首頁 > 關于我們 > 新聞動態 > 深度解讀

2018云安全回顧 | 新技術體系逐漸成熟 新熱點方向不斷產生 ——2018年云安全六大熱點技術分析

發布時間 2019-01-07
隨著國內外對云市場重視程度的提升,從公有云到私有云到多云混合云,從政務云到智慧城市,云市場進一步發展,而隨之帶來的安全問題同樣日益受到重視。

全球知名的IT研究與顧問咨詢公司Gartner預測,到2022年全球云安全市場規模將從2017年的58億美元達到近120億美元。伴隨市場需求的提升,近幾年云安全新方向與技術也層出不窮。

在歲末年初之際,本文圍繞對2018年云安全領域的觀察和分析,總結回顧了2018年云安全領域的六大熱點技術方向。



 · 01 · 
云安全資源池技術

近年來,國內幾乎所有安全廠商的云安全解決方案中都能看到云安全資源池的身影。信通院發布的《云計算安全白皮書(2018)》中指出,2017年國內云計算整體市場規模達691.6億元,其中私有云市場規模達426.8億元,占總體市場的61.7%。國內私有云市場依舊占有主導地位,而云安全資源池這種特別適用于兼容多種云廠商、安全資源獨立的云安全產品及其帶來的云安全解決方案在私有云場景中具有無可比擬的優勢,這也不難理解云安全資源池在國內云安全市場的主導地位。

云安全資源池為云計算或虛擬化資源池環境提供池化安全能力,可以滿足云計算環境的東西向及南北向安全監測與防護需求。其技術路線為采用虛擬化技術,將安全產品的軟件從硬件中分離出來并運行在池化的虛擬環境中,使得多種安全產品可以直接運行在通用的物理服務器上,并由多臺設備共同構成資源池,可同時實現安全能力的彈性擴展和統一調度。


安全資源池化技術不但可以充分繼承傳統安全領域技術多年來的技術積累,也可作為新技術運營的平臺,與其說云安全資源池是一類安全產品,不如說其是一種安全體系,有著兼容并包和與時俱進的能力。當然資源池技術也有自身的缺點和局限,在適配多云平臺時受限于云廠商自有的接口和自有的流量技術,需要與云廠商進行一定的適配和合作。


 · 02 · 
云工作負載防護平臺(CWPP)

我們先來看一下Gartner對云工作負載防護平臺做的基本定義:
(Cloud Workload Protection Platforms)
Modern data centers support workloads thatrun in physical machines, virtual machines (VMs), containers, private cloudinfrastructure and almost always include some workloads running in one or morepublic cloud infrastructure as a service (IaaS) providers. Hybrid cloudworkload protection platforms (CWPP) provide information security leaders withan integrated way to protect these workloads using a single management consoleand a single way to express security policy, regardless of where the workloadruns.

現代數據中心支持運行在物理設備、虛擬機(VM)、容器以及私有云基礎架構中的各種工作負載,并且幾乎總是涉及一些在一個或多個公有云基礎設施即服務(IaaS)提供商中運行的工作負載。云工作負載防護平臺(CWPP)市場定義為基于主機的解決方案,主要滿足現代混合數據中心架構中,服務器工作負載的防護要求。它為信息安全領導者提供了一種集成的方式,通過使用單一管理控制臺和統一安全策略來保護這些工作負載,而不用考慮工作負載運行的位置。
 

安全技術的發展勢必跟隨著網絡環境和架構的變化而變化,隨著2018年云計算大環境發生的各種變化,CWPP技術也產生了很多新的需求和發展方向。如容器化、無服務架構等技術的發展勢必導致CWPP需要提供相應的防護支持。又如GDPR、PCI等因素的存在,合規檢查和提供合規報告等能力也被加入CWPP產品需求中。

在此,本文總結了一些CWPP在當前云計算大環境中可能的發展趨勢和需求:
? 對不同工作負載具有不同安全需求實現獨立的防護
? 多云環境的標準化適配
? 特殊云環境(例如加密環境等)的防御適配
? 除了IaaS云環境外的其他環境支持,包括容器、無服務計算、原生云等應用支持
? 自動化CWPP管理
? 合規要求和合規報告支持
? 提供數據安全防護
? 威脅情報、建議及相應配套措施
? 身份認證


 · 03 · 
微隔離

微隔離使用策略驅動的防火墻或者網絡加密技術來隔離數據中心、公有云IaaS和容器中的工作負載、應用和進程。微隔離的發展離不開云計算環境和數據中心東西向流量安全越來越被受重視,微隔離技術打破傳統防火墻技術,利用統一的管理和AI技術可以管理具有大規模網絡節點的數據中心網絡,這在傳統技術范疇中可能會耗費大量的人力、金錢和時間資源。同時,微隔離技術還能形成網絡中的可視化流量,更利于管理員對大規模網絡的整體情況把控。
 


從市場規模來看,美國初創公司Illumio可以說是國外微隔離創業公司的代表,從2013年成立至今,5年時間已經成長為融資2.67億美元的獨角獸,充分說明微隔離技術的市場空間。

但是微隔離技術從某種意義上來說,功能太過單一,大部分廠商僅實現了基于策略的訪問控制功能,更大的意義在于可視化的流量展示,從安全能力的角度來說還比較弱?,F有的一些廠商也在積極地做著能力的擴充,如漏洞管理、攻擊鏈可視化等,但是離用戶對其的期待還有差距。因此我們認為現階段的微隔離技術必須配合其他安全技術才能形成整體上的安全解決方案,以保障云上安全。


 · 04 · 
容器安全

容器安全針對容器環境進行安全防護、測試和控制,廣泛意義上的容器安全保護資產和容器內容的可信。容器主要面臨的安全威脅包括容器提權、容器漏洞、特權容器、拒絕服務、資源耗盡等,而現有針對容器安全問題業界的手段也主要集中在針對容器安全掃描、提供安全鏡像、基于容器行為的異常檢測、容器安全編排、基線檢查等。

RSA2018創新沙盒決賽廠商StackRox則利用分布式架構對容器場景下的應用數據進行收集和分析,從而阻止攻擊,能夠做到整個容器生命周期的安全,并解決runtime的問題。
 


國外類似StackRox專注于容器安全的廠商也越來越多,如Aqua Security則使用額外的區域隔離實現容器到容器的通信安全,又如NeuVector則側重于容器運行時的安全防護。
 

 · 05 · 
軟件定義邊界

軟件定義邊界(SDP)是云安全聯盟(CSA)2013年提出的云安全架構,定義了安全計算范圍內的不同的、網絡連接的實體的邏輯集合,CSA還拋出了一個安全實現方法,該方法融合了設備身份驗證、基于身份的訪問和動態配置連接。
 

傳統的遠程訪問安全通常由防火墻、VPN等安全設備提供,但是在云計算環境中,各種資源體現出的動態性讓傳統的身份認證方法無法適用。例如對標傳統網絡中服務器的虛擬機資源可以在云計算環境中隨時漂移,而傳統的防火墻和VPN等安全設備難以進行動態的策略配置,并且在云計算環境中IP資源也是浮動且可變的,傳統基于IP的身份認證方式也無法適用。因此SDP的身份認證技術要求提供多種身份認證屬性(時間、位置等)以此識別用戶身份,同時SDP所提供的訪問授權可以限制至具體應用,而不是針對整個網絡,從而降低了攻擊面。



 · 06 · 
災難恢復及服務

2018年國內外發生過多起數據中心災難事故,騰訊云故障致客戶數據丟失;暴風引發IDC停電導致AWS故障;阿里云因bug禁用內部IP導致大規模故障……在業界大量依賴于云環境的現在,一旦云上服務和數據發生災難,后果不堪設想,因此災難恢復及服務也順理成章的列在了2018年云安全熱點技術中。

災難恢復及服務(Disaster Recovery as a Service,DRaaS)是基于云的恢復服務,供應商負責管理虛擬機備份、虛擬機激活和恢復。除此之外,很多服務提供商還提供針對恢復配置的主機服務管理,包括物理和虛擬服務器。

據估計DRaaS在2018年全球市場收入為24億美元,預計到2022年將達到37億美元,足以見得其受重視程度。Gartner對DRaaS提供的建議是在設計災難恢復能力時需要同時兼容Window和Linux系統產品,提供標準化的管理服務以及通過額外服務器和專用存儲設備進行基于云的災難恢復方案。
 

 總結 

在2018年,幾乎沒有全新的云安全技術產生,但是隨著用戶業務向云計算環境的遷移增速,以及技術成熟度發展的必然規律,云安全熱點技術也在不斷產生新的熱點和趨勢。以容器、無服務、云原生為代表的新架構的興起與成熟,相應的安全技術必然需要對其提供支持。

云計算動態靈活的特性持續要求著各種安全技術與能力需要適應這樣的環境,新的身份認證方式、新的授權方式、新的訪問控制技術等需求愈加緊迫。與此同時,2018年出現的多個安全事件及安全威脅,以及國內外針對網絡安全的相應法律法規出臺,要求云中安全必須提高到新的高度以滿足當前的網絡空間發展形勢,安全任重而道遠。


上一篇 下一篇