綠盟科技RSA2017云安全見聞: 技術融合、合規落地
RSA大會開始的第一天迎來了三個seminar,其中要數CSA的最為引人關注,場外等待進場的排隊情況可見一斑。
企業不僅接受了云計算,更形成了混合云
云計算已然落地,這一點相信沒有人會有異議。公有云方面,AWS2016年的凈營收為437.41億美元,未來十年將是亞馬遜在云計算業務上的收獲期;私有云方面,VMWare2016年年收入超過70億美元,同比增長9%。國內方面,華為、華三和眾多創業公司研發基于Openstack的云平臺也在占領越來越多的市場。
可以看到,北美近年來的一個顯著趨勢是,不僅僅是個人,甚至連SMB(小型和中型企業),也都越來越能接受公有云的應用,例如員工使用Office 365、Salesforce和Box等公有云的SaaS服務作為企業的各項應用系統。更進一步,企業除了公有云,可能還部署了私有云,然后將這些不同類型的云環境和IT環境進行連接,形成混合云。
伴隨而生的則是各類安全威脅,例如數據所有權造成的信任問題,混合云/公有云所在區域與辦公地點間的數據傳輸安全問題,以往企業安全管理規章如何適用于云端,諸如此類。
解決這些問題的思路通常會有技術維度和管理維度兩個方面,而美國在云安全這兩方面都走的比較快,從今天的seminar能看到一些方向。
云安全與傳統安全技術結合的化學反應
先談技術的融合,就本質而言,云計算是一種工作模式的變革,技術層面幾乎可以與傳統的IT設施對應。那么,在實現云計算系統安全時,必然會融合多種不同維度的其他安全技術。例如,云計算天然是部署在CSP側,安全機制可以與很多Sec-aaS服務(例如威脅情報服務)結合。微軟提到,在一些針對行業客戶的定向攻擊中,Azure通過終端和云端的各類型數據進行關聯,分析可疑行為,可以找到潛在的惡意攻擊模式,產生針對攻擊者的威脅情報,將相應安全策略下發到客戶所在的其他行業客戶的應用,從而將未知的未知威脅轉換成了已知的未知威脅。
可以說,微軟的云計算平臺支撐了大量的威脅情報產生,而這些威脅情報卻在很多Sec-aaS應用中扮演了重要的角色。
從架構和運營模式上看,私有云與傳統IT環境差別不大,所以私有云安全常常是將安全設備進行虛擬化防護東西向,或加入租戶等直接放置于南北向,如圖所示。
但混合云和公有云與企業網絡結合后,管理會存在很多不可視、不可控的問題。隨著北美市場公有云的興起,基于云訪問的安全代理(Cloud Access Security Brokers,CASB)也成為這幾年云安全的熱點,如Zscalar每年都準備了砸硬件設備的show,按照今年會場布置來看,應該也不會意外。
CASB成為混合云模式下的安全運維解決方案
CASB可以使得企業總部和多個分支機構都通過統一的方式訪問公有云的服務,而訪問請求,會經過客戶側或云端的CASB控制端,經過訪問控制、業務審計等安全操作后,進而訪問云端應用。
從Zscalar、Skyhigh等公司的發展來看,應該說CASB在北美是有市場的,不過從中國的公有云和SaaS發展來看,CASB在國內還有很長的路要走。
此外,混合云、BYOD等造成IT環境變得異構、復雜和不易控制,給安全運維帶來了很大的挑戰,如圖所示。
軟件定義邊界(SDP,見下圖)近年來作為CSA重點推動的一個安全架構和協議,目標是在這樣的環境中實現軟件化和集中化的統一訪問控制系統。
從業界反響來看這是一項有意義的工作,今天Cryptzone公司(一家從事SDP比較知名的公司),產品VP Jason Garbis在演講中提到以往的TCP/IP應用總是先連接后認證,而SDP則是先認證后連接,訪問控制的主體不是難以理解和運維的IP地址,而是訪問行為的主體和客體,所以SDP特別適合于大規模、動態系統的網絡管理,Jason認為SDP具備簡單、安全和動態的特點,超越了傳統的訪問控制方法。綠盟在SDP方面也做了大量的探索性工作,并實現了一個native SDP的原型系統,詳細可參見相關文章(點擊此處可跳轉)。當然業界也有觀點認為SDP存在accept host和init host插件開發和部署開銷,“簡單”只是相對而言的,SDP更多的給大家帶來了思考:原來訪問控制也可以做到軟件定義的,例如我們在前兩年CSA summit的時候就展示了用SDN實現BYOD訪問控制的方法,如圖所示。
云計算雖然在很多理念和架構上與傳統IT設施類似,但資源租用的概念使得安全運營存在多方關系,也會引出如責權劃分的話題。
例如,數據由誰來防護,如何防護等。在這點上,微軟的演講中也提到了去年歐盟提出的通用防護規定GDPR可以平衡安全性和隱私性,實現云端數據管理的合規性。
此外,在安全運營方面的責權劃分,Skyhigh的Steven Ward認為應該做到分享責任(shared responsiblity)。
例如CASB廠商應該實現行為識別和規則的映射機制,并有一個團隊實現常見的映射,但即便這樣只能完成常見關鍵應用,可能只有300個;而客戶所面對的是2.5萬個SaaS應用和其他2萬個公司的800萬個應用,這些應用只能由客戶通過CASB的工具自行實現映射實現識別和控制。當然前提是CASB廠商所提供的映射工具足夠智能足夠簡單,而用戶足夠有能力實現這個映射。
RSA2017在云安全方面更多的是強調需要落地
總體而言,今年的RSA大會在云安全方面沒有給我們帶來太多技術方面的驚喜,也許因為云安全市場處于比較充分競爭的階段,客戶所需要的不是眼前一亮,而是要真刀真槍地解決所面臨的云計算安全問題;但隨著云基礎設施與客戶業務的進一步結合,出現了很多新的應用場景,催生了新的安全解決方案和產品。北美市場的一些新的動態,也給我們帶來了有益的啟發。
