云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。“云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。关于云安全的定义,目前有两种观点:一种是云计算安全,主要是对云自身的安全保护,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等;另一种是安全云计算,通过使用云的形式提供和交付安全,即采用云计算技术来提升安全系统的服务性能,如基于云计算的防病毒技术、挂马检测技术等。随着云计算的普及,两个概念将实现融合发展的趋势,即以云计算的方式为云计算业务提供安全保护。云安全适用于所有云环境,包括私有云、公有云以及混合云。
2008年5月,趋势科技在美国正式推出了“云安全”技术。但是中国云安全行业的发展2011年仍处于萌芽期,直到2014年众多技术驱动的公司加入到该领域,同时2014年阿里云等公有云厂商正式上线云安全服务,行业逐渐进入快速发展阶段。2018年,传统安全公司与公有云安全厂商竞合关系逐步形成,传统安全公司安全服务接入公有云厂商,预示着云安全生态逐渐形成。2019年,阿里云市场中90%以上的云安全服务由安全厂商提供,云平台安全服务更依赖于专业第三方厂商。所以云平台服务提供商在高级安全防护服务技术领域均采取与专业安全厂商合作的方式提供云安全服务,建立“自主”与“第三方”并存的生态格局。
图1 云安全发展史
从发展的脉络分析,“云安全”相关的技术可以分两类:
一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。“云计算安全”和“安全即服务”这两类“云安全”技术的重合部分,就是指以云服务方式为使用云计算服务提供防护。
基于云计算的服务模式、部署模式和参与角色这三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。
NIST云计算安全参考架构的三个构成维度:
■ 云计算的三种服务模式:IaaS、PaaS、SaaS
■ 云计算的四种部署模式:公有、私有、混合、社区
■ 云计算的五种角色:提供者、消费者、代理者、承运者、审计者
图2 云计算架构参考模型(图源网络)
云计算具有虚拟化、规模化整合、高可靠性等特点,相应的云计算安全包含多种风险:数量泄露、数据丢失、恶意的内部人员、滥用云服务、不够充分的审查、共享技术漏洞、拒绝服务攻击、不安全接口/应用程序接口、账号劫持/服务流量劫持等。云服务因其总体架构、网络部署、运维服务具有相似性,面临着共性安全风险,主要包括基础设施、网络部署、云上应用、运维服务四个方面。
传统上,有些企业会选择安全代管服务(MSS,Managed Security Service),将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商(MSSP ,Managed Security Service Provider),以减轻企业IT和安全部门在信息安全方面的压力。随着技术和网络的发展,部分专业安全厂商开始采取类似的策略,不再向客户出售独立的安全软件和设备,而是直接通过网络为企业提供相应的安全托管服务(hosted security service):企业只需要负责配置和管理自身的安全策略和规则等工作,不用涉及软硬件的安装和升级维护等。
在云计算技术逐渐成熟以后,安全托管服务逐渐由厂商通过云服务平台提供;同时,也出现了一些直接通过云服务提供的其他安全技术和产品,统称安全即服务。按照云安全联盟(CSA,Cloud Security Alliance)发布的《云计算关键领域安全指南》(第四版,2017年7月)中介绍,SECaaS共有12类:
■ 身份,授权和访问管理服务
■ 云访问安全代理
■ Web安全
■ Email安全
■ 安全评估
■ Web应用防火墙
■ 入侵检测/防御
■ 安全信息和事件管理(SIEM)
■ 加密和密钥管理
■ 业务连续性和灾难恢复(BC/DR)
■ 安全管理
■ 分布式拒绝服务保护
与传统安全产品相比,SECaaS产品有诸多优势:
■ 快速部署,即买即用。企业不需要采购软件和硬件,在获得相应安全服务的授权后,经过简单配置即可使用。
■ 自动升级,免于维护。云端服务永远处于最新状态,企业不需要配备人员对安全设备和软件进行版本升级和日常维护。
■ 按需采购,灵活扩张。企业可以按当前的使用人数采购必须的安全功能,并根据需求变动随时增加或减少。
■ 支持移动,访问便捷。以云服务方式提供后,安全功能可以覆盖移动用户,扩大受保护的边界。
主要场景有:
■ 集成云服务解决业务和应用中的安全挑战
■ 使用云服务替代传统安全设备和方案
随着云计算和安全的发展,各类云平台和安全产品越来越多,“如何做到统一管理、统一运营”的难题也凸显出来。根据数据统计,93%的企业正在采用多云或混合云战略,企业上云并采用多云架构开展业务已经成为一种趋势。多云安全管理平台和云安全运营中心等统一管理型平台应运而生,支持多云安全管理,满足用户云上业务的安全需求,保障业务安全持续在线,实现本地和公有云侧的安全能力的打通;构造一个统一服务、统一运营、统一运维、统一调度、统一配置和统一权限的安全一体化服务平台,并且能够打通第三方公有云与本地侧安全资源池的一体化服务,构建异构混合云安全管理平台,亦可以实现安全能力的按需订阅、弹性扩展,通过人+工具+流程三维一体的体系化能力为用户提供云上托管及交钥匙服务。
据了解,云安全是信息安全技术和服务市场中增长速度最快的细分市场,而人们对支持远程办公和数字化业务(digital business)加速的创新尤其感兴趣。值得一提的是,Gartner 2021年云安全技术成熟度曲线(Gartner Hype Cycle for Cloud Security)总结了29项关键技术,它们能够帮助企业机构实现可控、合规、经济的云战略。
图3 2021年云安全技术成熟度曲线(图片源自Gartner)
相比2020年的云安全技术成熟度曲线,本周期新增了Cloud Native Application Protection Platforms (CNAPP)、Security Service Edge (SSE)、SaaS Security Posture Management (SSPM)。其中Gartner 总结,到2021年云安全技术成熟度曲线中的四项必备技术,也是未来重要发力的方向:
■ 安全访问服务边缘(SASE)
■ 安全服务边缘(SSE)
■ SaaS安全态势管理(SSPM)
■ 云原生应用保护平台(CNAPP)
一方面,云化的基础设施和平台需要安全防护,用传统安全手段赋能云计算;另一方面, 云计算的各种新技术、新理念(如软件定义、虚拟化、容器、编排和微服务等),也在深刻变革着当前的安全技术发展路线,因而,未来的云安全,一定会将“云”这个定语去除,等价于安全本身,即安全技术必然覆盖云计算场景,安全技术必然利用云计算技术。