安全路透社
当前位置:安全路透社 > 网络转载 > 正文

云计算时代传统安全企业路在何方?阿里云高级安全专家邬怡这么说

Gartner早前曾经做出过一个预言,在云计算的大背景下,云服务商本身会转变成安全厂商。这个说法这两年实际上已经不算新鲜了,在前不久的ISC 2016之上,我们也听到过微软类似的言论。

当时微软可信赖计算部网络安全战略总监褚诚云发表过相关“产品安全”和“安全产品”的演讲。他说产品安全是指我们平常所用的产品的安全性,比如说Windows这类通用型产品的安全;而安全产品则是安全厂商推出的产品。产品安全是否天然需要安全产品的保护才能达成?

实际情况是,Windows作为一个操作系统平台,自Windows XP时代的冲击波病毒之后,逐步在产品中加强安全属性,比如说UEFI Secure Boot,比如UAC、BitLocker等,这让产品本身作为提供安全属性的存在,或者说产品安全和安全产品的发展是相互影响、平行发展的。

我们是否可以认为,在这种情况下,微软抢了安全产品的饭碗?如果在此将Windows这个操作系统平台,换成云平台,褚诚云认为,微软的Azure安全中心就是将“产品安全”和“安全产品”这两个概念进行融合。如Gartner所说,云服务商本身成为安全厂商,我们又是否可以认为云服务商抢了传统安全厂商的饭碗?或者说让传统安全厂商赚不到钱?这是我们在前不久的云栖大会上,与阿里云高级安全专家邬怡探讨的话题。

lADOgUS6BM0C7s0EZg_1126_750.jpg

阿里云高级安全专家 邬怡

云服务商究竟为安全做了哪些事?

邬怡此次在阿里云安全分论坛上的演讲题目为《云上的世界为什么更安全》。“云上更安全”这一观点,之前不管是Gartner,IDC,还是阿里云,都有提及,但很少有人细究过“为什么”。邬怡的观点为:“云计算服务提供商每天所承压的攻击量、以及他们在基础设施安全上的投入,是任何一家企业安全团队都无法与之相比的。”

实际上,RightScale前两年的调查报告都将云安全性视作云端服务的首要挑战,不过今年最新的《年度云计算调查报告》中提到,“安全性不再是云的首要挑战”,“甚至对云安全性最敏感的受访者——企业的核心IT团队以及云安全专业人员,也不再将安全性视为首要挑战”,“资源/专业技术匮乏”成为上云的最大障碍。邬怡甚至认为,由于云服务商在安全基础设施方面的投入优势,原本的这种安全性“弊端”反而成为企业上云的原因。

然而要令“云上的世界更安全”,不仅仅是将基础设施迁移到云端。而是用户和云服务商需要共建安全体系,分别承担相应的安全责任。在今年杭州·云栖大会中,就有多个安全主题演讲都提到了“责任共担”模型, 如果要想“云上的世界更安全”,不仅仅是将基础设施迁移到云端。而是用户和云服务商需要共建安全体系,分别承担相应的安全责任”——实际上,云安全责任共担模式在业界已经达成共识。在海外,亚马逊AWS、微软Azure均采用了与用户共担风险的安全策略。例如,AWS 负责管理云本身的安全,业务系统安全则由客户负责。客户可以在AWS安全市场里挑选合适的产品来保护自己的内容、平台、应用程序、系统和网络安全。

 “责任共担(shared responsibility)”教育的云服务商,即告诉用户,并非上云之后所有的安全问题都由云服务商解决,用户自己也需要采取必须的安全措施,保护其计算资源。

14764638444547.jpg

在传统IDC架构之下,从最底层的物理层面,到网络、操作系统、应用、数据、业务管理,自然都是企业自己全部负责的,企业需要一己之力解决每个层面的安全问题;而在IaaS模型中,从物理、网络、存储,到虚拟化都由云服务商负责安全防护,而操作系统以上部分的安全责任由用户承担;至于上图的SaaS模型下,用户所需关注的就只是业务管理方面的风险了。

责任共担,意味着需要用户关注的威胁更少,但不是上云之后不需要关心任何安全问题。阿里云及其他主流云服务商反复强调“责任共担”,即通过“责任共担“模型让用户更清晰地认识到自己的安全边界在哪里,自己需要为安全做哪些事情。这种责任划分也能很好地表明,云服务商在安全方面究竟做到了什么样的程度。

用户的安全责任 云服务商也“管”

如果说承担云平台底层安全责任是种必然,那么“阿里云云盾”就是将安全触及到用户层面了——属于用户的安全责任,阿里云就是通过云盾在“管”的。这里的“云盾”实际上是指阿里云自家在推的安全系列产品,如态势感知、先知、WAF、抗DDoS等,也包括了名为“安全管家”的产品。

“除了加密服务是我们和江南天安合作的,其它的阿里云云盾产品这些都是阿里云自己在做的。比如说我们提供的安全能力、安全防护产品,像是抗DDoS,阿里云甚至还默认自带一些抗DDoS流量。放眼全球的CSP,我们在安全上为用户做了很多的事情”

邬怡的另外一个身份就是阿里云云盾 · 安全管家产品的负责人。安全管家是将原本不在云服务商责任范围内的安全问题,也通过增值服务的方式去解决。

这项服务的本质是为用户提供整体安全运营服务,包括安全运营事前、事中、事后阶段还必须要的人参与处理的各种问题,比如安全技术体系设计、安全策略的制定、安全策略变更、应急响应等等。

Marketplace-750x370.jpg

“通过这套服务体系,帮助客户将安全运营做起来。现在安全人才非常紧缺,许多企业可能没有安全专家提升自己的安全水平。通过安全管家高水平的安全专家服务,能大幅度提升客户安全防御水平。这样一来,‘产品+运营’,用户整个安全体系就完整了。”

所以总的来说,安全管家更像是阿里云为企业提供的安全外包服务,甚至将安全运营囊括在内。所以我们玩笑似的问邬怡:如果大家都上云了,岂不是很多人就面临失业吗?甚至安全行业的规模是不是会变得越来越小?

传统安全厂商就要没钱赚了?

“我觉得在每次技术变革中,这样的情况都会发生。安全行业不会消失,但跟不上技术变革的厂商会消失。”这是邬怡对我们所提“失业”这个问题的回应。

409809828761.jpg

如此说来,正如先前云栖大会安全峰会之上,阿里云传达的理念,传统安全厂商的角色会发生变化。一方面是安全产品本身会上云,另一方面是SaaS化的交互方式。而“这原本就是未来安全的一个发展趋势,安全厂商会慢慢往上层走,上到应用层、业务层这个层面,基础设施提供商会把许多底层的安全做掉。”换句话说,云计算的发展是否有掘了传统安全厂商的坟墓的可能性?

我们知道,许多传统安全厂商是以出售实在的硬件设备为生的。而在邬怡看来,未来70%-80%的企业都会上云(那些无法上云的只是因为业务系统老旧,无法迁移),于是未来的绝大部分安全产品都将以软件的方式存在于云之上。从短期来看,这必然对传统安全厂商的赢利造成影响,这种矛盾和转变将承受的压力大约不是一朝一夕可以消解。究竟是安全厂商顺应大势做转型,还是这个时代压根不像云服务商所想,这是时间会去回应的,但这个所谓的趋势必然会遭遇一波阻力。

79FC0233-7AD8-4864-A76E-02DB906CAFE0.png

邬怡的看法似乎乐观很多:“每种技术变革的时候都会有一个效应,可能这东西成本更低了,看上去赚的钱更少,但用户使用量会大幅增加。比如说,如果电价降下来了,我相信电力公司的收入不会减少,只会增多。其实安全也是这样,安全SaaS化过后,中小企业也都买得起了,而不是纯粹大企业才能享受的了。”“随着万物互联时代的来临,未来可能面临的安全问题也只会越来越多。所以这个行业本身不会变小。”

“国外那些新初创的安全公司,基本都是贴着云的应用去做的。国外的云上有很多安全产品可以选择,国内基本上还非常少。而国外的云计算服务提供商为用户提供的第三方安全产品的选择都是比较丰富的。同时,安全厂商的产品也能无缝接入云环境,交付、配置、服务的体验都很流畅,而国内,用户的选择就少得多了。”这即是邬怡所说国内外环境的差异,在他看来,这种安全产品云化的趋势在国外已经相当显著,国内却才刚刚开始。

3098098072663.jpg

云安全向自动化、智能化方向进发

“云平台有丰富的API,为安全运营自动化打下了很好的基础。我们正在对安全管家产品做自动化,首先会发布一个云平台安全配置自动检查的工具。这个工具就是做云平台相关安全配置检查,客户只需要轻点鼠标就能检查云上架构是否有问题,配置是否安全。按照我们之前服务经验来看,云上很多安全问题都是很低级的配置问题,我们把这些问题的检查做成自动化,让用户能自助检查,更好的够适应云环境。之后包括持续监控、应急响应,慢慢都会做成自动化的模式,提供给用户。” 

“就目前来看,自动化还没有真正到智能决策这一块。现在的自动化主要还是在于一些流程的自动化。未来我们从方案制定到部署、运营,大部分都将由AI来决定,现在可能还做不到这一点,但这是我们未来努力的方向。”

ca50000c8ed975f6942.jpeg

“某些跟基础设施绑定很紧的安全,它一定会被基础厂商作为一种安全能力提供给客户,这要求安全厂商自己去转型”。这至少是阿里云对未来安全行业的预见,即便现在大约还不能让所有安全厂商接受。IDC今年的数据显示,2015年阿里云在国内公有云IaaS市场份额达到了31%,将第二名甩出几个身位。与此同时,中国公有云服务总市场规模14.42亿美元(IaaS为8.37亿,增70.7%),相比2014年增长53.8%,预计2020年会达到50亿。

如果企业全面上云真是个趋势,国内的传统安全厂商向何处去?是拥抱云计算,还是坚持自己的市场,在今后几年内,这或将是道不可避免的选择题。而从产品+生态的布局上看,阿里云意在建造的这个“云端安全王国”,似乎已初见端倪。未来的安全王国规模几何,你能想象吗?

* FreeBuf出品,作者:欧阳洋葱

未经允许不得转载:安全路透社 » 云计算时代传统安全企业路在何方?阿里云高级安全专家邬怡这么说

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册