推特驚爆史詩級漏洞,App 惡意竊取用戶隱私,雲端安全路向何方?

作者 | 馬超

近日，全球安全事件頻發，先是推特驚爆史詩級漏洞，黑客對推特進行比特幣釣魚騙局，獲取了對包括美國前總統歐巴馬、鋼鐵俠埃隆·馬斯克、和世界首富比爾·蓋茨推特帳戶的訪問權限。

在7月16日的315晚會上，曝光了55款App盜竊用戶個人隱私的問題。這些問題僅是近幾年信息安全領域的一個縮影。

根據卡巴斯基《2020年第一季度的DDoS攻擊報告》的數據顯示，2020年第一季度與2019年第一季度相比，DDoS攻擊次數增加了80％。特別是教育和行政Web資源，由於疫情原因，與2019年相比增加了兩倍的攻擊數量。DDoS攻擊會對企業系統和應用造成不可用性的嚴重性後果。

雲端安全引起廣泛關注。前不久，Gartner發布了《Solution Comparison for the Native Security Capabilities》報告，Gartner首次全面評估了亞馬遜、微軟、阿里雲、谷歌、IBM和Oracle全球六大雲廠商安全能力，看點頗多，下面筆者帶大家解剖下。

上雲要快，更要安全

自2006年「雲計算」概念誕生以來，企業上雲浪潮席捲全球。由於企業上雲後可靈活使用資源，擴展靈活易管理的業務模式，可提高資源配置效率，降低信息化建設成本。業界有說法是「系統上雲後，硬體投入成本減少近2/3」。

於此同時，網絡安全事件也如幽靈般不斷為人們敲響警鐘，在Verizon《2020 數據洩露調查報告》中顯示，對Web應用程式的攻擊佔洩露總數的43％，是2019年的兩倍多。研究人員表示這是由於企業更多的工作流轉移到雲服務上，而一旦黑客發現了雲服務商的安全漏洞，那麼其攻擊範圍與破壞程度都將較未上雲時成倍的擴大。所以用戶不僅要上雲，更需要選擇安全的上雲路徑，這也對雲廠商的安全能力提出更高的要求。

為應對日益高漲的雲安全需求，2009年國際雲安全聯盟（CSA）成立，後來CSA發布的《雲安全指南》成為雲計算領域最權威的安全指南。目前雲安全技術日臻成熟，除了微軟、亞馬遜等雲服務商以外，國外還湧現出一批雲安全初創公司，可以說Gartner此次對於全球雲廠商的安全能力進行全面評估，其報告的出爐是恰逢其時。

雲安全哪家強？

雲安全技術愈發重要，不過目前業界並沒有相應評估的標準，而本次Gartner報告可謂填補了業內安全評估標準的空白。報告分別從基礎設施安全、雲治理和合規、網絡安全、應用和容器安全、數據安全、日誌和預警、應用和工作負載保護七大模塊共24項能力維度進行了測評，作為本次評估的前兩名微軟和阿里，在各項安全技術能力各方面的得分均較為均衡，在七大能力模塊中均獲得了High的評價；而其他四大廠商的安全能力則相對較為集中，亞馬遜集中在雲治理與合規能力上，谷歌雲集中在應用與容器安全上；IBM集中在應用與容器安全、數據安全兩大模塊表現優異，其他模塊則基本沒有拿到High評價；Oracle在本次評估中得分靠後在安全方面的提升點還有很多。

數據加密都很強：值得關注的一點是，在24項細分安全能力上，六家雲廠商均在「數據加密」方面均得到了High級別的評分。

筆者認為出現這樣的情況，一是因為數據安全是所有企業上雲時，都會首要考慮的問題，這也就倒逼雲服務商在數據安全方面都做了足夠多的努力；

二是數據安全是各雲服務商的生命線，確保數據在服務端加密存儲，並將數據加密控制權給到用戶，是雲計算最基本的服務要求，而在數據安全方面齊刷刷的高分，也說明了用戶選擇雲，就能確保自身的「數據加密」水平得到快速的提升。

可信執行環境亮點：除了雲廠商已經具備了完備的數據加密能力之外，從報告中看到，企業上雲還能享受到的一大好處是基於硬體的數據安全能力。

傳統的數據安全產品大多基於軟體實現的，阿里雲、微軟、IBM三家都已經為客戶提供了「可信執行環境」，這是一個基於處理器硬體保護的解決方案，通過軟、硬體結合的方式防止數據運行時洩露的發生。雲廠商具備的計算資源規模優勢等先天條件，使得其可以藉助加密計算等多種前沿技術來保證用戶數據安全，以增強企業上雲的安全性。

免費DDoS防護很貼心：筆者在自建了個人博客網站之前，都會時常收到DDoS攻擊威脅郵件，DDoS是初創網際網路公司最為頭疼的攻擊手段。在這方面各大雲廠商也都非常重視，基本都有從基礎防禦到高級防禦的整套安全防護產品，這裡尤其值得一提的是，微軟和阿里雲均提供了免費的DDoS基本防護服務，充分考慮了對DDoS防護的差異化需求，還是非常貼心的。

雲安全勢不可擋

據筆者觀察，傳統安全手段已經漸漸落伍，無法再應對目前的安全環境。這主要是因為傳統安全遇到以下三大挑戰：

成本高昂、重複造輪子：傳統安全方案裡，企業需要採購幾十甚至上百個安全產品才能初步建立企業安全體系，成本高昂不說，對於安全體系來說，這是一種重複建設的浪費。

傳統安全模型是游離在IT體系之外的外掛式安全：企業在使用網絡、存儲、資料庫等IT基礎設施時，往往採購自不同的廠商，安全產品有不同的品牌。於是只能在基礎設施外部署相關的安全產品，做「外掛式的安全」。如何能讓安全產品與產品間，安全產品與基礎設施間做更好地聯動？這對於傳統安全廠商來說，是個較大的挑戰。

傳統安全產品使用門檻較高：這讓安全產品成了「奢侈品」。企業光購買安全產品沒有用，必須還得有專門的安全人員來使用才能真正發揮效果，於是線下安全廠商大多採用產品加服務的銷售方式進行，由於無法構成相對聯動的體系，導致企業需要招聘很多安全專業人員來專門運營，成本增大，導致大多數企業沒有足夠的專業安全人員來運營。

在企業數位化轉型的過程中，IT基礎設施和應用逐漸上雲，安全也隨之往雲化發展，由於在雲上虛擬化環境，業務的流量更複雜，因此雲防護的方式將更多元化、複雜化。雲改變企業的底層基礎設施架構，傳統安全架構不再適用於雲上，雲安全將重新定義企業的安全架構，從新的架構上將解決傳統條件下無法解決的安全問題，雲原生與雲安全結合將改變企業下一代安全架構。

雲原生重新定義安全

根據O'ReillyMedia和Dynatrace的研究表示，預計到2021年，92%的企業將實現雲原生，相信雲原生安全將是安全領域未來的發展方向。

在企業數位化轉型的過程中，其基礎設施技術架構將會隨之雲化，原來企業架構是簡單的單點系統架構，而如今均發展為分布式架構，底座是基於雲的底層技術。由於企業底層架構技術採用了雲原生技術，架設底層架構之上的安全技術架構也將雲原生化。

基於雲原生安全能力構建的下一代安全架構可以實現雲的基礎設施與安全能力的打通，解決原來傳統安全體系成本高昂的困境，同時雲原生與IT基礎設施的結合也更為緊密。緊耦合的原生安全，從而做到安全管理、安全風險的持續化監控，用一個控制臺實現對所有資產的全方面安全管理。同時，由於雲上的全網威脅情報聯動，可以做到針對安全風險做全網的自動化響應，由傳統的小時級降低到分鐘級，大大降低安全事件給企業帶來的損失。

如今雲安全已逐漸成為行業共識，國內雲廠商聯動起來，共同打造雲安全生態已成為未來行業的發展趨勢。伴隨新基建政策，全球數位化轉型等趨勢，5G、人工智慧、雲計算、大數據等技術的快速發展，各行業對雲安全需求的持續增長，相信雲安全行業的未來大有可為。