以“雲網安”+“AI”模式 構建全棧全場景雲安全能力
當前,國內數字化轉型正在如火如荼的進行中,各行各業均在尋求業務如何轉型、如何上雲等方法。而云計算在給我們帶來靈活、彈性和便捷的同時,也讓安全問題更加凸顯,如何在滿足業務上雲的同時,保障雲業務的安全合規更加不容忽視。
而目前雲計算環境的安全需求主要來自兩個方面,一方面是實際的業務安全需求。尤其是本地向雲端轉換後,用戶對業務遠離本地存在天然的不安全感;另一方面是合規性的需求。尤其是私有云對合規性、可見性、敏感數據分佈等問題都有明確要求。另外,國家相繼實施的各項網絡安全法案,如《數據安全法》將對公有云的安全規劃帶來更加深遠的影響。此外,在行業雲中體現出的運營場景對租戶隔離和雲資源管理等問題也將成爲雲安全未來要重點關注的方向。
01
複雜場景下的安全挑戰
疫情以來,國內企業上雲趨勢明顯增強,特別是中小企業上雲需求十分顯著,爲了應對複雜多變的市場環境,雲服務已經成爲企業業務轉型的必選項,爲此國家也從頂層設計開始制定相應政策,目的是促進全產業的信息化、數字化發展。而強勁的上雲需求給雲安全市場帶來了新的挑戰和機遇。
我國在整個企業類型上十分豐富,如工業領域中的工業類型就非常衆多,因此雲服務供應商在面臨最終用戶的不同場景中,對業務需求、安全需求都存在很大差異。對於不同行業的雲安全而言,無論是對數據、設備、業務系統的防護都有各自的需求,這就需要雲安全供應商有相對應的場景化方案去適應不同的安全需求。
同時,不同的雲服務方式也給雲安全的防護提出了挑戰,新華三集團副總裁、安全產品線總裁孫鬆兒就曾表示,“大型企業或央企客戶更傾向自建私有云或行業雲來承載業務,在安全方面會更加穩妥。但對於衆多中小企業來說,公有云的模式必將是最佳選擇,這對雲安全的安全合規等各方面會帶來更加嚴格的考驗,因此公有云和私有云在整個架構方面的差異也會給安全防護帶來相應的挑戰。”
新華三集團副總裁、安全產品線總裁 孫鬆兒
那麼,雲安全在面對不同行業場景和不同服務方式時,又將如何應對呢?目前業界普遍認爲,無論是公有云還是私有云,最終都將走向混合雲這一趨勢,而新華三自身在安全方面的實踐其實已經爲我們提供了最佳答案。在新華三內部既有私有云來承載核心業務,又有支撐邊緣性業務的公有云平臺,在混合雲的場景下,公有云安全和私有云安全實際上已經完全打通,實現了整體的資源監控,例如對私有云和公有云環境結合業務本身的安全綜合風險分析,從整體角度去考慮雲安全問題,乃至從多雲環境下考慮如何做好統一、高效、安全的運維管理必經將是未來雲安全需要重點解決的課題。
02
急需多樣性合規保障
一方面來自公有云、私有云、混合雲這些多場景的需求給雲安全提出了挑戰,而另一方面,政策和法律法規的相繼出臺也對雲安全的未來發展起到了導向性的作用。從雲安全的實質出發,就是要保護在雲上運行業務的安全,而業務本身就是數據,因此《數據安全法》的實施對雲安全的發展將起到重要的影響,未來《數據安全法》中的相關要求也將進一步融入到雲安全的範疇之內。
另外,從監管層面來看,中國在安全領域的法律法規與國外的法律顯然也存在一些差別,比如歐盟的GDPR和中國的《數據安全法》就有各自的側重點,這就造成在構建雲架構的時候,也會採取各自的技術手段。換言之,雲服務在法規和架構上的差異,未來能否通過統一的安全平臺進行防護和管理也將是雲安全需要重點考慮的問題。
03
雲安全建設需要雲網安深度融合
綜合以上對雲安全的需求,不難發現,在面對不同雲服務方式,如公有云、私有云、混合雲、多雲,以及不同行業對雲服務的實際業務需求及合規需求都將給未來雲安全帶來新的挑戰和新的要求。那麼,我們要建立一種什麼樣的雲安全觀才能更好的應對未來市場的訴求呢?
對於雲安全的核心價值觀,孫鬆兒指出了新華三在雲安全戰略方面的兩大核心點:
第一,新華三信息安全正在致力於打造全棧全場景的雲安全的能力。在私有云和行業雲領域,新華三提出了雲網安融合、獨立資源池兩大解決方案,支持容器化安全控制器和容器化安全管理平臺,具備自主流量編排、第三方對接能力。而在公有云的安全能力建設方面,基於紫光雲及其他第三方公有云,能夠提供完整的安全服務目錄,並通過雲安全運營中心,爲用戶提供雲安全SaaS服務、雲安全運維服務、雲端情報中心、高級威脅狩獵和檢測等一系列全棧雲安全服務和能力;
第二,在雲安全領域,新華三將與廣大合作伙伴一起,致力於提供更爲全面、覆蓋更多業務場景的雲安全能力。
實際上,新華三雲安全解決方案具備合規性、高性能、高效性、兼容性和開放性五個獨特優勢,爲客戶的雲平臺環境安全與雲租戶安全提供優質多樣的服務。孫鬆兒指出,新華三以往的能力主要體現在提供比較完整的IaaS層服務能力,在此基礎之上,包括紫光雲在PaaS方面的建設,包括數據庫的共享、數據庫的隔離,甚至用戶、不同的開發者在數據庫平臺上的保障,都會有相應的安全解決方案。另外在SaaS層,新華三也已推出相關的應用安全解決方案。當然這些都會充分結合生態夥伴的力量去做實施,而最終還是要從用戶感知和體驗的角度來不斷完善安全相關能力。
另外,新華三集團是爲數不多的,既具備雲平臺建設能力又具備網絡建設能力,同時又有安全建設能力的綜合性廠商。藉助雲、網的天然優勢,可將雲安全與雲網深度融合,形成“雲網安”一體化能力。通過安全雲管理平臺(SecCloud OMP),打造安全即服務的理念,構建雲平臺的安全服務目錄;同時安全與網絡控制器的聯動,可將租戶所需的安全組件直接部署到租戶網絡中,無需引流,真正實現了租戶業務的網絡安全;整個雲安全方案中,提供多種防護能力,包括雲防火牆、雲入侵防護、雲負載、雲WAF、雲數據庫審計、雲堡壘機、雲漏掃、雲日誌審計、雲態勢感知等,在靈活部署的同時也能滿足等保合規要求。
04
雲安全防護重在安全運維
衆所周知,雲安全的優勢在於可以將本地的安全工作搬到雲上來完成,這點對於很多安全建設相對薄弱的中小企業而言最具吸引力,但同時我們也應該意識到,雲安全雖然降低了企業前端的安全工作壓力,但在雲端的安全運維方面實際上工作更加繁重了。因此,業界普遍認爲,雲安全的一大重心將落到安全運維上面。
而在雲安全運維領域,新華三集團早就開始了相關佈局,孫鬆兒表示,“通過已經建立起的雲安全運營中心能夠爲所有的雲管邊端設備提供整體的賦能,包括髮現安全風險、安全事件之後的集中分析、處置、響應,同樣的安全風險可以做到批量管理。”
另外,針對中小企業用戶在安全理解、認知方面所存在的一些困擾和差異,可以通過雲安全運營平臺對用戶設備及系統進行遠程的健康體檢,包括漏洞掃描,針對性地給用戶制定對應的安全策略。同時,新華三會把安全網關所攔截的安全風險、安全事件在雲端的平臺上做歸併和分析,可以通過各種方式,如短信、微信、郵件通知管理人員,以此來提升用戶的安全體驗。
值得注意的是,面對中小企業普遍存在安全建設薄弱和缺乏安全人才等短板問題,孫鬆兒指出,“遠程的雲化運維平臺可以爲中小企業做更多的雲化代維代管服務,從而顯著提升企業在安全管理能力和體驗上的缺失。”
另外,針對AI與雲安全的結合方面,新華三提出了創新的雲網邊端解決方案,在端點AI module可以獨立跑第三方的應用程序,包括雲上的管理平臺,智能化的安全運維平臺也可以跑第三方的應用,兩者可以完全整合。另一方面,新華三對硬件平臺和軟件平臺進行了打通,利用協同方式將傳統的網絡安全和底層設備的AI module融合打通,爲整體的雲安全運維提供了基礎保障。
05
AI加持下的雲安全未來
目前,人工智能AI已經逐漸開始滲透到各個領域,而AI在雲安全方面到底能發揮什麼樣的作用?從新華三在AI向安全落地方面的實踐來看,有幾點是最值得關注的:
第一,因爲AI涉及到比較多的算力和模型構建、模型訓練,所以AI的應用更多是在智能化的安全運維管理平臺,包括態勢感知平臺有大量的應用,比如流量分析,基於流量和AI算法可以做有形的、無形的用戶行爲畫像,通過用戶畫像能夠發現一些潛在的用戶異常行爲,再針對異常行爲去對安全風險進行判斷。
第二,從安全日誌的角度,因爲安全日誌體量龐大,如何從衆多的安全日誌中來追蹤、溯源、發現一些潛在的,不是通過簡單的統計關聯分析就能看出來的安全風險,這就需要建立包括機器學習、知識圖譜的能力對大量安全日誌做規避、分析,甚至是AI的算法加持,以便發現潛在的安全風險,最終實現主動安全防禦的目的。
多年來,新華三集團承擔並參與了多地政務雲、高校雲、融媒雲等各行業雲項目的建設,通過雲網安融合能力,打造雲安全統一門戶,打通業務部署、智能防禦等各個環節,形成完整的共同體,爲用戶提供更安全的服務,滿足用戶多樣化和高可靠性的安全需求。
06
結束語
未來,新華三集團將做安全新技術的引領者,其中AI和安全的結合將成爲重要的發力點,目前在安全領域中AI的應用大都聚焦在安全運維管理、資產化運維管理,安全事件行爲畫像這些方向。這些結果可以判斷出比較清晰的正向效果,當設備本身有了AI的加持之後,對未知威脅的檢出率會有一定保障,但也要看到AI應用到雲安全之後所面臨的一些問題,比如平臺本身和資產化的運維管理平臺具備AI能力之後,是否會對用戶原有場景帶來較大的前期建設和投入成本,用戶能否接受?但無論如何,AI與雲安全的結合將是未來雲安全技術的重要演進方向,在雲計算的大潮中,新華三雲安全能力必將爲用戶帶來更高、更新的價值與體驗。