企業(yè)應用上云中的安全要求

伴隨著(zhù)云計算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等新計算等崛起，萬(wàn)物互聯(lián)的數字經(jīng)濟時(shí)代已經(jīng)到來(lái)，各行各業(yè)開(kāi)始數字化智能化轉型。業(yè)務(wù)上云、數據互聯(lián)互通，給企業(yè)帶來(lái)深刻革命的同時(shí)，也讓企業(yè)IT架構發(fā)生了翻天覆地的變化，一場(chǎng)關(guān)于網(wǎng)絡(luò )安全架構的技術(shù)革命正在進(jìn)行。
企業(yè)上云的安全要求
IaaS的網(wǎng)絡(luò )訪(fǎng)問(wèn)存在一個(gè)重大的安全挑戰，作為云安全責任共享模型的一部分，網(wǎng)絡(luò )安全直接依賴(lài)于企業(yè)。僅依賴(lài)于身份驗證就將資源公開(kāi)到公共互聯(lián)網(wǎng)，顯然不符合安全和合規要求。因此，企業(yè)需要在網(wǎng)絡(luò )層彌補這一差距。在企業(yè)上云的過(guò)程中存在兩個(gè)需要解決的根本問(wèn)題：
1、安全地遠程訪(fǎng)問(wèn)：
所有的云用戶(hù)都是遠程的，這意味著(zhù)無(wú)論網(wǎng)絡(luò )連接是公共互聯(lián)網(wǎng)還是專(zhuān)用的直接連接，與云的通信都是在網(wǎng)絡(luò )連接上發(fā)生。
企業(yè)通常通過(guò)使用VPN解決這一問(wèn)題，通過(guò)建立點(diǎn)到點(diǎn)的VPN，或者從用戶(hù)的設備通過(guò)VPN集中器直接連到云?；蛘?，結合上述兩個(gè)方案，將用戶(hù)從其設備通過(guò)VPN連接到企業(yè)網(wǎng)絡(luò )，再通過(guò)點(diǎn)到點(diǎn)的VPN進(jìn)入云端。
使用VPN在技術(shù)上解決了安全的遠程訪(fǎng)問(wèn)難題，它為用戶(hù)設備到云網(wǎng)絡(luò )的網(wǎng)絡(luò )通信提供了安全、加密的隧道。但這同樣存在一些缺點(diǎn)，特別是如果所有的用戶(hù)流量都需要先到公司網(wǎng)絡(luò )，然后再去訪(fǎng)問(wèn)云，這將帶來(lái)額外的延遲，造成單點(diǎn)故障，并可能會(huì )增加帶寬成本和VPN授權的購買(mǎi)成本。通過(guò)VPN直接從每一個(gè)用戶(hù)的設備連接到云有助于解決一些難題，但可能會(huì )與用VPN同時(shí)進(jìn)入企業(yè)網(wǎng)絡(luò )的需求發(fā)生沖突。
2、用戶(hù)訪(fǎng)問(wèn)的可見(jiàn)性和可控性：
不管用戶(hù)如何進(jìn)入IaaS環(huán)境，安全團隊仍然需要控制在IaaS環(huán)境中哪些用戶(hù)可以訪(fǎng)問(wèn)哪些資源。
IaaS平臺提供了內置的工具來(lái)管理這一點(diǎn)，例如AWS中的安全組和Azure中的網(wǎng)絡(luò )安全組，基于IP地址控制對服務(wù)器的訪(fǎng)問(wèn)。
企業(yè)需要解決用戶(hù)訪(fǎng)問(wèn)問(wèn)題是安全訪(fǎng)問(wèn)面臨的最基礎的挑戰，但只被賦予了基于IP地址的訪(fǎng)問(wèn)控制工具，這對迎接這一挑戰來(lái)說(shuō)是遠遠不夠的。
在IaaS環(huán)境下，安全遠程訪(fǎng)問(wèn)控制已經(jīng)不再是一個(gè)特殊場(chǎng)景。所有用戶(hù)都是“遠程的”，因此，網(wǎng)絡(luò )安全團隊需要關(guān)心所有用戶(hù)是如何訪(fǎng)問(wèn)資源的，而不僅僅是用戶(hù)的一個(gè)子集。也就是說(shuō)，安全的遠程訪(fǎng)問(wèn)控制必須成為一個(gè)核心關(guān)注點(diǎn)，并且是采用IaaS的任何企業(yè)的整體策略的一部分。
“云安全”和“安全云”的區別
此外，“云”和“安全”這兩個(gè)詞雖然只是前后顛倒了順序，但卻代表了兩種不同的產(chǎn)品方向，面向的客戶(hù)群體也有所不同。
1、云安全
云安全主要指保障云自身及云上各種應用的安全，包括云計算平臺系統安全、用戶(hù)數據安全存儲與隔離、用戶(hù)接入認證、信息傳輸安全、網(wǎng)絡(luò )攻擊防護、合規審計等。伴隨著(zhù)業(yè)務(wù)的不斷增長(cháng)，云廠(chǎng)商安全問(wèn)題日漸凸顯，自身系統被入侵者攻破，用戶(hù)數據被盜時(shí)有發(fā)生。當用戶(hù)在使用時(shí)，首先考慮的就是數據安全問(wèn)題，這也是很多信息敏感部門(mén)不愿使用云服務(wù)的原因之一。
因此，無(wú)論是私有云還是公有云，在為應用系統帶來(lái)可擴展、高可用、訪(fǎng)問(wèn)便利等諸多好處的同時(shí)，數據受控訪(fǎng)問(wèn)、云上業(yè)務(wù)防攻擊、云上系統防入侵等都是迫在眉睫的安全剛需。
云廠(chǎng)商的主要優(yōu)勢在于對高并發(fā)、分布式、大數據處理等方面積累了大量的經(jīng)驗，有足夠的能力應對DDoS等流量類(lèi)入侵。但對于風(fēng)險分析、執行策略、系統實(shí)施、漏洞檢測、實(shí)時(shí)響應等綜合安全能力有較高要求的場(chǎng)景來(lái)說(shuō)，從技術(shù)積累、專(zhuān)業(yè)人才儲備、經(jīng)驗積累等角度綜合考量，專(zhuān)業(yè)的安全廠(chǎng)商都處于更優(yōu)勢的地位。
2、安全云
顧名思義，安全云是提供安全防護服務(wù)的云，將安全基礎設施云化后，向客戶(hù)提供整體的安全服務(wù)。在技術(shù)路線(xiàn)大體上為，創(chuàng )建獨立資源池，通過(guò)軟件定義網(wǎng)絡(luò )技術(shù)，經(jīng)過(guò)二層、三層或七層引流，將用戶(hù)業(yè)務(wù)流量引入安全組件資源池中，流量經(jīng)過(guò)安全云的檢測、分析、清洗，再回注到用戶(hù)業(yè)務(wù)側。
安全云采用云計算技術(shù)，通過(guò)新建和整合安全基礎設施資源，優(yōu)化安全防護機制，來(lái)保護企業(yè)信息化系統，不僅能夠符合國家安全等級保護要求，也避免了過(guò)多的資源浪費，達到了安全防護能力按需定制化的目的。
安全是云計算的基石，針對云安全的防御之戰，將是一場(chǎng)持續、持久的戰爭。企業(yè)上云是企業(yè)數字化轉型的重要途徑，切實(shí)從企業(yè)角度思考打消決策者對于上云的安全顧慮，幫助企業(yè)梳理業(yè)務(wù)系統重構問(wèn)題，以及降低可能會(huì )面臨的云服務(wù)系統風(fēng)險，才能跨越企業(yè)上云的重重難關(guān)：http://wap.friendlycc.com.cn/