一年一度的安全行业盛会RSA Conference本周就在美国旧金山召开,从本次入选十强创新沙盒的初创公司提供的解决方案和产品可以看出,云安全和数据安全仍然是当前网络安全技术创新的热点方向,并且根据数说安全对全球网络安全热词统计来看,云安全(Cloud Security)连续两年排名第一。
云安全之所以这么受关注并且发展迅速,和云计算的快速发展离不开关系。笔者十年前第一次听到“云计算”这个名词的时候,当时的直观感受是非常飘忽,有点“云里雾里”的感觉,而到今天云计算已经成为推动社会经济发展的基石,整个变化在当时看来不可想象。
那么云计算为什么有这么大的“魔力”呢?笔者认为云计算虽然从部署形态分为公有云、私有云和行业云等,但云计算本身解决的问题是IT基础设施交付的痛点。没有云计算之前,企业需要自己管理各种IT基础设施,包括设备的采购,上架和维护,尤其是涉及到一些网络规划,会导致整个IT基础设施交付变得复杂,满足不了企业业务的快速发展。而云计算从社会分工的角度解决了这个问题。云厂商提供企业所需的各种IT基础设施,企业作为云上租户则直接使用各种云计算服务。这种分工带来的变化是云厂商会更加聚焦云计算技术,为自己的客户提供更好更优良的服务。而企业则利用云厂商提供的各种云计算服务来加速自己的业务发展,双方相辅相成,都得到了快速发展。从云计算的服务模式来看,云计算分为IaaS、PaaS和SaaS服务,但不管是哪种服务模式,企业不再需要购买和维护IT基础设备,只需要购买各种云计算服务,例如云主机服务,RDS服务等。这些服务支持计量计费,企业只需要按天或按量付费即可。到今天为止,任何企业都可以直接利用AWS、阿里云等云厂商提供的各种云主机,数据库,大数据和AI等服务快速构建和发展自己的业务。2020年初,随着冠状病毒爆发,各企业利用云计算和大数据对疫情的预测和跟踪,充分展现了云计算和大数据的“魔力”。
上面提到云计算通过交付服务的方式解决了IT基础设施交付的痛点,而伴随云计算而生的”云安全“问题随之而来。在笔者看来,云安全面临和云计算一样的痛点,各种安全设备的交付和维护及其困难,一般企业很难做好安全运营和运维。那么云安全能不能和云计算一样通过交付服务的方式来解决这个问题呢?即云安全厂商通过云安全技术为客户提供各种云安全服务,而企业只需要购买和使用安全服务即可。笔者认为完全可以,下面笔者结合云计算的设计思想来阐述云安全的服务化过程。
集中化:云计算通过将分散的IT基础设施集中在一起进行管理,这种集中化不是指物理位置上的集中,而是指物理位置上分散,但逻辑上集中管理。这种集中化的手段通常是通过统一的云管理平台实现的,统一的云管理平台包含了通用CMDB功能,将各种IT基础设施作为资产统一进行管理。云安全也可以利用这种思想,将物理分散的安全设备进行逻辑集中管理,建立安全的S-CMDB库。
标准化:安全设备光集中化还不够,还需要对安全设备进行管理和配置。云计算通过虚拟化技术实现了计算、存储和网络的标准化,云管理平台通过标准的虚拟化接口,统一管理设备的生命周期和配置管理。云安全因为设备异构的问题,导致安全设备实体形态不同,接口不同,除了运用云计算技术解决设备的生命周期管理功能外,更关键的是要解决设备的配置问题。我们可以将安全设备按照IPDR分类枚举出所有的安全能力,这些安全能力是标准化的,再针对这些安全能力,定义标准的南向接口和北向接口,解决安全配置的难题。
服务化:IT基础设施通过集中化和标准化后,云管理平台利用标准化的计算、存储和网络服务进行组合,向客户提供云主机、RDS等标准云服务。云安全则通过封装和组合标准的安全能力,向用户提供安全访问控制,应用安全防护等安全服务,并利用它们标准的北向接口实现策略的自动编排下发。
总之,云安全可以通过安全基础实施的集中化、标准化和服务化的过程来实现安全服务的交付,为企业提供从IaaS、PaaS到SaaS的各层次安全服务。从入选本次RSA大会的创新沙盒十强初创公司可以看出,有两家提供SaaS安全解决方案的公司。笔者相信,随着云安全技术的不断发展,未来会有越来越多提供云安全服务的公司,云安全服务化交付将成为主流,云安全厂商和云计算厂商将一起为客户提供最优质的服务。
作者:奇安信技术专家 鲍坤夫
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
