0
本文作者: 木子 | 2020-07-22 18:26 |
關(guān)于作者:
伍海桑博士,志翔科技聯(lián)合創(chuàng)始人、市場戰(zhàn)略副總裁
伍海桑是業(yè)界頂級的網(wǎng)絡(luò)和操作系統(tǒng)專家,曾服務(wù)于于愛立信、華為、Juniper等,任產(chǎn)品、市場及研發(fā)管理,架構(gòu)設(shè)計等要職。他在安全系統(tǒng)、網(wǎng)絡(luò)體系結(jié)構(gòu)、虛擬化、云計算、實時系統(tǒng)等領(lǐng)域有20多年業(yè)界和學(xué)界經(jīng)驗,曾在國際頂級期刊和會議發(fā)表多篇學(xué)術(shù)論文,獲多項發(fā)明專利。
伍海桑擁有清華大學(xué)電子工程系學(xué)士和碩士學(xué)位,美國弗吉尼亞理工大學(xué)計算機工程博士學(xué)位。
云計算發(fā)展之大成,來自于處理器、存儲、網(wǎng)絡(luò)等幾個關(guān)鍵計算要素的交替迭代進步;而云計算的部署使用模式,跟歷史上的交流電和自來水一樣,目標是把計算能力發(fā)展成隨用隨取的市政資源。這將是IT基礎(chǔ)設(shè)施的一次變革,其顛覆性發(fā)展,帶來了使用“云原生”應(yīng)用的需求,也帶來了對安全機制“云原生”的需求。
“云原生(Cloud Native)”一詞,經(jīng)常被作為形容詞定語,冠在不同子領(lǐng)域名詞前面,引來了很多理解上的困惑。從云租戶的視角來看,他們關(guān)心的是要運行于云上的應(yīng)用和業(yè)務(wù),以及最重要的,要付多少錢。因此,如果以業(yè)務(wù)、應(yīng)用作為討論的基礎(chǔ),那么寬泛的說,“云原生”描述的是充分利用原生云能力(自動擴展、無中斷部署、自動化管理、彈性,等等)來進行應(yīng)用設(shè)計和部署的方法。在這個形而上的框架下,微服務(wù)、容器技術(shù)、云數(shù)據(jù)庫技術(shù)、K8S、彈性搜索、遙測(Telemetry)等,都是形而下的技術(shù)。
簡單的把原有企業(yè)網(wǎng)的環(huán)境和虛機遷移到IaaS云里,或者把原有單一應(yīng)用(monolithic application)直接打包到虛機里運行,乃至做些API對外提供接口,這些做法離云原生都還遠。為了實現(xiàn)“云原生”屬性,云應(yīng)用需要在發(fā)布、服務(wù)方式、隨需彈性、數(shù)據(jù)和工作負載(workload)管理等多方面都重新構(gòu)建。
所謂工作負載,是對運行應(yīng)用所需要的資源和進程的抽象化定義。最初的工作負載形式就是物理服務(wù)器。隨著IDC走向虛擬化,工作負載演進為虛擬機形式。到今天,云服務(wù)中容器成為工作負載的主流,而正在出現(xiàn)和發(fā)展的工作負載新形式Serverless(無服務(wù)程序),直接對應(yīng)用run-time虛擬化,改變了傳統(tǒng)意義上的服務(wù)進程監(jiān)聽-運行模式,是更加精細粒度的瞬態(tài)工作負載(ephemeral Workload)。
可見隨著云計算和云原生需求的發(fā)展,云工作負載的形式越來越抽象靈活,同時其部署和運行的生命周期也可越來越短。多種形式和生命周期的云工作負載會長期共存,目前并沒出現(xiàn)彼此淘汰的情況,同時這些演進和共存,也使得抽象化定義很有必要。
安全機制一直是跟隨IT基礎(chǔ)設(shè)施和業(yè)務(wù)來為其服務(wù)的,云安全也不例外。其保護的對象就是面向訪問和使用云系統(tǒng)、云應(yīng)用的流程機制。與傳統(tǒng)企業(yè)網(wǎng)絡(luò)安全機制顯著不同的是,云安全的管理責(zé)任由云運營商和用戶共同分擔(dān)。更重要的是,傳統(tǒng)物理邊界變得模糊后,安全不再圍繞企業(yè)數(shù)據(jù)中心和終端來設(shè)計部署,安全邊界也不再是數(shù)據(jù)中心邊緣和企業(yè)網(wǎng)邊緣的某個盒子。在云計算時代,應(yīng)該基于以數(shù)據(jù)為中心(Data-centric)的原則來部署安全,關(guān)心的問題應(yīng)該是:誰,能訪問什么業(yè)務(wù)和數(shù)據(jù),應(yīng)該授予何種訪問權(quán)限,為什么需要這些權(quán)限,在授權(quán)范圍訪問是如何進行的,等等,而不再是“業(yè)務(wù)在哪里”和“邊界在哪里”。換句話說,傳統(tǒng)安全邊界變成了無處不在的邊界能力——動態(tài)創(chuàng)建、策略強化、權(quán)限管控、安全訪問。
云原生環(huán)境對安全在業(yè)務(wù)、管理和部署上的關(guān)鍵要求包括:
云業(yè)務(wù)持續(xù)不斷的交付要求,需要持續(xù)不斷的安全保障。亞馬遜、沃爾瑪?shù)燃墑e的云用戶的更新部署要求可達每日數(shù)百次,彈性和無中斷成為標配要求,因此安全必須也做到輕量化、持續(xù)不斷,并嵌入部署工具中各個環(huán)節(jié)來確保成為“檢查點”。
對工作負載(Workload)的安全防護是必須的,而且要隨著工作負載的演進而不斷演進。傳統(tǒng)企業(yè)安全防護,端點、網(wǎng)絡(luò)、邊界,各個層級相對清晰,而云環(huán)境下,這些邊界界限變得很模糊,承載計算的工作負載則是直面威脅的對象。因此,工作負載的安全,是一個需要橫向保護多種負載,也需要縱向?qū)γ款愗撦d深入做好保護的問題。
對多系統(tǒng)和混合棧的支持,以及自動化配置。云安全要考慮到云的公有、私有、混合等形態(tài),也要考慮云工作負載的多樣性和演進,同時還需要支持多種操作系統(tǒng)。而云應(yīng)用帶來的配置復(fù)雜度,讓自動化要求在云原生的背景下有格外重要的意義。
從責(zé)任共享和云原生要求這兩個角度出發(fā),云安全產(chǎn)品可以簡單直觀的分成三大類:
第一類是對云原生要求不高的傳統(tǒng)安全產(chǎn)品,比如防火墻、防入侵、端點安全、服務(wù)器監(jiān)控、終端檢測響應(yīng)和SIEM等,云運營商可直接將第三方安全產(chǎn)品部署上云。
第二類是云運營商為配套云服務(wù)而提供的安全產(chǎn)品,也可稱為“云運營商原生提供的安全(Native Cloud Security)”。常見的有威脅檢測、云數(shù)據(jù)庫安全、API安全、容器和工作負載安全、用戶行為監(jiān)控、合規(guī)與風(fēng)險管理等。一般由運營商從第三方購買整合或自己開發(fā)。
第三類則是基于云原生應(yīng)運而生的“新安全”產(chǎn)品和服務(wù)。與云天生具有較好的親和力,比如云工作負載保護平臺CWPP(Cloud Workload Protection Platform)、云安全態(tài)勢管理CSPM(Cloud Security Posture Management)、云訪問安全代理CASB(Cloud Access Security Broker)、微隔離Micro-segmentation,等等。
第一類是傳統(tǒng)安全廠商的靜態(tài)存量市場(搬一塊少一塊),第二類和第三類則是云安全市場的創(chuàng)新和整合頻繁出現(xiàn)的地方,創(chuàng)業(yè)公司層出不窮,安全大廠并購頻繁,云運營商也親自下場買買買,因此這是安全廠商的機會所在。
CWPP的能力集和分類
根據(jù)Gartner的定義,云工作負載保護平臺CWPP,意指在現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)下,以租戶的云工作負載為中心的安全機制。CWPP是IaaS安全的關(guān)鍵環(huán)節(jié)之一,也是促進企業(yè)“上云”的保障。
時至今日,隨著云工作負載保護在云計算中重要性的提升,CWPP已經(jīng)與傳統(tǒng)大戶——終端安全防護EPP(Endpoint Protection Platform)分庭抗禮。2019年全球的CWPP市場收入為12.44億美元,在2018年10億美元的基礎(chǔ)上,增長超過20%。三個最大的玩家分別是:趨勢科技、賽門鐵克和McAfee,占一半的營收。
2020年4月Gartner發(fā)布的CWPP市場指南對業(yè)界已經(jīng)很熟悉的CWPP能力金字塔進一步精簡,從最核心按重要性遞減排序為八層:原有的文件加密和防病毒不再納入:
(1)加固、配置和漏洞管理,
(2)基于身份的隔離和網(wǎng)絡(luò)可視化 ,
(3)系統(tǒng)一致性保證,
(4)應(yīng)用控制/白名單,
(5)預(yù)防漏洞利用和內(nèi)存管理,
(6)服務(wù)器工作負載行為監(jiān)測、威脅檢測和響應(yīng),
(7)主機防入侵和漏洞屏蔽,
(8)掃描惡意軟件。
不同安全廠商針對特定領(lǐng)域,聚焦一種或多種能力,這也造就了CWPP具體產(chǎn)品實現(xiàn)的不同基因。Gartner據(jù)此把廠商分成七大類:廣泛能力和多系統(tǒng)支持,漏洞掃描和配置合規(guī),基于身份的隔離和可視化與管控,應(yīng)用管控與狀態(tài)執(zhí)行,服務(wù)器行為監(jiān)測和威脅檢測和響應(yīng),容器和K8S保護,以及對Serverless的保護。其中,志翔科技的至明?智能主機安全響應(yīng)系統(tǒng)產(chǎn)品(ZS-ISA),對服務(wù)器、虛擬機和容器都能監(jiān)測和保護,并支持基于用戶角色的精細管控RBAC和安全可視化,因此被歸類為CWPP中的“基于身份的隔離和可視化與管控”。
CSPM:硬幣的另一面
軟件定義業(yè)務(wù)(Software Defined X)已經(jīng)在多個領(lǐng)域流行,如軟件定義網(wǎng)絡(luò)SDN、軟件定義廣域網(wǎng)SD-WAN、軟件定義邊界SDP等??刂泼婧蛿?shù)據(jù)面分離,是SDX中的一個重要概念。比如SDN的模型中,網(wǎng)絡(luò)策略在控制面計算并下發(fā)到數(shù)據(jù)(轉(zhuǎn)發(fā))面,數(shù)據(jù)面不用具備復(fù)雜計算能力,直接執(zhí)行策略做轉(zhuǎn)發(fā)即可。
控制面和數(shù)據(jù)面的分合邏輯關(guān)系,在處理器設(shè)計中有,在網(wǎng)絡(luò)設(shè)計中有,在云安全中同樣有。CWPP和CSPM就是一對分別聚焦數(shù)據(jù)面和控制面的安全機制。CWPP是對云工作負載進行保護,是對數(shù)據(jù)面的安全防護。CSPM則聚焦控制面的安全屬性,包括配置策略和管理工作負載、合規(guī)評估、運營監(jiān)控、DevOps集成、保障調(diào)用云運營商API完整性等等。當(dāng)前幾乎所有的云安全事件都涉及配置錯誤和管控失當(dāng),而涉及到IaaS和PaaS服務(wù)的配置復(fù)雜性和用戶自助之普及,更凸顯正確配置和合規(guī)的重要性,這就讓控制面的安全機制變得越加重要。
CSPM和CWPP是同一塊硬幣的兩面,對于保障云應(yīng)用的實際運行,密不可分。CSPM負責(zé)在云運營商提供的基礎(chǔ)工具之外,強化控制面的安全,檢查和強化正確的配置;CWPP負責(zé)數(shù)據(jù)面的安全問題,保護好各種云工作負載,兩者配合的目的,都是為了云計算業(yè)務(wù)的正常開展和租戶敏感數(shù)據(jù)得到妥善保護。實際上這種“策略配置檢查-策略下發(fā)執(zhí)行-業(yè)務(wù)過程防護”的邏輯,其內(nèi)在哲學(xué)與通信網(wǎng)絡(luò)中的做法完全一致。
數(shù)據(jù)面和控制面的云安全產(chǎn)品會融合組成解決方案來服務(wù)多種云和多租戶。很有意思的是,從CWPP和CSPM的融合趨勢來看,從CWPP往控制面發(fā)展的廠商很多,而反之則較少。筆者的解讀是,CWPP在操作系統(tǒng)、平臺和網(wǎng)絡(luò)層面有較多特性,屬于“通才”基礎(chǔ)能力,而CSPM往往是和某個云運營商在配置和API能力上深度綁定的。從通識教育向某個方向垂直發(fā)展,符合我們求知和教育的一貫做法,大學(xué)里大家都是先上公共基礎(chǔ)課,再學(xué)專業(yè)基礎(chǔ)課,最后本科高年級才到專業(yè)課。
云計算市場的發(fā)展,在全球呈現(xiàn)出“美國”和“美國之外”兩個板塊的兩極趨勢。美國公有云和SaaS的發(fā)展,明顯領(lǐng)先全球其他地區(qū)幾個身位。中國的云計算和云安全市場,跟美國比存在較大差異,這其中有發(fā)展階段的原因,建設(shè)習(xí)慣的原因,也有IT生態(tài)環(huán)境和競爭等原因。即使如此,我國在云計算整體大趨勢上的發(fā)展,基本是與我國經(jīng)濟體量和發(fā)展水平對稱的。
到2019年,我國云計算的市場營收,仍以IaaS為主,至今SaaS還沒有廣泛流行。在云計算的下半場,公有云+私有云結(jié)合的混合云仍然會是中國云市場主要形態(tài)。互聯(lián)網(wǎng)公司布局公有云,傳統(tǒng)行業(yè)客戶出于政策監(jiān)管考慮,會選安全性和可控性更強的私有云/專有云,并需要深度定制的方案和服務(wù)支持。
另一方面,無論中國還是美國,安全市場都看起來高度分散。美國2019年有5000余家安全企業(yè),中國的對應(yīng)數(shù)字是3000余家。隨著云計算給信息基礎(chǔ)設(shè)施帶來的變革,加上5G、物聯(lián)網(wǎng)和傳統(tǒng)產(chǎn)業(yè)數(shù)字化(產(chǎn)業(yè)互聯(lián)網(wǎng))的發(fā)展,“云原生”帶來的是極為廣闊的安全市場空間。因此高度分散和海量的安全企業(yè),背后反映的是蓬勃發(fā)展的安全細分領(lǐng)域,以及資本市場對于安全企業(yè)的青睞。上市等活動在安全市場非?;钴S,這種活躍還將會會隨著云計算的普及持續(xù)多年。
IaaS和混合云的安全作為我國云計算市場一段時間內(nèi)的重點,對安全生態(tài)有很強的促進作用。細分領(lǐng)域的廠商可以做深做精,而在全環(huán)節(jié)解決方案上,融合、合作、聯(lián)盟就成為必然選項。比如,企業(yè)主要使用IaaS服務(wù)的算力來處理敏感數(shù)據(jù),則選擇上CWPP來保護云工作負載,并使用CSPM來保證配置無誤,這兩者的親和力會進一步促進融合。又如,機器學(xué)習(xí)、可視化、用戶實體行為分析(UEBA)等技術(shù),會逐漸成為各項安全產(chǎn)品背后的技術(shù),特別是提升日志分析、SIEM、特權(quán)賬號管理的能力。再如,軟件定義邊界SDP和其演進出來的零信任安全框架,融合身份權(quán)限、訪問控制、安全管理等,將成為新的云業(yè)務(wù)訪問方式,逐漸取代傳統(tǒng)VPN等。
志翔科技的產(chǎn)品技術(shù)發(fā)展方向與以上行業(yè)發(fā)展方向正是一致的。志翔的至明智能主機安全響應(yīng)系統(tǒng)(ZS-ISA)連續(xù)兩年入選Gartner CWPP市場指南,也證明了我們在前瞻趨勢方向判斷上的準確和產(chǎn)品技術(shù)上的領(lǐng)先能力。后續(xù),我們會在CWPP的微隔離、權(quán)限管控和可視化支持的基礎(chǔ)上,繼續(xù)增加主機監(jiān)測響應(yīng)、安全分析和機器學(xué)習(xí)能力,整合云原生API來提供適配頭部云運營商的CSPM能力,并與合作伙伴一起構(gòu)筑全環(huán)節(jié)安全防護能力。目前志翔云安全產(chǎn)品已服務(wù)于金融、能源電力、政法等多個領(lǐng)域,并將持續(xù)創(chuàng)新,助力政企“上云”和“云上”業(yè)務(wù)的可信安全體系構(gòu)建。
雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。