Gartner：關(guān)于中國云安全的三個(gè)思考

王永

企業(yè)數(shù)字化轉(zhuǎn)型和云計(jì)算技術(shù)的加持下，企業(yè)上云趨勢勢不可擋。與此同時(shí)，數(shù)據(jù)量加大，網(wǎng)絡(luò)攻擊日趨頻繁，對企業(yè)來說，包括云計(jì)算安全在內(nèi)的網(wǎng)絡(luò)安全部署的重要性日益顯現(xiàn)。

在Gartner2022年CIO技術(shù)執(zhí)行官問卷調(diào)查中，結(jié)果顯示：2022年有52%的企業(yè)會(huì)增加“云”投入，相對來說有32%的企業(yè)會(huì)減少傳統(tǒng)基礎(chǔ)架構(gòu)和數(shù)據(jù)中心的投入。在網(wǎng)絡(luò)和信息安全方面，有46%的企業(yè)會(huì)增加投入。“云”和“安全”在企業(yè)增加投入的選項(xiàng)中，分別排名“第三”和“第四”。

可預(yù)見的是，隨著用戶在系統(tǒng)的基礎(chǔ)設(shè)施和軟件支出轉(zhuǎn)向“云服務(wù)”，云安全將會(huì)成中國安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者最關(guān)鍵的任務(wù)之一。

針對當(dāng)前中國的云安全市場，Gartner預(yù)測：到2023年，99%的“云安全”問題都是客戶的過錯(cuò)，很少有主流的“云服務(wù)”提供商出現(xiàn)重大的安全事件；另一方面，到2024年，利用云基礎(chǔ)設(shè)施和編程性，改進(jìn)云上工作負(fù)載的安全保護(hù)將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性和減少至少60%的安全事件。

“通過這兩個(gè)預(yù)測，Gartner想表達(dá)的意思很簡單——相比傳統(tǒng)線下的基礎(chǔ)設(shè)施和平臺(tái)，云上是更安全的方式?！?不過在Gartner高級分析總監(jiān)高峰看來，“云安全”和傳統(tǒng)的線下基礎(chǔ)設(shè)施平臺(tái)安全有很大的不同，并且由于中國市場的獨(dú)特性、簡單的采用國外的一些“最佳實(shí)踐”并不一定有效。

事實(shí)上，相對于中國的云安全市場來說，企業(yè)大都面臨三個(gè)層面的挑戰(zhàn)：首先，對云安全責(zé)任分擔(dān)模型的理解和相關(guān)的技能缺失。在“云安全”中，云安全責(zé)任跟傳統(tǒng)的安全很大不同。理解“云安全”和“云安全”提供商的安全責(zé)任分工，是“云安全”成功的一個(gè)必要條件。云安全所需要的技能和傳統(tǒng)的以邊界為保護(hù)的安全也有很大不同。企業(yè)相對能力的缺失，使得云安全成功實(shí)施也受到很大的挑戰(zhàn)。

其次，沒有一個(gè)“云服務(wù)”提供商或者安全廠商，現(xiàn)在能提供企業(yè)所有需要的全部安全能力，所以在“云安全”技術(shù)選擇和運(yùn)用上，企業(yè)也面臨著很多的困難。針對“云”的部署模式，企業(yè)現(xiàn)有的安全工具需要更新。

最后，中國企業(yè)上云很少會(huì)系統(tǒng)性的對云服務(wù)提供商做風(fēng)險(xiǎn)評估，不同的云服務(wù)提供商有著不同的風(fēng)險(xiǎn)、而且這個(gè)風(fēng)險(xiǎn)也并不是一成不變的，所以缺少持續(xù)的風(fēng)險(xiǎn)評估、會(huì)讓企業(yè)“云”上的資產(chǎn)面臨一定的威脅。

“我們認(rèn)為對“云”的信任問題，主要是由于企業(yè)過于關(guān)注數(shù)據(jù)物理位置、存儲(chǔ)位置導(dǎo)致的，而不是實(shí)施安全控制。” 高峰表示，成功的“云安全”需要對“云安全”的責(zé)任共享模型有一個(gè)很好的理解，“安全、技術(shù)、工具部署”和對“云服務(wù)”提供商的風(fēng)險(xiǎn)也是非常重要的。當(dāng)然，這一切的前提也需要考慮到中國使用“云”的合規(guī)性。

為此，Gartner針對企業(yè)面臨的云安全挑戰(zhàn)，提供了三個(gè)行動(dòng)建議：明確企業(yè)和云服務(wù)提供商的安全責(zé)任范圍，建立“云安全”所需的能力；優(yōu)先選擇云服務(wù)提供商原生云安全工具，利用第三方和開源工具補(bǔ)充去實(shí)施云安全控制；以及對云服務(wù)提供商進(jìn)行持續(xù)的風(fēng)險(xiǎn)評估。

具體來看，云的共享概念打破了IT資產(chǎn)的物理邊界，使得現(xiàn)有的架構(gòu)無法很有效的保護(hù)“云”上的資產(chǎn)。另外，對于公有云的缺乏信任，中國許多組織都擔(dān)心數(shù)據(jù)的位置，他們認(rèn)為：數(shù)據(jù)在自己的組織內(nèi)部、在自己的物理邊界內(nèi)更安全。這就導(dǎo)致了私有云和混合云在中國使用率一直很高，因?yàn)檫@兩種部署方式、仍然可以把數(shù)據(jù)存儲(chǔ)在組織內(nèi)部的物理邊界內(nèi)。這種對于物理數(shù)據(jù)位置的錯(cuò)誤過度關(guān)注，犧牲了“云”自身的好處。

“企業(yè)組織過度關(guān)注數(shù)據(jù)的位置，是因?yàn)槠髽I(yè)在實(shí)施云安全方面存在很多的困難，而大多數(shù)的云安全故障都是由客戶的配置造成的，所以這個(gè)不僅是因?yàn)橘Y產(chǎn)物理邊界的缺失，還因?yàn)榻M織不知道如何和云服務(wù)提供商共同保護(hù)云上資產(chǎn)?！备叻灞硎荆瓢踩腔凇柏?zé)任公攤的概念”，所以安全責(zé)任和因云的部署模式也有所不同。

也就是說，在私有部署的模式下，所有的責(zé)任由客戶自己承擔(dān)，“上云”之后，企業(yè)如果使用IaaS（基礎(chǔ)架構(gòu)級服務(wù)），在物理和虛擬層的責(zé)任則是由“云提供商”承擔(dān)。

“對位置的過度關(guān)注并沒有太大的意義，不管用何種部署模式，數(shù)據(jù)的責(zé)任始終在企業(yè)，而其它的安全責(zé)任要根據(jù)您的部署不同去和供應(yīng)商分?jǐn)偅云髽I(yè)需要對云中數(shù)據(jù)實(shí)施安全的控制，這些控制可能和本地的方法不同?！备叻灞硎?，通過云服務(wù)商分擔(dān)其它安全，企業(yè)能夠投入更多的精力和關(guān)注度放在最核心的方面，比如：數(shù)據(jù)、身份和訪問管理，這樣可以做到比線下數(shù)據(jù)中心和傳統(tǒng)的基礎(chǔ)架構(gòu)平臺(tái)更安全。

另一方面，用戶部署云安全的方式，Gartner的建議是：云提供商原生安全工具、第三方工具和開源工具。

其中，云提供商原生安全工具是云供應(yīng)商提供的安全工具。目前，很多的工具已經(jīng)具有企業(yè)級產(chǎn)品能力或者接近企業(yè)級產(chǎn)品的能力，而且因?yàn)樗鼈兒汀霸品?wù)”是高度集成，采用云原生安全工具可以具有成本的效應(yīng)，部署非常簡單、可以很快速的滿足客戶的需要安全需求。

此外，由于中國云服務(wù)和全球的云服務(wù)是基于兩朵云，建立在不同的物理基礎(chǔ)設(shè)施和運(yùn)維模式，所以默認(rèn)是不同的，這就導(dǎo)致了產(chǎn)品和技術(shù)的可用性以及服務(wù)模式的差異，部分的云安全工具在中國云中不可被使用。在這樣一個(gè)環(huán)境下，企業(yè)可以尋求第三方工具，進(jìn)行更多的個(gè)性化配置和服務(wù)。

開源的工具也是實(shí)施云安全的一種選擇，尤其是在沒有可用的商業(yè)工具時(shí)，它不僅具備成本效應(yīng)、而且是免費(fèi)的，提供了靈活性和創(chuàng)新型，進(jìn)行二次開發(fā)。不過需要注意的是，使用開源工具，必須要仔細(xì)評估它帶來的風(fēng)險(xiǎn)。

“企業(yè)要去評估云服務(wù)商的風(fēng)險(xiǎn)，并且是一個(gè)持續(xù)性的?！备叻逭J(rèn)為，當(dāng)前評估云服務(wù)商風(fēng)險(xiǎn)主要有多種方式：比如基于云服務(wù)商提供的宣傳資料，可獲取的價(jià)值比較低；雇傭第三方的評估機(jī)構(gòu)或咨詢機(jī)構(gòu)，不過成本較高，也需要花費(fèi)更多的時(shí)間精力；根據(jù)云服務(wù)商的數(shù)量做一個(gè)三層模型，包括少量成熟的第一級的大型云服務(wù)提供商，越來越多的云服務(wù)提供商和大多數(shù)的小型云服務(wù)提供商。

更重要的一點(diǎn)是，在“云評估”環(huán)節(jié)，第三方的評估和證明，通常是用于評估“云運(yùn)營服務(wù)商”的安全性。在中國的“云服務(wù)提供商”需要更多關(guān)注這些方面的認(rèn)證，比如：MLPS、《中國網(wǎng)絡(luò)安全法》等。