科技云报道原创。
随着企业上云已是大势所趋,云上安全成为企业数字化转型趋势下不可忽视的重要因素。《网络安全法》《数据安全法》《个人信息保护法》等法律法规的出台,使得我国网络安全在制度层面得到进一步完善。在国外,欧盟的GDPR、美国的CCPA等相关数据安全法律法规,无不彰显对数据保护的力度。因此,在云环境下如何确保数据和应用安全的要求,也成为云服务商与企业用户的共同目标。
在云安全方面,由于不同云技术厂商对于IaaS、PaaS、SaaS安全责任边界存在一定程度的模糊性,且许多企业会采用多云模式,而企业云上安全责任边界如果不清晰,就很容易形成安全薄弱环节,成为网络攻击与违法犯罪的入口。
云安全成为数字时代新的“主战场”
如今,数据作为关键生产要素和重要的战略资产,备受各国政府的关注和重视。但与此同时,海量的数据催生了许多安全管理问题,消费者的数据安全和用户的隐私保护工作愈发重要。放眼全球,各国也都在持续优化数据安全政策环境。安全合规,已经成为当下中国企业迈向云端的一堂必修课。
受数字化转型影响,越来越多的企业希望借助更现代化的数据备份、恢复和管理解决方案,实现关键业务变革。目前,数据的存储主要以云架构为技术基础,采用虚拟分布式存储的方式,在云端进行数据信息的操作处理。云存储提供了一种低成本的方案,企业不需要维护冗余设施,在花费更少资金的情况下,通过企业信息化管理提升工作效率。
《Veeam 2022 数据保护趋势报告》调研显示,2020年,30%的企业选择把数据备份在本地数据中心,23%的企业选择把数据备份在DRaaS云提供商那里;2021年,28%的企业选择把数据备份在本地数据中心;30%的企业选择把数据备份在云端。并且,本地数据正在快速向云端迁移,预计到2024年,将有53%的企业选择把数据备份在云端。
Gartner也发现,中国数据库正加速增长并逐步向云端迁移。数据显示,2020年云数据库已占据整体数据库市场份额的40%,预计2022年云数据库营收数据将占据数据库整体市场的半数以上。未来四年,中国数据库向公有云迁移的速度将超过全球平均水平。
随着企业对云计算的依赖度越来越高,风险敞口也一步步暴露出来。美国电信运营巨头Verizon发现,现今大部分的网络安全事件都涉及云端基础架构,而且外部云端资产受到的影响高于内部资产。有一半的企业将其40%以上的数据储存于外部云端环境,但对敏感数据进行加密保护的企业却并不多。
AWS在2021年8月针对使用者所进行的一项调查发现,100%受访者都在公有云环境,至少遭遇过一次安全事故。如今,大多数企业的IT系统会在多云环境下运行,但不同的云服务厂商带来了更严峻的安全挑战。大多数人表示,关于谁应该做什么,共同责任模型通常不够明确。公有云和混合云的快速采用,让安全维护变得更加困难,而疫情的推波助澜也加速了企业数字化转型的进程,这让云安全成为企业的刚需配置。
宜未雨而绸缪 勿临渴而掘井
根据Cybersecurity Insiders发布的《2021年云安全报告》显示,云安全是企业的“心腹大患”,几乎所有的受访者(96%)都表示有至少中等程度的安全担忧,三分之一的受访者(33%)表示对公有云安全非常担忧。
云平台安全能力与独立第三方安全产品难以抉择,平台、租户、应用厂商之间安全责任划分不清,合规监管下无法进行有效整改,云上安全风险无法主动识别,事件无法持续监控与响应,安全风险和态势无法全面洞察是企业面临的一系列安全挑战。
云安全带来的挑战首先来自于,企业需要控制数据,并确保数据的安全性和隐密性。无论是外包数据存储还是使用流行的云计算SaaS应用程序,将更多数据存储在云端,意味着可能给信息带来更多不必要的或者未经授权的访问。但因为云计算带来的商业利益,很多企业还是将业务和数据不断转移到云端。所以,企业安全团队和IT团队需要竭力保护云端数据,同时允许用户对云端数据的合理访问和使用。
其次,另一个巨大的挑战是确定云数据的具体位置。一旦数据离开企业的防火墙,转移到云计算中,这些数据通常会位于云服务供应商的设备中,这通常位于企业外部。由于各个国家和各个行业的法规都不同,企业必须能够遵守适用其数据的法规,这对于跨国企业来说是一个很大的挑战,他们需要遵守特定的数据法规,而他们的云服务供应商可能位于多个国家。
同时,安全建设的碎片化,网络安全意识存在偏差,也成为企业所面临的挑战之一。网络环境复杂度的增强,安全事件攻击手段的提升使网络空间的攻防战愈演愈烈,传统的人工应对方式已经完全不足以解决当前数量巨大、变化多端的威胁信息和攻击;在安全制度方面,安全事件处理流程无法标准化,安全专家经验不能迭代固化,使得安全建设体系发展缓慢;未体系化建设的安全,又常常是产品的堆砌,不同安全产品之间各自为战,碎片化、孤岛化,不仅无法带来安全能力的提升,反而增加运营团队的压力。
所以,企业需要提升云安全能力,制定规范的安全策略,构建有效的安全运营体系框架,在安全无忧的环境之中释放云能力,为数字化转型赋能。
在海外,亚马逊AWS、微软Azure均采用了与用户共担风险的安全策略。对IaaS服务来说,云服务商需保障物理、网络和虚拟化层面的安全,而用户需要保障操作系统、应用程序和数据的安全;对PaaS服务来说,操作系统安全也归云服务商负责,用户只需要负责应用程序和数据安全;对SaaS服务来说, 用户要负责的就是数据安全,而其他所有的部分都是云服务商的保障范围。
亚马逊云科技大中华区战略业务发展部总经理顾凡表示,随着企业加速上云,企业放到云上的数据类型、数量也会继续增加。而随着今天越来越多的中国企业出海,很多企业业务在全球范围拓展,甚至有很多企业是跨若干行业赛道进行竞争,所有这一切都会加剧企业面对安全合规的挑战。安全不仅仅是技术的问题,也是管理的问题。亚马逊云科技的“JobZero安全文化”将安全作为亚马逊云科技最高优先级的工作。
亚马逊云科技大中华区战略业务发展部总经理顾凡
亚马逊云科技为客户打造防护体系的宗旨是,帮助客户更简单地解决安全问题,持续不断加大安全投入,却不设置安全方面的营收指标,要让安全服务像水和空气一样,提供给用户。不依靠水和空气产生利润,却需要给用户提供优质的水和空气,创造健康的环境。亚马逊云科技目前提供了280多个安全、合规服务及功能,在五大领域为客户提供全方位的安全服务。
针对这种责任共担机构的分界线,顾凡透露,在IaaS、PaaS、SaaS不同的场景分界线会有所移动。举例来说,如果客户使用的是基础资源,分界线是云厂商保护云基础设施,例如虚拟机、网络存储、计算,用户负责虚拟化之上的资源,例如操作系统、应用、数据访问、加密。如果客户在云上采用的是PaaS服务,亚马逊云科技肩负的责任会更多。到SaaS服务的时候,客户主要负责的就是数据,以及数据的访问权限。
随着企业客户对于云的使用量增长,云业务在增长的同时也激发出更大的安全需求,云安全正成为数字时代新的主战场。基于云架构和针对数据的安全体系将被快速、广泛地结合进现有安全体系得到实践,以符合政策的监管和企业的需求。同时,各类产业的安全需求将更加细化,以实现更加严格的安全防护。因此,企业该如何保护业务,更好应对日益增长的威胁,这都是留给网络安全领域巨大的增长空间。
来源:科技云报道
免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与 无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。