“萬(wàn)物皆可云”時(shí)代，云安全比任何時(shí)候都更重要！

科技云報(bào)道原創(chuàng)。

隨著企業(yè)上云已是大勢(shì)所趨，云上安全成為企業(yè)數(shù)字化轉(zhuǎn)型趨勢(shì)下不可忽視的重要因素?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的出臺(tái)，使得我國(guó)網(wǎng)絡(luò)安全在制度層面得到進(jìn)一步完善。在國(guó)外，歐盟的GDPR、美國(guó)的CCPA等相關(guān)數(shù)據(jù)安全法律法規(guī)，無(wú)不彰顯對(duì)數(shù)據(jù)保護(hù)的力度。因此，在云環(huán)境下如何確保數(shù)據(jù)和應(yīng)用安全的要求，也成為云服務(wù)商與企業(yè)用戶的共同目標(biāo)。

在云安全方面，由于不同云技術(shù)廠商對(duì)于IaaS、PaaS、SaaS安全責(zé)任邊界存在一定程度的模糊性，且許多企業(yè)會(huì)采用多云模式，而企業(yè)云上安全責(zé)任邊界如果不清晰，就很容易形成安全薄弱環(huán)節(jié)，成為網(wǎng)絡(luò)攻擊與違法犯罪的入口。

?

?

云安全成為數(shù)字時(shí)代新的“主戰(zhàn)場(chǎng)”

如今，數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素和重要的戰(zhàn)略資產(chǎn)，備受各國(guó)政府的關(guān)注和重視。但與此同時(shí)，海量的數(shù)據(jù)催生了許多安全管理問(wèn)題，消費(fèi)者的數(shù)據(jù)安全和用戶的隱私保護(hù)工作愈發(fā)重要。放眼全球，各國(guó)也都在持續(xù)優(yōu)化數(shù)據(jù)安全政策環(huán)境。安全合規(guī)，已經(jīng)成為當(dāng)下中國(guó)企業(yè)邁向云端的一堂必修課。

受數(shù)字化轉(zhuǎn)型影響，越來(lái)越多的企業(yè)希望借助更現(xiàn)代化的數(shù)據(jù)備份、恢復(fù)和管理解決方案，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)變革。目前，數(shù)據(jù)的存儲(chǔ)主要以云架構(gòu)為技術(shù)基礎(chǔ)，采用虛擬分布式存儲(chǔ)的方式，在云端進(jìn)行數(shù)據(jù)信息的操作處理。云存儲(chǔ)提供了一種低成本的方案，企業(yè)不需要維護(hù)冗余設(shè)施，在花費(fèi)更少資金的情況下，通過(guò)企業(yè)信息化管理提升工作效率。

《Veeam 2022 數(shù)據(jù)保護(hù)趨勢(shì)報(bào)告》調(diào)研顯示，2020年，30%的企業(yè)選擇把數(shù)據(jù)備份在本地?cái)?shù)據(jù)中心，23%的企業(yè)選擇把數(shù)據(jù)備份在DRaaS云提供商那里；2021年，28%的企業(yè)選擇把數(shù)據(jù)備份在本地?cái)?shù)據(jù)中心；30%的企業(yè)選擇把數(shù)據(jù)備份在云端。并且，本地?cái)?shù)據(jù)正在快速向云端遷移，預(yù)計(jì)到2024年，將有53%的企業(yè)選擇把數(shù)據(jù)備份在云端。

Gartner也發(fā)現(xiàn)，中國(guó)數(shù)據(jù)庫(kù)正加速增長(zhǎng)并逐步向云端遷移。數(shù)據(jù)顯示，2020年云數(shù)據(jù)庫(kù)已占據(jù)整體數(shù)據(jù)庫(kù)市場(chǎng)份額的40%，預(yù)計(jì)2022年云數(shù)據(jù)庫(kù)營(yíng)收數(shù)據(jù)將占據(jù)數(shù)據(jù)庫(kù)整體市場(chǎng)的半數(shù)以上。未來(lái)四年，中國(guó)數(shù)據(jù)庫(kù)向公有云遷移的速度將超過(guò)全球平均水平。

隨著企業(yè)對(duì)云計(jì)算的依賴度越來(lái)越高，風(fēng)險(xiǎn)敞口也一步步暴露出來(lái)。美國(guó)電信運(yùn)營(yíng)巨頭Verizon發(fā)現(xiàn)，現(xiàn)今大部分的網(wǎng)絡(luò)安全事件都涉及云端基礎(chǔ)架構(gòu)，而且外部云端資產(chǎn)受到的影響高于內(nèi)部資產(chǎn)。有一半的企業(yè)將其40%以上的數(shù)據(jù)儲(chǔ)存于外部云端環(huán)境，但對(duì)敏感數(shù)據(jù)進(jìn)行加密保護(hù)的企業(yè)卻并不多。

AWS在2021年8月針對(duì)使用者所進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，100%受訪者都在公有云環(huán)境，至少遭遇過(guò)一次安全事故。如今，大多數(shù)企業(yè)的IT系統(tǒng)會(huì)在多云環(huán)境下運(yùn)行，但不同的云服務(wù)廠商帶來(lái)了更嚴(yán)峻的安全挑戰(zhàn)。大多數(shù)人表示，關(guān)于誰(shuí)應(yīng)該做什么，共同責(zé)任模型通常不夠明確。公有云和混合云的快速采用，讓安全維護(hù)變得更加困難，而疫情的推波助瀾也加速了企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)程，這讓云安全成為企業(yè)的剛需配置。

?

宜未雨而綢繆 勿臨渴而掘井

根據(jù)Cybersecurity Insiders發(fā)布的《2021年云安全報(bào)告》顯示，云安全是企業(yè)的“心腹大患”，幾乎所有的受訪者（96%）都表示有至少中等程度的安全擔(dān)憂，三分之一的受訪者（33%）表示對(duì)公有云安全非常擔(dān)憂。

云平臺(tái)安全能力與獨(dú)立第三方安全產(chǎn)品難以抉擇，平臺(tái)、租戶、應(yīng)用廠商之間安全責(zé)任劃分不清，合規(guī)監(jiān)管下無(wú)法進(jìn)行有效整改，云上安全風(fēng)險(xiǎn)無(wú)法主動(dòng)識(shí)別，事件無(wú)法持續(xù)監(jiān)控與響應(yīng)，安全風(fēng)險(xiǎn)和態(tài)勢(shì)無(wú)法全面洞察是企業(yè)面臨的一系列安全挑戰(zhàn)。

云安全帶來(lái)的挑戰(zhàn)首先來(lái)自于，企業(yè)需要控制數(shù)據(jù)，并確保數(shù)據(jù)的安全性和隱密性。無(wú)論是外包數(shù)據(jù)存儲(chǔ)還是使用流行的云計(jì)算SaaS應(yīng)用程序，將更多數(shù)據(jù)存儲(chǔ)在云端，意味著可能給信息帶來(lái)更多不必要的或者未經(jīng)授權(quán)的訪問(wèn)。但因?yàn)樵朴?jì)算帶來(lái)的商業(yè)利益，很多企業(yè)還是將業(yè)務(wù)和數(shù)據(jù)不斷轉(zhuǎn)移到云端。所以，企業(yè)安全團(tuán)隊(duì)和IT團(tuán)隊(duì)需要竭力保護(hù)云端數(shù)據(jù)，同時(shí)允許用戶對(duì)云端數(shù)據(jù)的合理訪問(wèn)和使用。

其次，另一個(gè)巨大的挑戰(zhàn)是確定云數(shù)據(jù)的具體位置。一旦數(shù)據(jù)離開(kāi)企業(yè)的防火墻，轉(zhuǎn)移到云計(jì)算中，這些數(shù)據(jù)通常會(huì)位于云服務(wù)供應(yīng)商的設(shè)備中，這通常位于企業(yè)外部。由于各個(gè)國(guó)家和各個(gè)行業(yè)的法規(guī)都不同，企業(yè)必須能夠遵守適用其數(shù)據(jù)的法規(guī)，這對(duì)于跨國(guó)企業(yè)來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn)，他們需要遵守特定的數(shù)據(jù)法規(guī)，而他們的云服務(wù)供應(yīng)商可能位于多個(gè)國(guó)家。

同時(shí)，安全建設(shè)的碎片化，網(wǎng)絡(luò)安全意識(shí)存在偏差，也成為企業(yè)所面臨的挑戰(zhàn)之一。網(wǎng)絡(luò)環(huán)境復(fù)雜度的增強(qiáng)，安全事件攻擊手段的提升使網(wǎng)絡(luò)空間的攻防戰(zhàn)愈演愈烈，傳統(tǒng)的人工應(yīng)對(duì)方式已經(jīng)完全不足以解決當(dāng)前數(shù)量巨大、變化多端的威脅信息和攻擊；在安全制度方面，安全事件處理流程無(wú)法標(biāo)準(zhǔn)化，安全專家經(jīng)驗(yàn)不能迭代固化，使得安全建設(shè)體系發(fā)展緩慢；未體系化建設(shè)的安全，又常常是產(chǎn)品的堆砌，不同安全產(chǎn)品之間各自為戰(zhàn)，碎片化、孤島化，不僅無(wú)法帶來(lái)安全能力的提升，反而增加運(yùn)營(yíng)團(tuán)隊(duì)的壓力。

所以，企業(yè)需要提升云安全能力，制定規(guī)范的安全策略，構(gòu)建有效的安全運(yùn)營(yíng)體系框架，在安全無(wú)憂的環(huán)境之中釋放云能力，為數(shù)字化轉(zhuǎn)型賦能。

在海外，亞馬遜AWS、微軟Azure均采用了與用戶共擔(dān)風(fēng)險(xiǎn)的安全策略。對(duì)IaaS服務(wù)來(lái)說(shuō)，云服務(wù)商需保障物理、網(wǎng)絡(luò)和虛擬化層面的安全，而用戶需要保障操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的安全；對(duì)PaaS服務(wù)來(lái)說(shuō)，操作系統(tǒng)安全也歸云服務(wù)商負(fù)責(zé)，用戶只需要負(fù)責(zé)應(yīng)用程序和數(shù)據(jù)安全；對(duì)SaaS服務(wù)來(lái)說(shuō)， 用戶要負(fù)責(zé)的就是數(shù)據(jù)安全，而其他所有的部分都是云服務(wù)商的保障范圍。

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡表示，隨著企業(yè)加速上云，企業(yè)放到云上的數(shù)據(jù)類型、數(shù)量也會(huì)繼續(xù)增加。而隨著今天越來(lái)越多的中國(guó)企業(yè)出海，很多企業(yè)業(yè)務(wù)在全球范圍拓展，甚至有很多企業(yè)是跨若干行業(yè)賽道進(jìn)行競(jìng)爭(zhēng)，所有這一切都會(huì)加劇企業(yè)面對(duì)安全合規(guī)的挑戰(zhàn)。安全不僅僅是技術(shù)的問(wèn)題，也是管理的問(wèn)題。亞馬遜云科技的“JobZero安全文化”將安全作為亞馬遜云科技最高優(yōu)先級(jí)的工作。

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡

亞馬遜云科技為客戶打造防護(hù)體系的宗旨是，幫助客戶更簡(jiǎn)單地解決安全問(wèn)題，持續(xù)不斷加大安全投入，卻不設(shè)置安全方面的營(yíng)收指標(biāo)，要讓安全服務(wù)像水和空氣一樣，提供給用戶。不依靠水和空氣產(chǎn)生利潤(rùn)，卻需要給用戶提供優(yōu)質(zhì)的水和空氣，創(chuàng)造健康的環(huán)境。亞馬遜云科技目前提供了280多個(gè)安全、合規(guī)服務(wù)及功能，在五大領(lǐng)域?yàn)榭蛻籼峁┤轿坏陌踩?wù)。

針對(duì)這種責(zé)任共擔(dān)機(jī)構(gòu)的分界線，顧凡透露，在IaaS、PaaS、SaaS不同的場(chǎng)景分界線會(huì)有所移動(dòng)。舉例來(lái)說(shuō)，如果客戶使用的是基礎(chǔ)資源，分界線是云廠商保護(hù)云基礎(chǔ)設(shè)施，例如虛擬機(jī)、網(wǎng)絡(luò)存儲(chǔ)、計(jì)算，用戶負(fù)責(zé)虛擬化之上的資源，例如操作系統(tǒng)、應(yīng)用、數(shù)據(jù)訪問(wèn)、加密。如果客戶在云上采用的是PaaS服務(wù)，亞馬遜云科技肩負(fù)的責(zé)任會(huì)更多。到SaaS服務(wù)的時(shí)候，客戶主要負(fù)責(zé)的就是數(shù)據(jù)，以及數(shù)據(jù)的訪問(wèn)權(quán)限。

隨著企業(yè)客戶對(duì)于云的使用量增長(zhǎng)，云業(yè)務(wù)在增長(zhǎng)的同時(shí)也激發(fā)出更大的安全需求，云安全正成為數(shù)字時(shí)代新的主戰(zhàn)場(chǎng)?；谠萍軜?gòu)和針對(duì)數(shù)據(jù)的安全體系將被快速、廣泛地結(jié)合進(jìn)現(xiàn)有安全體系得到實(shí)踐，以符合政策的監(jiān)管和企業(yè)的需求。同時(shí)，各類產(chǎn)業(yè)的安全需求將更加細(xì)化，以實(shí)現(xiàn)更加嚴(yán)格的安全防護(hù)。因此，企業(yè)該如何保護(hù)業(yè)務(wù)，更好應(yīng)對(duì)日益增長(zhǎng)的威脅，這都是留給網(wǎng)絡(luò)安全領(lǐng)域巨大的增長(zhǎng)空間。

來(lái)源：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。