以下內(nèi)容根據(jù)中企通信信息安全產(chǎn)品經(jīng)理張肇軒以“新基建浪潮下的云安全思考”的主題演講速記整理:
張肇軒 :
大家好,今天很高興有機會跟大家一起探討在新基建浪潮下關(guān)于云安全的問題�����。今天討論的內(nèi)容主要分為四個部分�,首先是新基建所帶給云平臺的一些改變�����,然后是云安全環(huán)境中的零信任模型的問題�,三是針對最近非?�;馃岬拇髷?shù)據(jù)中心��,大數(shù)據(jù)平臺可能面臨到的安全問題,最后介紹中企通信關(guān)于上述問題的針對性的解決方案�����。
新基建所帶給云平臺的改變
新基建是最近經(jīng)常聽到的一個名詞����。
基建就是人們理解的基礎(chǔ)建設(shè),如信息安全���、網(wǎng)絡(luò)為基礎(chǔ)的建設(shè)�,新基建是以技術(shù)創(chuàng)新為驅(qū)動的新的發(fā)展理念來帶動這些信息安全基礎(chǔ)的建設(shè)�。最具有代表性的就是5G、物聯(lián)網(wǎng)���、大數(shù)據(jù)����、人工智能���,尤其是大數(shù)據(jù)這種分析的平臺����,這是以往傳統(tǒng)的物理環(huán)境,無論是在擴展性還是資源的使用率方面都已經(jīng)無法滿足大數(shù)據(jù)平臺的要求���,所以很多大數(shù)據(jù)、人工智能的平臺都逐漸往云端轉(zhuǎn)變��,最大的好處就是云資源可以隨時�、無限地擴展,對大數(shù)據(jù)技術(shù)來說是提供了非常好的支撐�����。5G帶動上云��、光纖網(wǎng)絡(luò)帶動上云�����,解決了偏遠地區(qū)互聯(lián)網(wǎng)不好��、信號不好造成客戶上云不好的體驗問題���。
但是���,上云之后會面臨很多安全方面的問題���。
可以想象,以往物理環(huán)境����,從底層物理層到最上層的數(shù)據(jù)層,企業(yè)管理員都是可以完全管控的�����,每一個層面做怎樣的防護和控制���,完全都是企業(yè)自己掌握�����。上了云之后�,由于云平臺底層的資源��、CPU����、內(nèi)存都是共用的,從物理層面到網(wǎng)絡(luò)層面�����,甚至是操作系統(tǒng)層面,客戶所能控制到的只有應(yīng)用層面和數(shù)據(jù)層面�����,應(yīng)用層以下的可能都是由云供應(yīng)商提供�����,對租戶來說就是一個黑盒子��,租戶和用戶之間如何做到隔離���,有沒有做好隔離,租戶并不知道����;也不知道服務(wù)上做得怎么樣,在渠道數(shù)據(jù)層面�����,大家底層可能都是在同一個存儲上�����,雖然可能在邏輯上做了一些封隔,但是這部分做的是否嚴密�,也是服務(wù)商去管控的。
云平臺自身的安全也是一個大問題����,沒有哪個平臺可以保證百分之百不出事、永遠不出事����。那出了事,云平臺供應(yīng)商的響應(yīng)能力�、解決問題的能力是否達標,也是不可控的����。一旦上了云之后,以往可控的環(huán)境都變成了黑盒子����,尤其是非常重要的網(wǎng)絡(luò)環(huán)境,租戶之間的隔離�,云平臺自身的穩(wěn)定性,都變得不可控了��。
為什么會出現(xiàn)這樣的情況呢?其實就是從底層架構(gòu)這一塊開始都是供應(yīng)商去做的�����,具體來說呢�,以往數(shù)據(jù)訪問的策略,可以從網(wǎng)絡(luò)層��、從操作系統(tǒng)應(yīng)用層甚至數(shù)據(jù)層��,都可以進行很好的管控���。上了云之后,是云服務(wù)商在管理網(wǎng)絡(luò)�,網(wǎng)絡(luò)的隔離,操作系統(tǒng)的訪問也都是服務(wù)商來做����,以前想要下發(fā)的策略,基本上都已經(jīng)發(fā)不下去��,要靠服務(wù)商來做��;身份識別���、系統(tǒng)監(jiān)控��、分析等部分都不可控了�,因為云供應(yīng)商不可能把底層網(wǎng)絡(luò)設(shè)備的日志發(fā)給租戶,不可能把操作系統(tǒng)的日志發(fā)給租戶����;看不到這些信息,租戶自然就沒有辦法去檢測或者分析存在的這些威脅���。這都對租戶從以往傳統(tǒng)環(huán)境轉(zhuǎn)到云上面所面臨到的很大的問題�。
我們常說的木桶效應(yīng)����,一個木桶能裝多少水,不是由最高的那塊木板決定�����,而是由最短的那塊決定���。企業(yè)做信息安全防護也是一樣�,安全做得有多好,是由最薄弱的那部分來決定���,因為黑客永遠只會攻擊最薄弱的那一部分��,只要攻擊成功�����,整個內(nèi)網(wǎng)就被攻破���,其他的點、其他的部分做的再好都沒有用����。
所以,從最底層的物理環(huán)境做到最頂層的應(yīng)用環(huán)境都要面面俱到的防護��,才能保證安全的保證����。
中企通信在這部分提供了豐富的解決思路��。
中企通信云安全環(huán)境中零信任模型
中企通信云安全環(huán)境有三個模塊���。
云安全環(huán)境零信任模型 一是網(wǎng)絡(luò)加密層���。一些客戶的管控��,與安全策略�,可能不是做到特別的好�����,存在較大的風(fēng)險��。上了云之后���,中企通信可以提供優(yōu)先的服務(wù)�,在網(wǎng)絡(luò)連接方面采取ipsec-VPN加密的方式或者輕量級的加密協(xié)議�����,客戶可以通過雙因子認證保證登陸的安全性�����,內(nèi)網(wǎng)通信可以做到反病毒反入侵過濾�����,實現(xiàn)基本的功能。
二是數(shù)據(jù)層面��,在通信過程中對數(shù)據(jù)進行加密���,數(shù)據(jù)每天做一個本地備份和異地的備份���,各個安全網(wǎng)關(guān)可以有自己監(jiān)控的系統(tǒng)去收集不同網(wǎng)關(guān)的日志,了解發(fā)生的安全事件���,進行應(yīng)急告警的響應(yīng)處理��,提交后續(xù)的安全報告����。
從網(wǎng)絡(luò)層���、數(shù)據(jù)層面進行綜合防護�����,幫客戶堵住最常見的一些漏洞。
三是安全網(wǎng)關(guān)。中企通信提出云安全網(wǎng)關(guān)理念��,即云安全中臺��,它包括API網(wǎng)關(guān)�����,可進行多設(shè)備的策略對接����,態(tài)勢感知的探針,本地預(yù)處理���,SIEM監(jiān)控信息匯集�����,預(yù)處理����,執(zhí)行安全策略�����。
大數(shù)據(jù)中心安全問題
對企業(yè)來說,重中之重就是數(shù)據(jù)���,黑客從網(wǎng)絡(luò)層面攻擊�,從物理層面����、應(yīng)用層面攻擊,最終的目的就是竊取數(shù)據(jù)���。數(shù)據(jù)是企業(yè)最有價值�、最核心的資產(chǎn)���,最容易受到黑客關(guān)注?�,F(xiàn)在�����,大數(shù)據(jù)應(yīng)用越來越廣泛�,通過對歷史事件���、歷史數(shù)據(jù)中的分析��,可了解自己和對手的商業(yè)方向���,判斷未來的發(fā)展趨勢。國家對數(shù)據(jù)的使用也有很多安全的法律法規(guī)�,從2017年6月網(wǎng)絡(luò)安全法推出之后,關(guān)于數(shù)據(jù)安全防護的法規(guī)越來越多�����,比如個人信息的安全評估���,等保體系對數(shù)據(jù)層面的嚴格要求����,之后還可能會陸續(xù)推出更多的防護與指南��。
數(shù)據(jù)的歸集和治理數(shù)據(jù)歸集和治理會投入大量運維人員��。對數(shù)據(jù)進行處理和應(yīng)用時�,一般來說,企業(yè)要經(jīng)歷這樣的三個過程��,無論是自己做��,還是依托于云供應(yīng)商服務(wù)商。
首先是要有分析的平臺�����,常見的可能有Hadoop�����、Spark�、Flink等,以及Hbase等存儲平臺��,這一部分基礎(chǔ)設(shè)施建設(shè)其實并不太難�,因為這些軟硬件產(chǎn)品市面上都有,有錢就可以買回來建起來�。
第二階段,將現(xiàn)有的數(shù)據(jù)進行歸集�����。因為數(shù)據(jù)十分零散�,有來自服務(wù)器,來自終端�����,有來自個人的設(shè)備,又有數(shù)據(jù)庫���,安全設(shè)備、網(wǎng)絡(luò)設(shè)備上面也都有很多數(shù)據(jù)���,要把這些數(shù)據(jù)全部歸集到統(tǒng)一平臺上再去進行分析����,其實是很有難度的���。不同的數(shù)據(jù)存在于不同的部門�����,要去協(xié)同溝通����,說服他們把數(shù)據(jù)發(fā)過來�����,然后還要很有策略地存儲和歸集起來����,這是一方面��,歸集好之后還要進行治理�����,做分類�����、建索引��,哪一方面哪天的數(shù)據(jù)���,都要能在最短的時間內(nèi)快速得到。這部分其實存在非常多的一些“坑”�����,要投入很多的人力�、時間、溝通的成本����。
這一部分完成之后����,就是數(shù)據(jù)的應(yīng)用��,將這些數(shù)據(jù)采用科學(xué)計算的方式與規(guī)則進行關(guān)聯(lián)����、分析�,演變出一些報表。這個其實也是比較容易的����,算得上是一個中等難度的任務(wù)。
最難的其實是在數(shù)據(jù)處理階段���。一旦沒有處理好這部分的數(shù)據(jù)����,比如幾個月之前有運維人員離職的時候把公司數(shù)據(jù)庫刪掉���,如果沒有備份的話���,這就是一個非常危險的動作和造成嚴重的后果��,這其實也就是對運維人員權(quán)限的管控提出高要求�。
中企通信采用堡壘機配合SOC的服務(wù)對數(shù)據(jù)進行管控�。針對運維,中企通信有一個比較細致的管控����,包括對數(shù)據(jù)的任何一個操作都有跡可循、有記錄��。
堡壘機配合SOC的服務(wù)對數(shù)據(jù)進行管控中企通信采用堡壘機配合SOC的服務(wù)對數(shù)據(jù)進行管控�����。
針對運維��,中企通信有一個比較細致的管控�,包括對數(shù)據(jù)的任何一個操作都有跡可循、有記錄����。
信息安全服務(wù)化解決方案
中企通信提供的是一種MSSP的方式即完全管理的服務(wù)模式提供給客戶。其特點體現(xiàn)在四個方面:
完全管理的服務(wù)模式 一是身份的不同��。跟以往所理解到的代理商、集成商的不同之處�,在于中企通信并不是以售賣硬件為主,而是以服務(wù)來提供到給客戶����;所有提供的設(shè)備都是跟SOC的服務(wù)去綁定,來幫客戶進行運維���。
二是以運營為理念而并非是以設(shè)備為理念���。中企通信更關(guān)注的是安全事件,安全設(shè)備只是用來處理安全事件���、檢測響應(yīng)安全事件的工具而已,企業(yè)最終所需要的是在安全事件發(fā)生時有人快速的去檢測響應(yīng)處理���,而中企通信恰恰是為客戶解決了這一方面的需求����。因此���,不管安全設(shè)備來自何方��,中企通信都會幫客戶去運維�����,發(fā)生事故���,發(fā)現(xiàn)告警�,就利用安全方面豐富的經(jīng)驗幫助去分析去處理�。
三是以聯(lián)動分析為核心價值。中企通信不會關(guān)注單一安全設(shè)備上的獨立告警�,而是匯集所有安全設(shè)備的日志,包括網(wǎng)絡(luò)設(shè)備��,終端�����、服務(wù)器的�����,利用分析平臺來進行聯(lián)動分析����,減少誤報��,提升整體的安全防護能力�����。
第四��,也是最關(guān)鍵的����,是讓企業(yè)管理層看到在安全方面的投入所獲的回報����。很多時候,客戶覺得安全是在買保險��,不出事就看不到安全的價值��。中企通信通過提供大量定制化的報告�����,或者一些在線的平臺讓企業(yè)的管理層可以看到在過去一段時間�,公司內(nèi)部發(fā)生的很多安全事件����,安全設(shè)備幫助擋住了這些事件的發(fā)生�,因此有必要進行持續(xù)的投入����。如果沒有這種可視化的報告,即使做了很多工作�,管理層看不到體會不到,來年很可能就會削減這部分投入了��。這種定制化的報告和平臺讓企業(yè)的管理層可以實時注意到安全方面的投入帶來的價值���。
在管理模式方面���,可以單獨完全管理或者與客戶共同管理。完全管理���,意味著客戶有任何需求都可以直接進行聯(lián)系����,共管���,就是說客戶可以做些基本的配置����,出了大事再尋求幫助。
一個最簡單的例子�����。針對某一臺安全設(shè)備��,找集成商管理和找中企通信來管理都是可行的�,最大的區(qū)別就是前者提供設(shè)備,只能保證設(shè)備正常運作���,但是設(shè)備檢測到了安全事件進行告警����,集成商不一定具備處理能力��,后者可以幫客戶去處理安全的事件���,并且告訴客戶哪個黑客想攻擊哪里��,利用的是哪些漏洞,應(yīng)該如何去彌補���,從而防止再發(fā)生這種事��。
中企通信不僅提供設(shè)備基礎(chǔ)服務(wù)��,更多的是提供SOC這種高端的服務(wù)��,真正解決企業(yè)最想解決的但是又沒有能力去解決的事情���,企業(yè)要保留SOC團隊�,成本很高����。而第三方SOC團隊是所有客戶共用,可以降低企業(yè)在這部分的成本���,我們也有一個在線的平臺�,可以隨時讓客戶看到設(shè)備的安全狀態(tài)�。
云端安全解決方案
中企通信提供豐富的云端的安全解決方案。
云端的安全解決方案 在應(yīng)用方面�,中企通信提供有WAF、DDOS����、NGFW一類的防護��;在網(wǎng)絡(luò)安全方面��,有郵件網(wǎng)關(guān)�����、數(shù)據(jù)庫防護����、混合云防護���、邊界防護�����;安全審計層面��,提供像數(shù)據(jù)庫審計��,日志審計���;綜合平臺的管理事先高科用、安全運維,各方面的產(chǎn)品和解決方案都是比較全的��。
基于SD-WAN架構(gòu)的多云平臺安全方案 基于SD-WAN架構(gòu)的多云平臺安全方案方面���,中企通信安全管理中心(SOCs)是時下常見的方案,但是很多客戶可能會忽略安全方面的問題���,畢竟以往跑專線�,現(xiàn)在在互聯(lián)網(wǎng)上��,雖說效率增加速度變快�����,但是安全性可能會減弱�����,畢竟數(shù)據(jù)都是運行在公網(wǎng)上��。中企通信在提供MPLS架構(gòu)的同時也提供安全的防護方案����。基于Fortinet的解決方案,包括接口SOC的運維����。
此外,訪問如Azure����,Salesforce等一些平臺,通常都會很慢�。通過對客戶的流量進行優(yōu)化,可提升訪問的速度�����,提供更好的用戶體驗��。
因為時間有限��,今天分享的內(nèi)容主要是這些�。如果大家對某個產(chǎn)品或者某個解決方案想有更深刻的了解,可以聯(lián)絡(luò)我們再安排更詳細的講解��。
謝謝大家���!
