云安全的新战场上，如何打破“云威胁”的阴霾？

科技云报道原创。

近年来，在云计算和网络安全产业的蓬勃发展下，我国云安全行业市场规模呈现高速增长态势，在网络安全市场总体规模中占比不断上升。

据统计，近5年我国云安全市场保持高速增长，2021年我国云安全市场规模达到了117.7亿元，2022年行业整体规模达到173.3亿元，2023年市场规模将达到330亿元人民币，由此可见我国云安全市场规模蕴含着巨大潜力。

然而，云安全市场规模扩大的同时，也正面临着挑战，尤其是高度利用云计算技术，将重要业务迁移到云端的企业，正面临例如数据泄露、隐私泄露、服务中断、设备管理等一系列问题。

这些问题如果不得到解决可能会引发严重的隐私侵犯问题，影响企业用户的信任和安全感，再加上如果系统遭受攻击从而将引发业务中断，会导致服务不可用，影响用户体验和业务连续性，企业声誉受到严重影响，甚至可能导致企业面临财务损失。

在此背景下，为企业提供云安全保障，确保云服务的安全性、稳定性和可用性，保护云环境中的数据、应用程序和基础设施，发挥预防潜在威胁和攻击的作用正变得越来越重要。

新技术带来新风险

虚拟机、容器、服务网格、多集群间通信、多云和混合云、Serverless等新技术不断涌现，对安全边界提出了越来越多的要求。

2014年流行起来的容器技术算是跨时代的变革，它与Kubernetes等技术共同助力企业实现了应用程序部署等诸多方面的自动化，但同时也带来了新的安全挑战。

综合来看，安全挑战主要包括四个方面。

首先容器更新迭代非常快，传统的保护方式已经不适用于容器环境；第二是软件生产的流程自动化，容器开发阶段每天可达上千次的软件发布依赖整套CI/CD自动化流程控制；三是越来越多的企业开始在跨云多云环境部署容器；四是容器将单一的应用变成了成百上千的微服务，导致服务内部通信爆发式的增长。

Kubernetes采用虚拟化技术，数据、网络、计算等层面的全部虚拟化对于应用程序开发者来讲非常实用。

然而，这却让运维安全人员无法了解容器的运行状况，即虚拟化技术本身对安全管控形成了一定的屏障，这无疑升级了安全挑战。

使用“零信任”升级传统安全

随着“云大移物智”技术发展和产业数字化转型，传统安全防御理念的“边界”概念逐渐模糊，传统安全防御模型也越来越不足以应对威胁。

越来越多来自企业“可信”内部人员与设备的威胁和APT攻击让企业“内网”也充满风险，传统静态的“隐式信任”模型急需重构革新。零信任理念在这样的背景下产生。

2004年成立的耶利哥论坛（Jericho forum）为了定义无边界趋势下的网络安全问题并寻求解决方案，提出要限制基于网络位置的隐式信任，并且不依赖于静态防御，这就是零信任最早提出的雏形。

2010年，国际著名研究机构Forrester的首席分析师John Kindervag首次提出了零信任安全的概念，他总结了传统网络架构中隐含式信任（比如根据IP地址等来赋予信任权等）的潜在风险，认为安全会跟随服务模式变化，在去边界化的时代基于“零信任”原则来演进。

其包含三个原则：不应该区分网络位置、所有的访问控制都应该是最小权限且严格限制、所有的访问都应当被记录和跟踪。

在这之后，Google花了6年时间逐步完成BeyondCorp零信任架构的迁移工作，其目标是摒弃对企业特权网络（内网）的依赖并开创一种全新安全访问模式，员工在访问企业内部IT设备、应用数据等资源时只依赖于受控设备和用户身份凭证，而与用户所处的网络位置无关。

BeyondCorp零信任架构的成功实践，为国内外各大厂商推进零信任架构的优化与产品研发增加了动力，“去边界化”和“以身份为中心”的零信任架构持续演进。

2020年全球暴发的新冠疫情，更是为随时随地远程安全访问的业务需求打了兴奋剂，Google、Microsoft、腾讯及阿里等业界巨头率先在企业内部实践零信任并推出完整解决方案，促进了零信任标准和实践的进一步完善。

2021年底，“核弹级”的Log4j漏洞爆发，大量企业被波及。Log4j就好像是洋葱芯中的bug，因为它被层层包裹、嵌入在其他软件包中，很难被常见的扫描方法识别到。

因此，首先要从源头进行有效的扫描和控制CVE安全漏洞；而对于无法下线进行修复的应用程序，零信任安全则是最有效的保护方法。

像Log4j这样的高危漏洞随着开源软件的广泛使用而与日俱增，但传统安全工具在云环境很难提供全面的保护。

此外，随着公有云的快速发展，业界对安全界限的认识也出现了分歧。很多企业认为，公有云的安全应该完全交给供公有云厂商，但事实并非如此。应用程序级别的安全必须由各个企业用户自己负责。

这意味着，面对越来越多未知的安全风险，企业的安全防护要从被动式的安全逐渐过渡到主动式安全。

主动安全是一个新的概念，无论处于云原生化的哪一个阶段，企业都可以采取较为主动的零信任安全功能来提高效率。零信任安全并不需要推翻一切从零开始，企业可以循序渐进地进行部署。

传统安全能够堵住已知的安全漏洞，而零信任安全能够防范未知的安全风险，传统安全与零信任安全的叠加使用可以帮助企业实现多层防护。

同时，考虑到大部分企业已经在传统安全上投入了大量资源和金钱，根据企业的实际情况选择最有效的方面开始针对性部署零信任安全也是最经济的方式。

云原生零信任安全的实施可以划分成四个阶段：用户和可视化；设备、网络和环境；应用程序、服务和编排管理；数据、自动化和合规检查。企业无需推翻所有的安全投资和配置，可以从某一个单点开始介入和部署，逐步深化。

云安全正在浮现的新趋势

人工智能和机器学习模型由于其复杂性，在某些情况下会出现不可预测的行为，从而引入意想不到的漏洞。

随着人工智能的普及，“黑匣子”问题变得更加严重。随着人工智能工具变得越来越可用，用途的多样性和潜在的误用也在增加，从而扩大了可能的攻击媒介和安全威胁。

然而，人工智能是一把双刃剑，在带来潜在威胁的同时，人们可以利用人工只能让云安全防护变得更加高效。

如果将人工智能和机器学习集成到云安全中，这些技术将通过自动化和增强各种安全流程来彻底改变该领域。

人工智能和机器学习可以以前所未有的速度分析大量数据，识别可能被忽视的潜在威胁和异常。这种主动的安全方法允许早期发现和减轻风险，显著改善云环境的整体安全状况。

其次，安全即服务(SECaaS)的趋势也愈加明显。随着企业越来越多地将其运营迁移到云端，对全面、可扩展且经济高效的安全解决方案的需求不断增加。

SECaaS提供商通过提供一系列安全服务来满足这一需求，从威胁情报和入侵检测到数据丢失防护和加密，所有这些服务都通过云交付。这种模式不仅降低了安全管理的复杂性和成本，还确保企业能够获得最新的安全技术和专业知识。

另一个值得关注的趋势是云安全中对隐私和合规性的日益重视。随着数据泄露和隐私侵犯成为头条新闻，监管机构实施更严格的数据保护标准，企业面临着确保其云环境符合各种法规的压力。

为此，云安全提供商正在开发复杂的工具和框架，帮助企业管理其合规义务、保护敏感数据并维持客户信任。

未来，云安全将以先进技术、创新服务模式以及对隐私和合规性的重新关注为特征。

随着这些趋势的不断发展，企业必须跟上最新发展并利用这些创新来增强其云安全策略。毕竟，在数据成为新石油的时代，保护数据不仅是必需品，而且是战略要务。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年，是前沿企业级IT领域Top10媒体。获工信部权威认可，可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

审核编辑 黄宇