王永

企業(yè)數字化轉型和云計算技術的加持下，企業(yè)上云趨勢勢不可擋。與此同時，數據量加大，網絡攻擊日趨頻繁，對企業(yè)來說，包括云計算安全在內的網絡安全部署的重要性日益顯現(xiàn)。

在Gartner2022年CIO技術執(zhí)行官問卷調查中，結果顯示：2022年有52%的企業(yè)會增加“云”投入，相對來說有32%的企業(yè)會減少傳統(tǒng)基礎架構和數據中心的投入。在網絡和信息安全方面，有46%的企業(yè)會增加投入。“云”和“安全”在企業(yè)增加投入的選項中，分別排名“第三”和“第四”。

可預見的是，隨著用戶在系統(tǒng)的基礎設施和軟件支出轉向“云服務”，云安全將會成中國安全和風險管理領導者最關鍵的任務之一。

針對當前中國的云安全市場，Gartner預測：到2023年，99%的“云安全”問題都是客戶的過錯，很少有主流的“云服務”提供商出現(xiàn)重大的安全事件；另一方面，到2024年，利用云基礎設施和編程性，改進云上工作負載的安全保護將展現(xiàn)出比傳統(tǒng)數據中心更好的合規(guī)性和減少至少60%的安全事件。

“通過這兩個預測，Gartner想表達的意思很簡單——相比傳統(tǒng)線下的基礎設施和平臺，云上是更安全的方式?！?不過在Gartner高級分析總監(jiān)高峰看來，“云安全”和傳統(tǒng)的線下基礎設施平臺安全有很大的不同，并且由于中國市場的獨特性、簡單的采用國外的一些“最佳實踐”并不一定有效。

事實上，相對于中國的云安全市場來說，企業(yè)大都面臨三個層面的挑戰(zhàn)：首先，對云安全責任分擔模型的理解和相關的技能缺失。在“云安全”中，云安全責任跟傳統(tǒng)的安全很大不同。理解“云安全”和“云安全”提供商的安全責任分工，是“云安全”成功的一個必要條件。云安全所需要的技能和傳統(tǒng)的以邊界為保護的安全也有很大不同。企業(yè)相對能力的缺失，使得云安全成功實施也受到很大的挑戰(zhàn)。

其次，沒有一個“云服務”提供商或者安全廠商，現(xiàn)在能提供企業(yè)所有需要的全部安全能力，所以在“云安全”技術選擇和運用上，企業(yè)也面臨著很多的困難。針對“云”的部署模式，企業(yè)現(xiàn)有的安全工具需要更新。

最后，中國企業(yè)上云很少會系統(tǒng)性的對云服務提供商做風險評估，不同的云服務提供商有著不同的風險、而且這個風險也并不是一成不變的，所以缺少持續(xù)的風險評估、會讓企業(yè)“云”上的資產面臨一定的威脅。

“我們認為對“云”的信任問題，主要是由于企業(yè)過于關注數據物理位置、存儲位置導致的，而不是實施安全控制?！?高峰表示，成功的“云安全”需要對“云安全”的責任共享模型有一個很好的理解，“安全、技術、工具部署”和對“云服務”提供商的風險也是非常重要的。當然，這一切的前提也需要考慮到中國使用“云”的合規(guī)性。

為此，Gartner針對企業(yè)面臨的云安全挑戰(zhàn)，提供了三個行動建議：明確企業(yè)和云服務提供商的安全責任范圍，建立“云安全”所需的能力；優(yōu)先選擇云服務提供商原生云安全工具，利用第三方和開源工具補充去實施云安全控制；以及對云服務提供商進行持續(xù)的風險評估。

具體來看，云的共享概念打破了IT資產的物理邊界，使得現(xiàn)有的架構無法很有效的保護“云”上的資產。另外，對于公有云的缺乏信任，中國許多組織都擔心數據的位置，他們認為：數據在自己的組織內部、在自己的物理邊界內更安全。這就導致了私有云和混合云在中國使用率一直很高，因為這兩種部署方式、仍然可以把數據存儲在組織內部的物理邊界內。這種對于物理數據位置的錯誤過度關注，犧牲了“云”自身的好處。

“企業(yè)組織過度關注數據的位置，是因為企業(yè)在實施云安全方面存在很多的困難，而大多數的云安全故障都是由客戶的配置造成的，所以這個不僅是因為資產物理邊界的缺失，還因為組織不知道如何和云服務提供商共同保護云上資產?！备叻灞硎?，云安全是基于“責任公攤的概念”，所以安全責任和因云的部署模式也有所不同。

也就是說，在私有部署的模式下，所有的責任由客戶自己承擔，“上云”之后，企業(yè)如果使用IaaS（基礎架構級服務），在物理和虛擬層的責任則是由“云提供商”承擔。

“對位置的過度關注并沒有太大的意義，不管用何種部署模式，數據的責任始終在企業(yè)，而其它的安全責任要根據您的部署不同去和供應商分攤，所以企業(yè)需要對云中數據實施安全的控制，這些控制可能和本地的方法不同?！备叻灞硎荆ㄟ^云服務商分擔其它安全，企業(yè)能夠投入更多的精力和關注度放在最核心的方面，比如：數據、身份和訪問管理，這樣可以做到比線下數據中心和傳統(tǒng)的基礎架構平臺更安全。

另一方面，用戶部署云安全的方式，Gartner的建議是：云提供商原生安全工具、第三方工具和開源工具。

其中，云提供商原生安全工具是云供應商提供的安全工具。目前，很多的工具已經具有企業(yè)級產品能力或者接近企業(yè)級產品的能力，而且因為它們和“云服務”是高度集成，采用云原生安全工具可以具有成本的效應，部署非常簡單、可以很快速的滿足客戶的需要安全需求。

此外，由于中國云服務和全球的云服務是基于兩朵云，建立在不同的物理基礎設施和運維模式，所以默認是不同的，這就導致了產品和技術的可用性以及服務模式的差異，部分的云安全工具在中國云中不可被使用。在這樣一個環(huán)境下，企業(yè)可以尋求第三方工具，進行更多的個性化配置和服務。

開源的工具也是實施云安全的一種選擇，尤其是在沒有可用的商業(yè)工具時，它不僅具備成本效應、而且是免費的，提供了靈活性和創(chuàng)新型，進行二次開發(fā)。不過需要注意的是，使用開源工具，必須要仔細評估它帶來的風險。

“企業(yè)要去評估云服務商的風險，并且是一個持續(xù)性的?！备叻逭J為，當前評估云服務商風險主要有多種方式：比如基于云服務商提供的宣傳資料，可獲取的價值比較低；雇傭第三方的評估機構或咨詢機構，不過成本較高，也需要花費更多的時間精力；根據云服務商的數量做一個三層模型，包括少量成熟的第一級的大型云服務提供商，越來越多的云服務提供商和大多數的小型云服務提供商。

更重要的一點是，在“云評估”環(huán)節(jié)，第三方的評估和證明，通常是用于評估“云運營服務商”的安全性。在中國的“云服務提供商”需要更多關注這些方面的認證，比如：MLPS、《中國網絡安全法》等。