云安全:融合面对未来
吴晓君的话说明了云安全的一大趋势:生态圈的整体融合。专家们表示,云安全生态圈的融合不仅仅是网络安全厂商优化资源、提升竞争力的举措,同样也是防御网络攻击的必然需求。
上图 “互联网+”的深入,让无数线下企业开始上“云”触网,它们薄弱的安全意识正是目前云安全遇到的重要挑战。图为线下商家尝试O2O电商销售。
中图 湖南麒麟信息工程技术有限公司的工作人员在演示其自主研发的云桌面系统,虚拟云桌面被视为解决云安全的一条产品创新途径。
下图 随着移动互联网的兴起,企业数据向云端迁徙的大趋势已不可避免,这是参展者在体验企业移动应用。
云服务越来越成为水、电、气一样的计算基础资源。
来自市场研究机构Gartner的数据显示,全球公共云服务市场规模今年有望达到2040亿美元,较去年增长16.5%。而来自亚马逊的最新财报更显示,亚马逊今年第二季度云业务营收达到28.9亿美元,同比高速增长58%。
从10年前谷歌正式提出“云计算”的概念开始,云服务正在不断改变企业的运营模式。可扩展性、弹性和成本降低都是云服务的优势所在,但企业对采用云服务仍有担忧,其忧虑的根本来源就是“云”上的安全问题。作为信息安全领域重要行业会议的C3安全峰会上周举行,与会厂商和专家表示,随着产业互联网和物联网的不断拓展,云安全正在成为下一代网络安全防护的重点。
企业上“云”,对网络安全提出了怎样的新要求?又给整个信息安全产业带来了怎样的变化?
从“家庭防盗”到“银行防护”
“作为自主研发的安全虚拟化桌面系统,我们新发布的麒麟安全云桌面不仅解决了国产CPU、国产整机、国产操作系统和应用软件的适配兼容性和自动升级问题,更重要的是也提升了云服务的安全等级。”湖南麒麟副总裁任启这样告诉记者,安全云桌面正是国产厂商为解决信息系统安全保密要求的创新实践。
为什么会有这样的实践?亚信集团董事长田溯宁有个形象的比喻:“传统的IT架构,像是你把钱塞在枕头底下,而云服务相当于你把钱存在银行里。”然而,和普通家庭的防盗相比,银行的安全防护显然更加困难。
这种困难一方面体现在安全边界变得模糊。腾讯网络安全玄武实验室掌门人于旸表示:“虚拟化网络中,网络通信不再通过交换机和网线,直接在内存中发生,云使得网络不再有清晰的边界。”在另一方面,云服务的低廉成本和对数据汇聚的巨大优势,也使许多过去缺少网络安全经验的小微企业和政府部门汇聚到云上。田溯宁也坦言:“很多政府部门连邮件系统都建设不好,现在所有业务要数据化云化,只能依靠厂商提供整个安全防护体系的解决方案。”
从云计算现阶段的实践来看,不少企业还选择了“公有云+私有云”的混合云服务,这让情况变得更加复杂。亚信安全云与虚拟化安全专家罗海龙告诉记者:“这相当于打通了企业的私有数据和互联网的绝对通道,甚至有可能要在私有云里面和公有云进行通讯,对安全也是巨大的考验。”
新的挑战让安全厂商做出了新的应对。从技术上来看,云安全厂商魔力象限亚太区系统工程部副总裁约瑟夫·格林认为,需要建立高度自动化的云安全预防措施。“因为攻击者针对云的工具是高度自动化的,甚至只需要花费几十块钱然后轻轻一点,几秒钟内便可激活成百上千次代理程序的运行,而很多企业却只能手动应对。”而从运营模式来看,目前云安全市场同样百花齐放,在安全云桌面外,还包括利用云安全技术强化威胁应对能力,独立向用户提供安全服务的运营模式,也包括搭建云安全开放平台,向用户提供“即需即用”云安全服务模式。“企业必须学会在云上设防,创造安全的云端基础环境。”腾讯董事会主席马化腾如是说。
“多管齐下”的整合前行
“随着金融创新不断发展,原有的边界正在被打破,随着云对数据的打通,信息安全问题不仅出现在保险公司端,也出现在保险公司的协作端,这就意味着要从制度和技术体系下,实现联防和协防来提高保护。”中国保监会吴晓君表示。
吴晓君的话正说明了云安全的一大趋势:生态圈的整体融合。专家们表示,云安全生态圈的融合不仅仅是网络安全厂商优化资源、提升竞争力的举措,同样也是防御网络攻击的必然需求。
在资本层面,融合让云安全领域的收购与结盟变得愈加频繁。在国际市场,微软分别收购云安全厂商Aorato和Adallom,思科宣布将斥资2.93亿美元收购云数据安全初创公司CloudLock。在国内市场,去年9月亚信科技与趋势科技联合发布公告,亚信科技收购趋势科技在中国的全部业务,包括核心技术及知识产权100多项,同时建立独立安全技术公司亚信安全。海通证券[0.13% 资金 研报]在其研报中表示,“云安全、移动和物联网安全、工控安全等,为安全厂商外延布局提供了机会,大型安全厂商平台化发展将被收购企业以模块化的形式嵌入自己的平台,这是大势所趋,行业将迎来新一轮并购浪潮。”
在资本之外,技术上的共享合作与产品上的开放兼容同样重要,比如态势感知与威胁情报的共享机制,以及云数据中心基础设施中实现威胁防御的智能联动。腾讯云鼎实验室负责人董志强表示,下一步的重点工作,就是联合各大厂商建立威胁情报驱动的协同防御体系,分享情报数据,同时携手构建攻防一体的安全生态。
而在政府管理部门层面,同样力图构建信息安全的生态体系。“未来要继续从政策、资金和产业推进等方面,大力加强力度,加快推进面向云计算、大数据、移动互联网等新型安全技术的研发和产业化。同时建立标准体系,壮大公共安全产业和服务体系,充分发挥网络安全产业联盟、骨干企业和用户单位的作用,促进产业链协同攻关。”工业和信息化部信息化和软件服务业司巡视员李颖表示。