官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
CybersecurityResearch发布《AWS云安全报告2019》,统计了AWS一年来云上安全现状以及用户对这个领域的需求和看法等。报告通过与400,000网络安全业内人士(包括技术人员、专家、管理者)探讨AWS云上用户如何应对云上安全威胁、采用何种工具和最佳实践。
同时本文还会结合国内外机构如中国信通院、CybersecurityResearch、IDC、PaloAltoNetworks等云安全相关报告的研究分析,借此,可以预测国内云计算市场所面临的同类问题和潜在需求。为企业,尤其是云服务商、云承建商提供参考和指引。
从AWS看云安全市场现状
09 云安全标准
随着云的部署,许多企业认识到需要与安全供应商合作,以获得内部无法获得的健全的保护能力。网络安全专家在云安全供应商中寻找的前三个属性包括:
云原生安全工具(65%)
成本效应(60%)
与云平台的无缝集成(60%)
客户希望云安全供应商提供什么?
图10 云上用户最期望的服务(来源:CybersecurityResearch)
10 云提供的传统安全工具
当用户和应用程序托管在一个静态的核心数据中心时,传统的网络安全工具就有了意义,但是这些遗留的安全工具和设备不是为动态的、分布式的云虚拟环境设计的。85%的受访者确认,遗留的安全解决方案要么根本无法在AWS云环境中工作,要么功能非常有限。
你的传统网络安全工具在云环境下工作得怎么样?
图11 云环境下传统方法使用情况(来源:CybersecurityResearch)
这是国内很多企业,尤其是政府、事业单位面临的较为头痛的问题之一。由于系统老旧,但又不能下线,又要迁移上云,这就使得传统工具和方法不再可用。部分企业选择重新开发适应新环境的系统,废弃老旧遗留系统或设施,但并不是所有企业都有能力做到这点,可以说大多数企业都做不到。
而这就需要云供应商为这类用户提供完善的迁移方案,以及后续上云后的持续技术支持和工具支持(或者支持传统遗留工具的接口),这将为一大批企业解决一大难题。
11 云原生安全工具驱动因素
企业认识到部署云原生安全解决方案的优势,包括:
更快的部署时间(52%)
更低的成本(47%)
任意地点的App安全访问需求(41%)
基于云安全解决方案的主要驱动因素
图12 云原生安全工具驱动因素(来源:CybersecurityResearch)
云原生理念的出现在很大程度上改变了这种现状。云原生是一系列云计算技术体系和企业管理方法的集合,既包含了实现应用云原生化的方法论,也包含了落地实践的关键技术。云原生专为云计算模型而开发,用户可快速将这些应用构建和部署到与硬件解耦的平台上,为企业提供更高的敏捷性、弹性和云间的可移植性。经过几年的发展,云原生的理念不断丰富,正在行业中加速落地。
我们很高兴的看到,国内各家云服务商均在积极落地云原生的理念,云原生技术已经在深度学习、边缘计算、区块链等场景上广泛应用,大幅降低了这些技术的使用门槛,促进了复杂应用的普遍化。
12 云安全部署的阻碍
尽管基于云的安全解决方案提供了显著的优势,但采用的障碍依然存在。当涉及到业务转换和云上应用时,三个重要的方面必须保持一致:人员、流程和技术。
我们的调查显示,企业面临的最大挑战不是技术,而是人员和流程。员工的专业技能和培训(58%)在调查中排名第一,其次是数据隐私问题(43%)和缺乏与本地技术的整合(37%)。
图13 云安全部署的阻碍(来源:CybersecurityResearch)
其他方面需求包括:
对加密密钥的有限控制(25%)|本地化工具的成本折损(23%)|云安全平台完整性(DDoS, breach,22%)|扩展性和性能(13%)
这一层面又回到了人的问题,也就是管理的问题。根据Palo Alto Networks的调查,中国有76%的企业在其基础设施中部署了超过10个安全工具以实现云安全,高于亚太区的59%。这是因为企业还保留着传统的观念和方法,在传统网络中国,企业习惯“货比三家”,从不同安全厂商采购不同的产品,最终整合到一个网络中,一方面是出于合规监管的驱动,另一方面受价格因素的驱动,导致一个网络中存在多个厂商的多个产品,一旦出现问题或需要调整,就要协调各家共同调整策略和方案,容易造成互相推诿,一个简单的变更可能会执行很久。
云上环境亦是如此,过多的安全工具并不能带来递增的安全效应,反而造成了安全管理的碎片化,尤其当企业在多云环境中运行的时候,碎片化意味着对安全很难做到及时响应和处理,使得云安全管理更加复杂,同时,过多的工具也意味着更多的潜在风险。
多云方式会导致危险的可视化缺陷。在中国,有77%受调查的大型企业表示这一情况相当普遍,高于亚太地区平均水平13个百分点。也就是说,大部分的企业没有一个统一管理安全的能力。而且,介于责任问题,很多安全服务商并不愿意承接这类安全服务项目。这里建议企业加深认识,同时提升企业自身安全技术积累,不要将自己的安全工作寄希望于其他组织。
13 云合规挑战
在本次调查中,针对企业在云合规方面面临的挑战问题,受访企业表示监控策略和过程的合规性(56%)是企业面临的与合规性相关的最大挑战,其次是对其云环境的审计和风险评估(54%)。
其他关注方面包括:
对于及时了解新的/变化的法规和法规要求(37%)|采用责任共担模式(37%)|扩展和自动化合规活动(30%)
图14 云合规的主要挑战(来源:CybersecurityResearch)
作为全球TOP1云服务提供商,AWS持续维护所有全球业务之间的高标准安全性和合规性,它拥有比其他云服务提供商更多的第三方安全与合规认证,支持包括ISO、SOC、PCI-DSS、HIPAA/HITECH、FedRAMP、《欧盟数据保护指令》、FIPS 140-2 、NIST 800-171在内的通用标准、细分领域标准以及各个国家出台的安全标准和合规性认证,优于其他厂商,有助于AWS客户满足全球几乎所有监管机构的合规性要求。
| 时间 | AWS合规里程碑 |
|---|---|
| 2013.5 | AWS 成为第一个获得 FedRAMP 认证的主要云服务提供商 |
| 2014 | AWS 获得美国国防部全美范围节点的初始授权 |
| 2014 | AWS GovCloud 获得美国国防部 CSM3-5 级初始授权 |
| 2014 | AWS 获得 ISO-9001 认证 |
| 2017.07.31 | Amazon Inspector 和 Amazon EC2 Systems Manager 现已通过 HIPAA 资格认证 |
| 2018.02.06 | Amazon Cloud Directory 通过 SOC 和 ISO 认证 |
| 2018.3.28 | AWS 服务达到了《通用数据保护条例》(General Data Protection Regulation,GDPR) 的要求 |
| 2018.08.30 | Amazon GuardDuty 现已符合 HIPAA 的要求 |
| 2018.11.12 | AWS Certificate Manager 现已符合 HIPAA 要求 |
| 2018.12.12 | AWS Certificate Manager 现已符合 SOC 和 PCI 要求 |
| 2019.05.23 | Amazon GuardDuty 现已通过 SOC 认证 |
| 2019.07.11 | AWS Resource Groups 现已符合 SOC 标准 |
| 2019.10.17 | Amazon Lex 实现 PCI DSS 合规性 |
表3 AWS安全合规关键节点事件
AWS在安全性和合规性方面采用了责任共担模型。AWS主要负责云基础设施及所有 AWS 发布的云服务的安全(Of Cloud),而AWS的客户负责在云上客户自己构建的应用或服务的安全(In Cloud)。AWS联合AWS的APN合作伙伴提供丰富的合规最佳实践文档、工具和功能、指南,帮助客户满足合规要求。
国内环境下,除满足云安全外,云合规性一直是企业上云过程中另一个备受关注的关键性问题。随着采用云的企业数量持续增加,关于云计算发展政策、云计算的行业标准和安全监管制度纷纷出台,国家和行业(特别是政企、金融等强监管行业)监管机构对云计算新场景的安全需求和防护提出了更严格的要求。
| 时间 | 政策/标准/规范 |
|---|---|
| 2015年4月1日 | 《信息安全技术云计算服务安全能力要求》正式实施 |
| 2019年12月1日 | 《信息安全技术 网络安全等级保护基本要求》(等保2.0)标准中增加了“云计算安全扩展要求”,并于2019年12月1日正式实施 |
| 2019年7月 | 国家网信办、国家发展改革委、工业和信息化部、财政部联合发布《云计算服务安全评估办法》,对党政机关、关键信息基础设施运营者采购使用的云计算服务提出更高安全要求 |
| 2019年8月 | 中国人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》,围绕大数据、云计算、人工智能等新兴技术在金融领域安全应用以及金融网络安全风险管控等提出细化措施 |
表4 我国云计算场景政策标准规范
14 云战略
43%的企业表示,他们的主要云部署策略是混合云,通过将多个云供应商集成为一个单一的无缝环境来优化投资。其余的受访者表示,他们选择的云部署是一种非集成的多云解决方案(33%),其次是单云(24%)。
日益增长的趋势是,企业出于多种原因利用多个云供应商,从高可用性(HA)、灾难恢复(DR)和多供应商采购策略等。
15 上云转换的阻碍
重要的是能认识到,尽管云有这么多好处,但也不是没有挑战。
缺乏合格的人员或专业知识(46%)是采用云的主要障碍,其次是:
通用安全风险(42%)
数据安全、丢失和泄漏风险(41%)
与现有IT环境的集成(40%)
调查强调了一些技术和企业上的障碍,这些会继续妨碍对云的采用,随着云技术的不断成熟,企业将更容易克服这些阻碍。
图16 上云的主要阻碍(来源:CybersecurityResearch)
其他方面包括:
合规问题(35%)|失控(27%)|担心被供应商牵制(26%)|内部阻碍和守旧(26%)|云服务模型缺少成熟度(23%)|云部署管理复杂化(21%)|缺乏透明度和可视性(21%)|缺少管理层的支持(19%)
对于企业上云的战略规划,可以借鉴一些国内外的优秀最佳实践,以及国家层面的战略计划,选择适合自身需求和发展的方法,并通过持续实践和改进以达成企业目标。企业在制定战略计划前,可以参考以下建议:
安全需要一开始就集成于云环境中,安全应成为加速云使用的助推器。
要在各类云部署中创建一致的安全策略,可在工具助力下实现完美部署,并且能够对全部云资产以及其面临的威胁形成统一视图。
允许多云环境的平滑部署和轻松扩展,消弭高度受控的安全团队与高度敏捷的研发团队之间的差距。
增加对IT和非IT人员的审核与培训。
借助本地集成的、数据驱动且基于分析的方法(包括机器学习、人工智能),实现威胁情报的自动化,避免人工出错情况的发生。
近年来,我国高度重视云计算的发展,在国家和地方层面出台了多项政策措施。当前,我国云计算呈现产业发展快速、创新能力增强、行业应用深入等特点,但也存在市场需求尚未完全释放、技术水平仍需加强、管理规范有待明确等问题。国家和地方政府将继续从过个方面促进云计算发展:
持续创造良好的云计算发展环境;
着力发展云原生技术能力及应用实践;
稳步构建开源风险管理和治理体系;
不断加强云计算产业链上下游合作;
持续增强传统行业供需双方信任度。
16 云承建商的信心
调查中询问了一些企业,云供应商可以采取哪些手段来提高他们向云迁移的信心。他们确定了5个关键的信心增强因素,以帮助他们减轻对安全的顾虑:静态数据加密(52%)是需要解决的首要问题,其次是:报告、审计和安全事件报警的API(49%),以及跨云设置和实施安全策略(47%)。
图17 客户最关心的安全顾虑(来源:CybersecurityResearch)
其他方面包括:
非托管设备访问限制(31%)|工作负载保护(21%)
随着国内云计算发展逐步走向成熟,加之《网络安全法》、《等级保护制度》等合规要求的驱动,用户现在除迁移上云之外,也开始更加关注云上安全的概念。2020年初国内几大公有云服务商纷纷推出自家的云上等保2.0解决方案,并为用户提供体系化的安全产品生态(如图17所示)。
各大云服务商在不断提升自身安全能力的同时,开始将内部能力向外产品化输出,同时,也开始为客户提供云上整体安全解决方案,与用户共同应对安全风险。
图18 云计算安全产品体系(来源:中国信通院)
2020年5月8日,国际数据公司(IDC)发布《中国公有云服务市场(2019下半年)跟踪》报告。报告显示,2019下半年中国公有云服务整体市场规模(IaaS/PaaS/SaaS)达到69.6亿美元,其中IaaS市场增速回落,同比增长60.9%,PaaS市场增速减缓,同比增长76.3%。
图19 2019下半年中国前五大公有云IaaS+PaaS厂商(来源:IDC中国)
2019年下半年延续了上半年的市场集中化趋势。阿里、腾讯、中国电信、华为、AWS位居IaaS+PaaS及IaaS市场前五,在IaaS+PaaS市场总体占据76.3%的市场份额,在IaaS市场总体占据77.5%的市场份额,持续拉大领先优势,呈现出“一超多强”的格局。
企业上云已是必然之趋势,但并非一帆风顺。随着业务系统向云上的迁移,企业将面临各种各样的问题。例如,上述调研中用户较为关心的遗留工具问题、业务要完全放在云上,还是部分业务上云、如何保证系统迁移过程的稳定性、如何统一管理复杂的多云和混合IT环境等等。要解决这些问题,就必须由“专业人事”来解决,因此一个新的服务领域--云管理服务提供商随之诞生。国内公有云服务商在咨询、分销、系统集成、独立软件开发商等方面开展云MSP合作伙伴计划,旨在帮助企业更好地上云、用云。这将大大提升用户对云服务商的信心,建立信任关系,同时也能促进云服务商自身的信心。
翻译、分析、解读:腾讯天幕团队
报告原文
https://www.cybersecurity-insiders.com/portfolio/2019-aws-cloud-security-report/
- 0 文章数
- 0 关注者