科技云报道:防患于未然,云安全要像空气和水一样无处不在

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介: 数字化浪潮引发云端安全风险

科技云报道原创。

伴随数字化浪潮席卷全球,企业在加速推进以云计算为核心的数字化转型的同时,也带来了有别于传统安全的云上安全问题。

image.png

在云计算架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得突出,如何用云的方式去解决云上安全问题成为各行业的重要命题。

在企业数字化转型的过程中,安全和合规是上云和用云的基石。

越来越多的企业认识到构建云安全战略是一项持续性工作,需要有自上而下的顶层设计,要以安全为出发点构建云上应用。

数字化浪潮引发云端安全风险

无论是传统网络环境还是云端环境,安全问题始终存在,比如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等;

而另一方面,新的安全问题也不断出现,比如云上安全部署困难、虚拟机逃逸、东西向安全防护、数据泄露、云平台安全审计难题等。

云安全和传统安全的最大区别是责任范围,传统安全是用户对自己的设备、程序、应用等资产的安全全权负责。

由于云计算的特性,云安全则需要用户和云服务商共同去维护安全,维护云计算的安全是两者的共同责任,共同责任模型也是云安全最大的一个特点。

共同责任模型概述了由云服务提供商或用户处理的安全要素。

责任范围因客户使用云的服务而异,根据组织使用的云服务提供商,职责分工将有所不同。

为充分解决云计算环境安全挑战,通常云计算服务商会从公有云和私有云两个场景下,针对云计算安全问题进行处理。

比如在公有云环境下,云计算安全服务商会提供安全软件、安全SAAS服务、安全产品、安全服务能力等。

而在私有云环境下,云计算安全服务商则会更多依赖于安全资源池的方式,通过帮助用户构建云安全资源池,来实现针对云计算环境的统一管理、弹性扩容、按需分配等为一体的云安全综合解决方案。

针对当前中国的云安全市场,在《Gartner中国云基础设施和平台服务市场指南》中,Gartner预测,2024年中国将有40%的最终用户在系统的基础设施和基础设施软件上的支出会转至云服务。

Gartner相信,云安全将成为中国安全和风险管理领导者最关键的任务之一。

Gartner还预测,到2024年利用云基础设施和编程性,改进云上工作负载的安全保护将展现出比传统数据中心更好的合规性,并减少至少60%的安全事件。

然而,由于云安全与传统的线下基础设施平台安全的不同,以及中国市场的独特性,对于如何做好云安全,企业也面临着诸多挑战。

企业面临的挑战主要体现在以下三个方面:

对云安全责任分担模型的理解和相关技能的缺失。

理解云安全和云安全提供商的安全责任分工是云安全成功的必要条件。云安全所需要的技能与传统的边界安全有所不同,企业相对能力的缺失,使云安全面临更大的挑战。

在选择云安全工具方面存在困难。

因为非中国的云服务提供商(CSP)和安全供应商在中国的技术可用性存在差距,而本地供应商则将重点放在私有云上,以避免与公共云提供商竞争。

缺乏对云服务提供商持续的风险评估。

许多中国企业没有对云服务提供商进行系统的风险评估,不同的云服务提供商存在不同的风险,因此缺少持续的风险评估会让企业的云上资产面临安全威胁。

可见,成功的云安全需要透彻地了解云安全的责任共享模型,安全、技术、工具部署以及对云服务提供商的风险评估都非常重要。

与其临场救火,不如防患于未然

与几百亿美元的云计算市场规模相比,云安全的投入比例仍然极小。

这意味着国内云安全市场有很大的发展潜力,随着上云企业快速增多,对云安全的需求将更为旺盛。

企业应该面对数字化浪潮下的云安全?“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。”

亚马逊云科技大中华区产品部总经理陈晓建表示,“与其去救火,我们更需要做的是防患于未然。”

image.png

亚马逊云科技大中华区产品部总经理陈晓建

陈晓建说,如果我们每天在全球范围内发生一起安全事故,客户会怎么去看这个行业?怎么去防止这些极小概率的事件发生?

极小概率的事件往往是由多种因素造成的,并不只是由一个因素引发,发现这些有可能发生的、极小的概率事件,这就是云安全要做的事情。

伴随快速增长的云计算市场,新出现的云安全趋势正影响着未来的云安全市场。

企业无论是选择公有云还是混合部署模式,云原生安全变得更加重要。云原生的安全能力和架构全面赋予云上资源和账户的资源自动伸缩、细粒度防护和全面数据加密等安全防护功能。

随着企业更多采用容器化部署、微服务应用模式等云原生方式,DevSecOps将得到越来越多企业的重视。

借助DevSecOps,客户就可以快速交付安全且合规的应用程序更改。

预计2022-2023年手动工作流将逐渐被企业淘汰,为实现大规模的自动监测和响应,企业会更加依赖云原生安全能力。

同时,人工智能持续提升云安全能力。

云环境下庞大和灵活的系统无法完全交由安全工程师来维护,大多数企业会逐渐开始依赖人工智能来增强其安全团队的建设和实践,人工智能技术也将被更深度地集成到云安全服务中。

采用人工智能技术不仅可以提高效率和准确性,而且能够减少网络安全领域工作人员持续短缺的影响。

在非常重要的身份和访问管理环节,加入人工智能将使身份和访问管理安全措施实现自动化和智能化,可以提高客户身份验证的安全性。

在实践中,机器学习在模拟攻击、数据分类、自动推理领域也得到很好的应用。

在云平台上使用人工智能技术,通过分析将任务委派给机器程序,可以更加准确地降低误报和告警,这样企业可以提前确定其最突出的风险领域并据此对资源进行优先级排序和自动化处理,安全团队也可以将精力集中在更关键或更复杂的威胁上。

其次,云服务商正在加快扩大安全合作伙伴社区。

在云计算的所有环节,云服务商同网络安全、主机与端点安全、应用安全、身份认证与访问控制、漏洞分析、数据保护与加密、威胁检测与事件分析、安全咨询、数据治理与风险合规评估、安全自动化运维等方面的合作伙伴广泛合作,以确保客户在云旅程的各个阶段均能获得高效、安全的服务。

在国内,随着越来越多IT运维厂商的入局,未来在国内云安全市场,将形成公有云服务提供商、IT运维厂商、安全厂商共掌局面的情况。

另外,全球化的安全和合规能力成为关注重点。

全球已经有132个国家和地区制定了数据保护和隐私相关的法律法规。

在中国,近几年陆续出台了《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》《关键信息基础设施安全保护条例》等法规,安全合规成为企业的重要任务。

随着各安全条例的逐步落地,各行业主管部门也将组织细化相关条例、指南、标准等,2022年,部分重点行业与云安全相关的保障措施有望进一步出台,金融、电子政务、制造、医疗等领域将成为云安全的重点行业。

作为全球云计算的头号玩家——亚马逊云科技持续在云安全领域投入,在保证云自身安全的同时,亚马逊云科技还提供280+安全、合规服务及功能供用户使用,用户可以使用这些来提升自身的安全水平,和提高合规的效率。

云安全道阻且长,前进路上需要硬实力比拼,难以一蹴而就。

其实,云安全应该像水和空气一样,不能简单用金钱来衡量其价值。只有给用户提供优质的水和空气,创造健康的环境,让客户更好的使用云计算去创造更多的价值,这才是云安全的最大价值。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

相关文章
|
云安全 人工智能 安全
|
机器学习/深度学习 云安全 安全
云栖科技评论第35期:迈克菲如何做云安全?
本周热点科技事件,是阿里云“ET”采用分布式爬虫收集全球海量互联网信息,利用文本挖掘和语义分析解析新闻关键词,使用深度神经网络将新闻分类,汇总而选择最新鲜的科技信息。点击收听人工智能·语音版 编辑制作:人民网研究院 内容提供:阿里云研究中心
1326 0
|
15天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
14天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
13天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
15天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
13天前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
15天前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。

热门文章

最新文章

下一篇
无影云桌面