我们处于一个软件和数字化世界:导航软件优化交通出行、外卖改变用餐方式、网约车提升用车体验。借助云计算、大数据和AI等技术,各种创新应用正渗入各行各业,促进组织和企业数字化转型,带来新的思维方式和商业模式。同时,网络安全作为数字化基础底座,面临着诸多挑战,需要新模式来适应和促进数字化转型。
一、安全挑战
1.1 云计算应用多样化
经过多年推广,云计算应用已经深入到各行业和多种场景中,成为企业数字化转型的基础设施,应用形式多样。在部署方面,数据显示,超过90%采用混合云或多云方式。在视频渲染、游戏、工业制造和自动驾驶等场景下,以云计算为主要载体的边缘计算开始兴起。在计算资源方面,DevOps已向传统行业应用加速,企业会采用虚拟机、容器和容器即服务等,这些计算资源的生存时间更短、自动化程度更高。在多样化的环境下,为信息系统提供一致的安全策略、自动化和敏捷的防护,成为最大挑战。
1.2 网络环境仍在恶化
随着企业将更多的信息系统和数据上云,数据安全成为关注焦点。然而,这些系统和数据不再是孤立的,更多员工和合作伙伴将在不同地方、利用多种设备、以不同方式使用它们,势必会遭受更多攻击。据统计,近五年来,我国零日漏洞收录数量持续走高,年均增长率高达 47.5%;蔓灵花和海莲花等APT组织已经将通信、能源和金融等重要领域作为重点攻击对象;而云平台也已成为网络攻击的重灾区。云平台仅靠边界的网络安全设备难以有效应对,需要整体防护和纵深防护。
1.3 安全合规要求增强
随着一系列网络安全相关法律法规和标准规范的发布和实施,我国安全合规要求逐步增强。除防护能力建设外,企业将需要履行更多职责,如安全监测、监测预警和应急响应。安全已不再是企业个体行为,不同单位之间、与主管单位之间应加强联动联防,实现协同防护。然而,企业内部各部门之间、各系统和各设备之间的联动和协同仍在建设中,如云平台和云上信息系统,信息系统使用云服务时也产生了许多安全数据,如操作云服务、云服务间通信和云服务配置等,并未与安全设备及安全设备的日志数据相结合,未能提升安全防护效果。
1.4 安全交付模式演变
云计算应用初期,安全设备通过虚拟化快速满足了信息系统的防护需求。当下,企业更加注重云效率,即更好地使用云计算。虚拟化安全设备在订购后部署和登录设备使用的模式,已无法满足云计算的服务模式和使用体验。与此同时,业务需求变化、网络环境恶化和DevOps应用,使得安全建设不能仅是一次性,更应是动态演进的。我们不能仅关注安全建设,更应关注如何发挥好已建安全(人员、技术和流程)的作用,审视环境变化,及时做出调整和安全事件处置,充分发挥云安全价值,保护好云计算环境。
二、软件定义的原生云安全
面对诸多挑战,云安全应利用新技术赋能安全,建设适合云计算环境的原生云安全。软件定义安全将传统安全设备的安全能力和安全管理分离,实现安全管理集中和安全能力分布执行,与云计算实现异曲同工,有助于新技术应用,提升安全实现效率和防护效果。
绿盟科技将应用软件定义安全理念,把安全能力整合为统一安全资源池,管理能力汇集到统一平台,通过统一平台与云计算平台融合,实现安全能力的统一管理和扩展、安全数据的统一收集和分析、流量与能力的自动编排和安全事件的自动化响应。最终实现安全的服务化交付、安全能力之间的协同、安全事件的快速发现、快速处置和自动化交付,为云计算平台构建具备弹性、智能、协同和开放特点的原生安全防护。
- 软件定义的资源和服务
借助网络功能虚拟化,构建统一的安全资源池,实现安全的弹性、可扩展和服务化。一方面,将安全能力与安全设备解耦,实现传统安全能力的资源化和服务化,选择即可简便使用。围绕PPDR,资源池提供覆盖网络、工作负载、应用和数据等关键对象的安全能力,并可随着需求变化,动态添加新能力(如容器安全和零信任等)和弹性扩展处理性能。这些安全能力包括软件、虚拟化和容器等形态,可适用于云计算和边缘计算等多样化环境。另一方面,将各种安全能力作为云安全的安全触角,感知和收集云中安全信息,为进一步安全处理和响应创造可能。
- 软件定义的安全管理
利用MANO、大数据安全分析和SOAR,建立智能的云安全管理平台,实现安全的融合、可见和开放。一方面,云安全管理平台提供统一安全管理界面,实现多云环境和边缘计算,甚至是云端安全SaaS的统一订购、统一策略配置和统一交付。通过大数据安全分析能力,统一收集和分析各种安全能力或服务所产生的安全数据,云平台所产生的安全告警,甚至云环境中生成的大量日志和配置数据,建立统一和更全面的安全可见性。根据安全状态,安全管理人员自主选择安全服务和调整安全策略,为多云环境和边缘计算等环境提供统一和一致的安全防护。另一方面,云安全管理平台采用开放架构,可与云平台、DevOps进行集成和自动化交付,融入云计算环境,成为云或DevOps的一部分,也可将安全数据和安全事件提供第三方平台。
- 软件定义的持续和协同防护
依托云安全管理平台,开展安全运营,实现持续和协同的安全防护。一方面,利用云安全管理平台的安全分析能力和安全编排与自动化响应能力,可以自动发现和处置安全事件,实现安全持续、安全监控、安全平台与安全能力之间的协同。另一方面,当出现安全事件无法自动处置,安全专家团队(本地和云端)进行研判和分析,确定安全事件、调整安全策略,交由安全设备自动化执行。最终实现安全设备与安全平台之间、本地和云端安全团队之间、安全设备与安全专家团队之间的协同防护,对安全体系进行持续优化和调整。
三、云安全整体方案
3. 1 总体思路
为更好的应对网络安全风险,云安全建设将进一步融合人员、流程和服务等因素,打造体系化和常态化的云安全解决方案。本方案将采用“一个模型、一种模式”的总体设计思路,为云计算构建自适应防护和责任共担的安全防护体系,保障企业数字化转型。
- 一个模型:自适应安全防护模型。为平衡转型机遇和风险,云安全建设将在纵深防护的基础上,依托云安全管理平台的大数据分析技术,建立全面的风险可视化和持续的安全风险评估。使用智能研判和SOAR等自动化技术,快速实现响应处置,从而增强风险检测和响应能力,提升检测和响应效率。并利用相关组织建设、流程和评价机制,持续进行提升,最终建立自适应的安全防护体系。
- 一种模式:各方安全责任共担。在云服务模式下,责任共担已经成为事实标准。云安全建设将从管理、技术和运营等不同维度,提供涵盖方案设计、安全即服务、态势感知、监测预警、应急响应和检测评估等不同类型的安全能力和服务,保护云平台和云上系统/数据。并借助相关流程和机制,帮助企业的云平台建设者和使用者、企业主管单位之间共同承担安全责任和履行安全义务,为云平台构建责任清晰和明确的安全体系,消除安全隐患。
3.2 整体架构
按照我国网络安全相关标准规范和法律法规要求,依据总体设计思路,本方案将采用软件定义的原生云安全理念,以数据为核心,建设“一个基础、三个体系和一个中心”的整体安全架构,构建具备全面感知、纵深防护、持续监测和自动响应的自适应安全防护体系,满足企业用云的各类安全需求,保障数字化转型顺利推进。
- 一个基础:安全基础,为企业云计算安全提供包括身份管理、证书管理和密码管理等基础能力,以及采用满足供应链安全的IT基础设施,共同组成云计算的安全基础。
- 三个体系:安全管理、安全技术和安全运营三个体系。
- 安全管理体系:根据网络安全相关标准规范和法律法规要求,建立安全管理体系。它为企业提供安全方针和规划,将安全前置到云平台和云上系统的规划和开发等阶段;建立云平台建设部门、运营部门和使用部门,以及主管单位之间相互协作、监督的安全组织架构、制度和流程,推动建设部门和运营部门安全建云和维护云、各使用部门的信息系统和数据安全上云和安全用云。
- 安全技术体系:依据安全规划,利用安全资源池内的各种安全能力和服务,以数据安全为中心,围绕数据的流转和使用等全流程,构建PPDR的安全能力闭环,保护云平台、网络、主机和应用等关键对象,形成安全的通信网络、区域边界和计算环境。最终为云平台、云上系统和数据构建纵深防护,以应对更复杂的网络环境。
- 安全运营体系:围绕人、流程、安全技术和服务,构建安全运营体系。借助智能安全运营中心和安全技术体系,开展信息资产管理、脆弱性管理、威胁与事件管理和应急响应等安全运营服务,帮助企业开展安全预警、安全评估和响应处置等工作。采用各类安全指标,对安全运营工作进行考核,以及评估和分析安全管理体系和安全技术体系,提出具体的优化建议,实现云安全的持续优化和提升。
- 一个中心:智能安全运营中心。利用云安全管理平台,建立本地智能安全运营中心,统一收集和处理各类安全数据,进行持续的安全检测和分析,可视化展示安全态势。根据安全态势,安全管理人员主动并持续的调整和优化安全防护,为纵深防护赋予主动和自适应防护能力,更好的应对复杂的网络环境。
通过开放接口,云安全管理平台可将监测到的安全事件上报给主管单位或同步给其他企业,以及接收主管单位的预警通告,进行集中的展示和预警,实现安全风险的提前预防。最终形成主管单位与企业、企业与企业之间的安全联动和联防。
四、总结
作为数字化转型基础,云计算应用将会更加深入和多样化,其面对的网络环境也更加复杂。云安全建设应该与云计算相适应和融合,采用软件定义的原生云安全既可以应对云计算带来的安全风险,又可以更好的保护云计算环境,为企业数字化转型打下良好的安全基础。现在,绿盟科技仍在开展云安全研究,如服务网格和Serverless等,未来将会应用到云安全解决方案中,持续为云计算安全带来新能力,促进云计算安全应用。
参考文献
[1]《2019年我国互联网网络安全态势综述》.
[2]《The State of Cloud Native Security 2020》.
[3] 《云计算发展白皮书(2020年)》.
[4] 《软件定义安全白皮书(2016)》.
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。