RSAC2019 终极之问:云安全的想象空间有多大?
基于RSA和国内目前都比较关注云安全,我们也想针对于云安全的市场空间来进行探讨,云安全的国内市场想象空间有多大?
先厘清一下什么是云安全。
如果你是用云的客户,其实对云安全的理解很简单:一、云平台要是安全的;二、我的东西放在云上要是安全的。
但其实云安全是一个非常具有想象空间的概念。在首个提供云服务的亚马逊眼里,云计算的本质是一套面向全球的互联网操作系统;后来者微软的野心更大,用Azure来命名公有云。Azure本身在英文中为“蓝天”的意思,也就是说微软Azure公有云的本意是为全世界做一个“虚拟” 操作系统,如果把全世界的计算设备都连在一起形成一台虚拟计算机的话,它的操作系统就是Azure。在这样的语境下,云安全的含义自然十分庞大,理解为世界的安全似乎也不过分。
但这毕竟是两大巨头对未来美好图景的畅想。现行通用的云安全定义用腾讯安全联合实验室在知乎平台上给出的解释比较吻合:一种是云计算安全,主要是对云自身的安全保护,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等;另一种安全云计算,通过使用云的形式提供和交付安全,即通过采用云计算技术来提升安全系统的服务性能,如基于云计算的防病毒技术、挂马检测技术等。
具体到实际场景,云的安全则包括安全合规管理、基础设施安全、网络边界安全、系统安全、应用安全、数据安全、身份与访问安全以及业务安全八大领域。
上云是否安全?上云不安全是“幸存者偏差”
自云诞生以来,就在重构互联网,这种重新部署企业IT的方式吸引了大量关注,但是倘若爆发安全事件,“云不安全”也将更容易被整个互联网所铭记。这里引入统计学中的“幸存者偏差”概念——云不安全的认知达成是经过筛选的,比如Uber5700万用户数据和NSA超100GB的数据在云上泄露。但没有上云的数据泄露事件同样是数不胜数——仅仅是酒店行业就有希尔顿、华柱、万豪酒店……接连中招。
理性看待云上爆发的数据安全事件,要认识到无论上云与否都阻止不了黑客对数据的攫取欲望。如果企业有足够的成本支持,自建所有的数据中心存放数据当然是最安心的选择。当然这也要建立在成熟的运营体系之上,酒店行业频发的数据泄露事件基本上都可归咎为,企业在内部数据使用流程、安全管理制度和数据库系统保护措施上明显不够。
将数据托管在专业的云服务商,和自建数据中心的对比,如同饮用自来水厂和自家挖井的区别。先不论水是否好喝,当你家有一千个人需要供养却只有一个人挑水的时候,用自来水可能是最好的选择。
在数据安全之外,大量安全问题已被验证云视角下将获得更好的解决方案。比如端点安全,在BYOD移动化办公大背景下,通过云服务交付的终端安全能够使得管理远程资产像在网络中管理一样轻松,使得企业组织不必保护控制台或担心诸如数据库溢出等细节问题。主打网络资产管理的Axonius成了本届创新沙盒的冠军,也释放出云上天生具备“看见”资产的优势,会让资产管理更轻松,这也引发了越来越多的SOC都基于云建的趋势。
不可回避的是,上云与云安全的关注趋势都将更强烈。
一、企业上云将是一大趋势。近十年来,我国企业的上云率从2009年的3.2%增至2018年的30.8%。当全社会都建立在云端之后,那么必然会存在云安全的议题。而且现在产业常提的以云、大数据、人工智能、物联网和区块链等数字技术所驱动的企业数字化转型,其终极目标就是建立云原生的数字企业,或者称为数字原生企业,其核心竞争力在于大规模的云软件的开发、运维及运营能力。这种场景也是标准意义下的SDA,那么云安全自然是所有的网络安全问题。
二、技术层面无本质差别。在边界上,云安全与网络安全关注的都是数据、数据中心、网络等领域的问题,并且安全威胁同样来自木马、病毒和密码破译等几种方式。从技术角度来看,云安全与传统网络安全并无本质的差别。
中国观察