“零信任”防禦雲計(jì)算(suàn)信任危機

近年來(lái)，随着雲計(jì)算(suàn)在企業數字化轉型過程中扮演越來(lái)越重要角色，相關企業不斷加大(dà)基礎設施投入，市場需求旺盛。在政府推動和(hé)市場需求雙重影響下(xià)，雲計(jì)算(suàn)産業在我國也(yě)迎來(lái)了(le)加速發展。據中國信息通信研究院發布的《雲計(jì)算(suàn)報(bào)告2021》顯示，2020年，我國公有雲 SaaS市場規模達到(dào)278億元，較2019年增長了(le)43.1%，SaaS市場有望在未來(lái)幾年迎來(lái)增長高(gāo)峰；公有雲PaaS市場規模突破100億元，與去年相比提升了(le)145.3%，随着數據庫、中間件、微服務等服務的日益成熟，PaaS市場仍将保持較高(gāo)的增速；公有雲laaS 市場規模比2019年增長了(le)97.8%。 廠(chǎng)商市場份額方面，據統計(jì)，2020年，阿裏雲、天翼雲、騰訊雲、華爲雲、移動雲占據公有雲laaS?市場份額前五；公有雲PaaS?方面，阿裏雲、騰訊雲、百度雲、華爲雲位于市場前列。?人“雲”亦“雲”的時(shí)代，雲計(jì)算(suàn)驅動産業升級的同時(shí)，更爲嚴峻的安全威脅和(hé)挑戰也(yě)逐漸進入人們的視(shì)野。前幾年，雲服務出現(xiàn)了(le)很(hěn)多安全事(shì)故。比如，谷歌在2009年三月份洩露了(le)大(dà)量的文(wén)檔；微軟的Azure平台宕機22小(xiǎo)時(shí)；2011的四月份，亞馬遜的EC2服務崩潰，影響甚大(dà)等等。 雖然相關安全事(shì)故還沒有到(dào)決堤釋放(fàng)的程度，但(dàn)将爲數字化發展造成嚴重的影響。阿裏、騰訊、百度、京東、360如今，雲計(jì)算(suàn)這(zhè)條賽道(dào)可以說是百舸争流，這(zhè)樣的環境下(xià)，如何打造“安全的雲”，如何在“萬雲彙聚”的當下(xià)建立起雲上(shàng)網絡安全的“第一道(dào)防線”，顯得尤爲重要。 01、信任危機 數字化雲計(jì)算(suàn)往往被一衆業内人士稱爲數字化轉型的基石和(hé)樞紐。一方面，以雲計(jì)算(suàn)技術爲承載，融合多種數字技術打造數字基礎設施一體化雲平台，賦能(néng)各行業企業、各業務闆塊轉型發展，滿足海量多樣化客戶群體的個性化需求；另一方面，針對(duì)企業通用(yòng)業務單元管理(lǐ)系統、核心業務系統，深入運用(yòng)雲計(jì)算(suàn)技術對(duì)業務應用(yòng)底層資源進行有效整合，實現(xiàn)應用(yòng)系統的集成融合，打破業務單元之間壁壘，完成業務單元間協同共享。 尤其在2021年，無論是華爲雲換帥，騰訊雲全力加碼雲計(jì)算(suàn)，阿裏雲發力雲+AlOT，還是京東對(duì)雲與AI業務的戰略調整，都在說明(míng)一個問題，雲業務已經成爲互聯網發展的重中之重。 不過，随着雲計(jì)算(suàn)的普及和(hé)升級，傳統的一些(xiē)防禦機制已經失效，需要引入新的安全措施。尤其是，IT架構從(cóng)以傳統數據中心爲核心向以雲計(jì)算(suàn)爲承載的數字基礎設施轉變，多雲、混合雲成爲主要形态，以數據中心内部和(hé)外(wài)部進行劃分的安全邊界被打破，整個行業面臨更多信任危機。 一位雲計(jì)算(suàn)行業專家表示，雲環境中的信任很(hěn)大(dà)程度上(shàng)依賴于所選的部署模型，因爲數據和(hé)應用(yòng)的管理(lǐ)是外(wài)包的或則委托的，所以他(tā)們并不被擁有者嚴格控制。傳統架構中，信任是通過有效的安全規則來(lái)強制實施的。公有雲和(hé)社區(qū)雲中，控制權被委托給了(le)擁有基礎設施的組織。當部署一個公有雲的時(shí)候，基礎設施擁有者的控制權被削弱，這(zhè)樣是爲了(le)強制實施有效的安全政策，從(cóng)而讓危險降低(dī)。這(zhè)就引入了(le)一系列威脅，因爲雲服務基礎設備提供商是否值得信任關系到(dào)整個雲中數據的安全。 當然，私有雲的基礎設施被一個私有組織承諾來(lái)管理(lǐ)和(hé)操作(zuò)，這(zhè)不會(huì)引入一些(xiē)額外(wài)的安全問題，因爲基礎設施擁有者同時(shí)也(yě)是數據和(hé)流程負責人。最重要的是，雲環境使得邊界安全的觀點不再适用(yòng)。在一個雲計(jì)算(suàn)模型中，什(shén)麽人在什(shén)麽地方獲取什(shén)麽樣的數據這(zhè)些(xiē)都很(hěn)難被确切定位，傳統的基于劃分邊界來(lái)保證整個架構安全的方法也(yě)很(hěn)難在雲計(jì)算(suàn)中實施。 爲了(le)應對(duì)雲計(jì)算(suàn)信任危機帶來(lái)的安全問題，零信任與原生安全深入融合，成爲一衆企業的“守塔攻城(chéng)”的手段。 02、“零信任”防禦 從(cóng)收入組成來(lái)看(kàn)，拼多多目前依然是在線營銷服務及其他(tā)的收入爲主要收入來(lái)源，二季度營收180.804億元，同比增長64%，在總營收中占比達78%，而上(shàng)一季度占比爲64%。 “零信任”的故事(shì)可以從(cóng)2013年說起。“斯諾登事(shì)件”後，時(shí)任 Forrester 分析師的 John Kindervag 提出了(le)“零信任”解決方案。所謂零信任的核心是不再區(qū)分内外(wài)網，認爲内網也(yě)是不安全的，所有的訪問都需要經過認證和(hé)授權，這(zhè)對(duì)防止組織東西向流量安全起到(dào)保護作(zuò)用(yòng)。 簡單來(lái)說，我們不能(néng)僅因爲某個系統位于防火牆後面就直接信任它。相反，應該在安全性方面采取悲觀觀點，首先假定任何計(jì)算(suàn)機、用(yòng)戶和(hé)服務器都不可信，除非事(shì)實證明(míng)并非如此。 那麽又該如何證明(míng)？答(dá)案是強身份驗證和(hé)授權，并且在建立信任之前不進行任何數據傳輸操作(zuò)。此外(wài)還應通過分析、篩選和(hé)日志記錄等措施來(lái)驗證所有行爲的正确性，并持續觀察是否存在代表威脅的信号。 零信任的互聯互通特征，取代了(le)傳統彼此隔離的物理(lǐ)空(kōng)間，是産業數字化和(hé)萬物互聯健壯發展必須要面對(duì)的技術路徑。尤其随着如今全球數字化和(hé)萬物互聯的加速，物理(lǐ)空(kōng)間的邊界徹底被打破，以“零信任”理(lǐ)念重構防禦體系勢在必行。 從(cóng)具體實踐來(lái)看(kàn)，騰訊雲、阿裏雲、華爲雲等都在加速布局，并且已經取得了(le)一定的成效。騰訊從(cóng)2016年開(kāi)始在内部實踐落地自(zì)主設計(jì)、研發的零信任安全管理(lǐ)系統——騰訊iOA。疫情期間，這(zhè)套系統爲自(zì)身超過7萬名員工(gōng)和(hé)10萬台服務終端的跨境、跨城(chéng)遠程辦公提供了(le)安全護航。從(cóng)效果來(lái)看(kàn)，這(zhè)套系統兼具雲端業務與所有終端的安全、高(gāo)效連接，在确保企業業務安全的同時(shí)，保證辦公效率。 當然，零信任是一個演進式的框架，而不是革命性的方法，需要長期堅守，不斷維護。 來(lái)源：中國IDC圈