信息來源:FreeBuf
RSA大會(huì)開始的第一天迎來了三個(gè)seminar�����,其中要數(shù)CSA的最引人關(guān)注�,這從等候入場的隊(duì)伍之長中可見一斑。
企業(yè)不僅接受了云計(jì)算更形成了混合云
云計(jì)算已然落地����,這一點(diǎn)相信沒有人會(huì)有異議。公有云方面����,AWS在2016年的凈營收為437.41億美元,未來十年將是亞馬遜在云計(jì)算業(yè)務(wù)上的收獲期����;私有云方面,VMWare的2016年年收入超過70億美元���,同比增長9%�����。國內(nèi)則以華為��、華三和眾多創(chuàng)業(yè)公司研發(fā)基于Openstack的云平臺(tái)在占領(lǐng)越來越多的市場����。
可以看到,北美近年來的一個(gè)顯著趨勢是�,不僅僅是個(gè)人,甚至連SMB(小型和中型企業(yè))���,也都越來越能夠接受公有云的應(yīng)用�,例如員工使用Office 365�����、Salesforce和Box等公有云的SaaS服務(wù)作為企業(yè)的各項(xiàng)應(yīng)用系統(tǒng)����。更進(jìn)一步����,企業(yè)除了公有云,可能還部署了私有云����,然后將這些不同類型的云環(huán)境和IT環(huán)境進(jìn)行連接����,形成了混合云�。
隨之而來的是各類安全威脅,例如數(shù)據(jù)所有權(quán)造成的信任問題�����,混合云/公有云所在區(qū)域與辦公地點(diǎn)間的數(shù)據(jù)傳輸安全問題���,以往企業(yè)安全管理規(guī)章如何適用于云端���,諸如此類。
云安全與傳統(tǒng)安全技術(shù)結(jié)合的化學(xué)反應(yīng)
解決這些問題的思路通常會(huì)有兩個(gè)方面:技術(shù)維度和管理維度�。美國在云安全的這兩方面走得都比較快,從今天的seminar能看到一些方向����。
先談技術(shù)的融合,本質(zhì)而言��,云計(jì)算是一種工作模式的變革��,技術(shù)層面幾乎可以與傳統(tǒng)的IT設(shè)施對(duì)應(yīng)。那么在實(shí)現(xiàn)云計(jì)算系統(tǒng)安全時(shí)���,必然會(huì)融合多種不同維度的安全技術(shù)�。例如���,云計(jì)算天然是部署在CSP側(cè)���,安全機(jī)制可以與很多Sec-aaS服務(wù)(例如威脅情報(bào)服務(wù))結(jié)合。微軟提到在一些針對(duì)行業(yè)客戶的定向攻擊中�,Azure通過終端和云端的各類型數(shù)據(jù)進(jìn)行關(guān)聯(lián),分析可疑行為�����,可以找到潛在的惡意攻擊模式�,產(chǎn)生針對(duì)攻擊者的威脅情報(bào),將相應(yīng)安全策略下發(fā)到客戶所在的其他行業(yè)客戶的應(yīng)用���,從而將未知的未知威脅轉(zhuǎn)換成了已知的未知威脅。
可以說��,微軟的云計(jì)算平臺(tái)支撐了大量的威脅情報(bào)產(chǎn)生���,而這些威脅情報(bào)進(jìn)一步在很多Sec-aaS應(yīng)用中扮演了重要的角色���。
其次���,從架構(gòu)和運(yùn)營模式上來看,私有云與傳統(tǒng)IT環(huán)境差別不大�,所以私有云安全常常是將安全設(shè)備進(jìn)行虛擬化防護(hù)東西向流量,或加入租戶等直接放置于南北向��,如圖所示���。
但混合云和公有云與企業(yè)網(wǎng)絡(luò)結(jié)合后���,管理會(huì)存在很多不可視、不可控的問題�。隨著北美市場公有云的興起,基于云訪問的安全代理(Cloud Access Security Brokers����,CASB)也成為這幾年云安全的熱點(diǎn),如Zscalar每年都準(zhǔn)備了砸硬件設(shè)備的show���,按照今年會(huì)場布置來看�����,應(yīng)該不會(huì)意外的�。
CASB成為混合云模式下的安全運(yùn)維解決方案之一
CASB可以使企業(yè)總部和多個(gè)分支機(jī)構(gòu)都通過統(tǒng)一的方式訪問公有云的服務(wù),而訪問請(qǐng)求�,會(huì)經(jīng)過客戶側(cè)或云端的CASB控制端,經(jīng)過訪問控制��、業(yè)務(wù)審計(jì)等安全操作后�����,進(jìn)而訪問云端應(yīng)用����。
從Zscalar、Skyhigh等公司的發(fā)展來看�,應(yīng)該說CASB在北美是有市場的,不過中國的公有云和SaaS還處于發(fā)展階段�,CASB在國內(nèi)還有很長的路要走。
此外����,混合云�����、BYOD等造成IT環(huán)境變得異構(gòu)、復(fù)雜和不易控制����,給安全運(yùn)維帶來了很大的挑戰(zhàn),如圖所示���。
軟件定義邊界(SDP�����,見下圖)近年來作為CSA重點(diǎn)推動(dòng)的一個(gè)安全架構(gòu)和協(xié)議����,目標(biāo)是在這樣的環(huán)境中實(shí)現(xiàn)軟件化和集中化的統(tǒng)一訪問控制系統(tǒng)���。
從業(yè)界反響來看這是一項(xiàng)有意義的工作��,今天Cryptzone公司(一家從事SDP比較知名的公司�����,它將SDP成功應(yīng)用于云服務(wù)和工控系統(tǒng))的產(chǎn)品VP Jason Garbis在演講中提到以往的TCP/IP應(yīng)用總是先連接后認(rèn)證���,而SDP則是先認(rèn)證后連接�,訪問控制的主體不是難以理解和運(yùn)維的IP地址����,而是訪問行為的主體和客體,所以SDP特別適用于大規(guī)模��、動(dòng)態(tài)系統(tǒng)的網(wǎng)絡(luò)管理�,Jason認(rèn)為SDP具備簡單、安全和動(dòng)態(tài)的特點(diǎn)�����,超越了傳統(tǒng)的訪問控制方法���;但不可否認(rèn)SDP遠(yuǎn)還沒有達(dá)到成熟和被認(rèn)可的階段��,它目前處于標(biāo)準(zhǔn)制定和驗(yàn)證階段�����,而Cryptzone正是SDP工作組中的活躍成員�����。
綠盟在SDP方面也做了大量的探索性工作�,我們也實(shí)現(xiàn)了一個(gè)nativeSDP的原型系統(tǒng)���。當(dāng)然業(yè)界也有觀點(diǎn)認(rèn)為SDP存在accept host和inithost插件開發(fā)和部署開銷�,“簡單”只是相對(duì)而言的�����,SDP更多的給大家?guī)砹怂伎迹涸瓉碓L問控制也可以做到軟件定義的����,例如我們在前兩年CSAsummit的時(shí)候就展示了用SDN實(shí)現(xiàn)BYOD訪問控制的方法,如圖所示�����。有意思的是����,Zscalar的CEO Jay Chaudhry在演講的時(shí)候把他們的CASB訪問控制也說成了SDP:因?yàn)榘踩呗钥梢栽谠贫吮欢x,也適用于多種混合環(huán)境����。
云計(jì)算雖然在很多理念和架構(gòu)上與傳統(tǒng)IT設(shè)施類似����,但資源租用的概念使得安全運(yùn)營存在多方關(guān)系���,也會(huì)引出如責(zé)權(quán)劃分的話題����。
例如��,數(shù)據(jù)由誰來防護(hù)��,如何防護(hù)等�����。在這點(diǎn)上��,微軟的演講中也提到了去年歐盟提出的通用防護(hù)規(guī)定GDPR可以平衡安全性和隱私性�����,實(shí)現(xiàn)云端數(shù)據(jù)管理的合規(guī)性�����。
此外,在安全運(yùn)營方面的責(zé)權(quán)劃分���,Skyhigh的StevenWard認(rèn)為應(yīng)該做到分享責(zé)任(shared responsiblity)���。
例如CASB廠商應(yīng)該實(shí)現(xiàn)行為識(shí)別和規(guī)則的映射機(jī)制���,并有一個(gè)團(tuán)隊(duì)實(shí)現(xiàn)常見的映射�,但即便這樣只能完成常見關(guān)鍵應(yīng)用����,可能只有300個(gè);而客戶所面對(duì)的是2.5萬個(gè)SaaS應(yīng)用和其他2萬個(gè)公司的800萬個(gè)應(yīng)用���,這些應(yīng)用只能由客戶通過CASB的工具自行實(shí)現(xiàn)映射識(shí)別和控制�����。當(dāng)然前提是CASB廠商所提供的映射工具足夠智能足夠簡單���,而用戶足夠有能力實(shí)現(xiàn)這個(gè)映射。
RSA 2017在云安全方面更多的是強(qiáng)調(diào)需要落地
總體而言,今年的RSA大會(huì)在云安全方面沒有給我們帶來太多技術(shù)方面的驚喜�,也許因?yàn)樵瓢踩袌鎏幱诒容^充分競爭的階段,客戶所需要的不是眼前一亮��,而是要真刀真槍地解決所面臨的云計(jì)算安全問題�;但隨著云基礎(chǔ)設(shè)施與客戶業(yè)務(wù)的進(jìn)一步結(jié)合,出現(xiàn)了很多新的應(yīng)用場景���,催生了新的安全解決方案和產(chǎn)品�����。北美市場的一些新的動(dòng)態(tài)����,也給我們帶來了有益的啟發(fā)�。
