企业上云 | 孙要辉:云安全发展趋势与能力评估

2019年12月12日,由中国电子工业技术标准化协会信息技术服务分会(ITSS)主办,ITSS分会媒体组、B.P商业伙伴承办,国家工业信息安全发展研究中心、中国电子技术标准化研究院、工业和信息化部计算机与微电子发展研究中心、中国开源云联盟协办的“云贯九州 智领未来”2019全国百万企业上云年会暨云生态峰会在北京隆重召开。国家工业信息安全发展研究中心技术总监孙要辉发表了“云安全发展趋势与能力评估”主题演讲。以下为演讲实录:

企业上云 | 孙要辉:云安全发展趋势与能力评估

▲国家工业信息安全发展研究中心技术总监 孙要辉

1

国内云安全市场现状及发展趋势

对云安全的理解

对云安全的理解,中科院工程院士方滨兴这样定义:云安全是在云计算平台的硬件、代码、数据和应用4个层面,围绕着数据的获取、传输、处理、利用4个核心功能,既要应对计算系统及其所承载的数据自身所受到的攻击,也要应对围绕云计算系统相关活动而衍生出的波及云计算系统外部或其他领域所形成的安全问题。

国内云安全市场情况

国内云市场呈爆发式增长之势。2018年中国云安全市场总体规模为44.3亿元,同比增长41.8%。随着云计算产业的快速发展,云安全成为服务商和用户关注的焦点。尽管中国云安全市场目前仍处于起步阶段,但市场份额增长迅速,市场对于云安全产品的需求呈现爆发式增长态势。预计2019年,中国云安全产品市场规模将超过60亿元,同比增长45.9%。

企业上云 | 孙要辉:云安全发展趋势与能力评估

国内国内云安全市场以行业用户需求为主。云安全市场总体结构保持稳定,以行业用户需求为主,主要集中在政府、金融、电信等重点行业领域。此外,教育、能源、交通也是云安全产品的重点领域。

企业上云 | 孙要辉:云安全发展趋势与能力评估

云安全发展的趋势

云安全访问代理成为SaaS应用安全防护的主要选择之一。云安全访问代理是一种本地或基于云的安全策略执行点,位于云服务消费者和云服务提供商之间,在云中资源被访问时,组合并执行企业的安全策略。凭借自身的安全防护特点来确保网络的访问安全,能够在很大程度上缓解企业用户使用SaaS带来的风险。人工智能技术将会运用在云安全防护中。与传统的IT架构不同,分散的边界、主机防护理念在云当中不完全适用,弹性网络中大量的东西向、南北向流量,以及数据和应用的大规模集中,使得云成为深度复杂的系统。随着人工智能持续发展,人工智能等新技术的大数据安全平台将会在更多的云中部署,与遍布在云中的传感器协同,一刻不停地收集、分析数据并感知其中的威胁,并最终进行针对性的防护处理。

云安全管理更加注重可视化和联动。大规模的云数据中心需要云安全管理产品更加注重安全状态的细粒度的、可视化的呈现以及策略快速部署能力,进而对不同安全厂商产品之间的联动 提出更高需求。

云安全产品向产业化发展进程加快。云安全作为云服务产业发展的支撑环节,随着 云计算的布局持续加速发展。在云计算中,多数IaaS服务提供商往往只能提 供标准化的安全方案,不能完全满足企业用户的安全需求,而第三方厂商却 能够针对一些特定行业用户,提供完整的、适配性较强的安全解决方案。

云安全市场情况

国内云安全市场主要由云的供应商和安全厂商组成。当前云安全市场主要由云计算的提供商以及安全厂商组成,相对安全厂商,更多云计算运营商提供免费的云安全服务。目前云安全服务市场有两个大的方向,一个是云计算运营商各自为营,自行提供云安全服务,或者和少量安全厂商合作;另一个是云计算运营商将自己作为一个平台,开放给所有的安全服务提供商。云计算领域安全威胁加剧,云安全保障迫在眉睫。云计算除了给企业用户带来IT效率提升之外,也产生了新的安全威胁,例如近两年国内的云厂商安全大事件层出不穷,用户数据惨遭泄露甚至删除,简直触目惊心。根据Cyber security 2019年的云安全报告统计,过去的12个月中,28% 被调查的组织确认他们遇到了云安全事件。在这些云安全事件中,数据泄露(27%)位居榜首,其次是恶意软件感染(20%)和帐户受损(19%)。

2

云安全技术框架及能力评估体系

云安全问题的四个层面:

根据现有情况,我们基于服务层、虚拟层、租户层、硬件层四个方面考虑设计云安全技术框架和能力评估体系。

服务层。提供安全可信的服务:应该对信息系统在应用过程中的安全问题引入安全机制。比如WEB防护,漏洞管理,网页防篡改等。  

虚拟层。提供可信的弹性资源:弹性云服务器内部署主机安全产品,提供主机入侵防御(HIDS)等功能保障弹性云服务器的安全性。租户层。提供统一身份认证服务(IAM):平台需要对不同租户的应用/服务/资源实现隔离保护,实现对多租户场景的支持,同时,云平台提供安全管理机制对租户的隔离区进行访问控制。  
硬件层。提供可靠的设施:设施可能会概率失效,需要通过冗余灾备手段来降低潜在的损失。云平台安全能力评估:

CSA列出的十二大云安全威胁包括:数据泄露、凭证被盗和身份验证如同虚设、界面和API被黑、系统漏洞利用、账户劫持、恶意内部人士、高级持续性威胁(APT)、永久的数据丢失、调查不足、云服务滥用、拒绝服务攻击(DoS)、共享技术共享危险。归纳起来可以分为安全技术、安全管理、安全运营、安全合规几个层面。

所以,我们的云平安全能力评估从以下几个方面进行:安全技术会从数据安全、应用安全、主机安全、虚拟化安全、网络安全、物理安全这六个方面的安全着手去做;安全管理要做到六方面,风险管理、运维管理、事件管理、策略管理、权限管理、制度管理;安全运营要从自服务、监控、自动化、计费、审计、应急响应等方面考虑;等保2.0刚推出云计算安全技术设计框架,很多云厂商在这方面都没有做,所以我们的云安全技术框架设计把2.0的东西也考虑进去了。

总结一下,国家工业信息安全发展研究中作为云服务能力评估的核心单位,负责全国范围内的IaaS和SaaS的云服务测评工作,同时也可以承接全国范围内的等保业务,欢迎大家与我们沟通联系。

原创文章,作者:admin,如若转载,请注明出处:https://www.itssmedia.cn/2020/01/1765/

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息