生工具,利用第三方或者是开源工具作为补充来去实施安全控制。可以利用一些云保护安全工具,例如:CWPP(云工作负载保护平台)、CSPM(云安全态势管理)、CNAPP(云原生应用保护平台)等。

3、对云服务提供商进行持续的风险评估。市面上有许多方法可供使用,并且他们所需投入和带来的价值也不同。同时在“云评估”当中,比较重要的一点,就是看云服务提供商是否通过一些比较重要的认证,通常是用于评估“云运营服务商”的安全性。

相信以上这些建议,能让客户了解到:怎么样去在中国实施云安全,同时可以让企业云上资产得到更好的保护。

记者问答

RadeBit瑞安全记者:许多中国的政企单位大多采用混合云与私有云的方式部署自身平台与业务系统。那么,对于自身系统安全风险Gartner有何建议?

Gartner高级分析总监 高峰:“混合部署”其实也是可以适用我们这些建议的,因为混合部署其实也是会涉及到公有云。但是混合部署就像之前交流中所说,如果企业已有数据中心,客户肯定要考虑安全工具和现有的安全工具,还有流程集成的问题,并建议客户能够选择一些跨平台、跨云的一些工具。私有云的情况比较特殊,因为运营模式比较多样化。私有云可以组织管理自己的所有设备设施,您也可以把所有的责任外包,包括:基础设施安全等等统统外包给供应商去做也是可以的,或者是您建造私有云是为了成为云服务提供商。很多云服务提供商其实本身也是搭建私有云,它去提供、然后出售自己的服务。不同的情况,安全责任其实会有所不同的。总之,您可以套用三个建议去建设云安全。当然,这个对象会根据私有云的建设和运维模式不同而有所不同。比如:如果组织引入了供应商去建设和运维私有云基础架构平台,企业可能就是三点、就是可能说是一定要明确企业和私有云服务提供商的安全责任,并且企业也要建立有安全架构师,包括:安全工程师去监督或者是去实施一部分的控制。您也可以优先选用私有云技术提供商的原生基础能力工具,因为很多私有云的技术、它也是有一些很多的安全能力的,然后您在考虑使用第三方的一些开源工具或者来做一些补充。然后,您可能要更加持续评估私有云技术提供商的风险。

 

RadeBit瑞安全记者:越来越多的企业将在生产中使用云原生的容器化应用。那么,云原生与容器安全的评估与保障上Gartner有何建议?

Gartner高级分析总监 高峰:云厂商的平台安全,我们可以通过之前的一些方式来进行评估。“云原生”和“容器”的一些安全,是整个云厂商提供服务中的一部分。云原生的应用程序主要是基于微服务,包括:现在比较常用的一些容器。它们的防护方式,可能和传统的一些安全方式不同。因为它们有着很多云上特有的特点,比如:资源的生命周期非常短。我们通常对于容器的防护来说,我们不会对容器去做任何的补丁或者更改配置。如果一个容器发生了问题,正确的做法是应该下线,然后重新去部署一个新的容器,这跟传统线下的服务器出现问题我上去做一些配置的修改、打补丁,这个有很大的不同。所以我们觉得容器和云原生应用的安全,更加要集成到全生命周期的保护,要跟您企业的开发做集成,例如DevSecOps,做一个全流程的保护,来实施一种集成的安全方法去覆盖云原生的整个生命周期。从开发到部署,然后到生产、全都是要覆盖,将安全性要集成到开发人员的工具链中,他在开发的同时就不断的在扫描它的代码。我们要保护开发人员工具的安全、环境安全,然后他在编译代码、写代码的时候就可以检查代码的一些安全性,编译之后我们会去自动扫描、包括上线前的黑盒、白盒、灰盒测试,部署上云之后我们要监控运行中的一些安全,发现一些问题要回到流程去再去进行开发和代码上的更改,这么一个完整的生命周期。还有我们要承认:没有完美的应用程序。所以开发人员要尽量把精力集中到研究性最高的一些问题,比如:确定性最高的一些漏洞上。我们要全面扫描开发使用的工具和工件,还有云的配置,要在运行的时候确保它的可视化和对配置安全意识,包括:开发人员安全意识培训。这方面都是非常重要的。我们觉得云原生和容器方面的安全,更多是应用全生命周期的保护,而不仅仅是说:而我们以前的传统安全比较多的,就是主要在生产中保护。包括:在上线或者做一些渗透测试这样的。