ISC2018观察：以新视角审视云安全

万众瞩目的2018 ISC互联网安全大会已经闭幕，本次大会对于进入信息安全领域不久的我来说，给了我极大的震撼，使我受益匪浅，很荣幸能够亲身参与其中。其中我较为关注的是云安全方向的相关技术分享。

本届峰会我们想传递的主题“安全从0开始，安全从来不是一件简单的事“ ，360企业安全刘浩总经理发表了《全生命周期的云安全新体系》的主题演讲。众所周知，随着企业上云的趋势愈演愈烈，企业数字化进程的逐渐成熟，云计算技术不仅改变了企业IT资源的运营和计算模式，由此传统的IT基础架构云化后也带了新的安全问题，。在新一代安全的背景下，传统的安全防御体系根本无法抵御当前的网络攻击，我们的业务系统在由被动防御向主动防御模式转变。原来以各种安全设备堆砌为核心的安全防护体系不再适用，360认为，建立“一个核心、两个基础、三个面向”的新安全理念，更能符合新时代的新的安全需求，这个理念即全面以结果导向的云安全理念，以安全能力为基础的持续优化与运营，以安全服务为基础的快速响应与处置，面向全生命周期的负载安全，面向全生命周期的应用安全，面向全生命周期的数据安全。

目前看来，主流的云计算厂商都将云安全技术作为其解决方案中必不可少的一环，传统IT厂商(cisco,huawei)和互联网巨头（AWS，阿里）等推出的云平台和云安全管理平台都采用紧耦合模式，很大程度上受限于传统的基础机构，安全服务还是不能像计算，网络，存储资源那样随意的使用，不能做到与业务随行。大家在信息安全领域的技术积累参差不齐，无论是公有云，私有云还是混合云，无论是Iaas ,Paas ,还是Saas平台，安全技术上的应用和传统安全转变不大，对于平台来说，如果能够真正的做到以软件定义安全，以业务的安全需求为导向，业务系统的安全属性随着业务的真实需要，来进行安全资源的调度，在配合相关安全领域的服务人员，才能够真正的做到以安全能力为基础的持续优化与运营，以安全服务为基础的快速响应与处置。

新一代的云安全管理平台应该在保护企业云安全架构的角度，应该包含基础设施安全，主机安全，应用安全，网络安全，业务安全及安全运营多个维度，平台应具备安全资源池，平台管理门户，数据治理，及与第三方应用平台接口等多项功能，实现安全资源统一管理，一键部署，对安全实例进行完整的生命周期管理，实现安全即服务的核心运营需求，支持对多租户使用安全资源的计量和计费功能。能够提供统一的硬件资源管理，负责提供虚拟化资源，配置，监控，维护相对应的安全实例。客户可以按定制化需求购买相应的安全模块及服务。在新一代的云安全管理平台服务模块中应该有数据库审计，DLP、堡垒机，安全加固等类似的服务模块，集成多项安全能力能给客户带来更低的采购成本，更简单高效的运维。

在本次会议上，我们多次提到了零信任架构，在云计算数据中心，由于传统的业务边界已经打破，我们必须假设，没有人都是不被信任的，包括运维人员，第三方人员等，所以云平台还需要具备针对用户访问的授权，行为审计等功能，可以随时要求你的平台运营者提供审计日志，以便确切了解哪些人有权访问你的数据，是否被授权等。

新一代云安全的核心，不仅包括从感知，检测，响应，溯源等核心能力帮助客户主动发现威胁，及时采取措施，降低影响，协助反向溯源，更是在现阶段数据驱动和软件定义的大背景下，利用大数据思维，整合相关IT技术，打造云安全技术新体系，构建新的云安全创新模式，真正做到数据的全生命周期的有效管理和运营。

纵观ISC 2018 ，云安全厂商越来越多，云安全已经不再是风口浪尖的热门议题，而是每一个云计算厂商和安全公司的必争之地，身为360企业安全的一份子，我们坚信360公司能够把云安全做到最好，同时祝愿以后每一届的ISC越办越好。

（本文作者：360企业安全技术专家 魏曾）

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。