上的云越来越多，企业要如何做好安全？- DoNews

撰文｜小不董

編輯｜李信馬

頭圖｜IC Photo

一朵云能承擔多大的重量？如果是天上的云，那么它連一個50千克的人都承受不住，但如果放在網絡中，它所能承擔的無限大。近些年，上云的對企業的重要性在不斷提升，對于企業來說，云承擔著數字化轉型技術底座的作用，但與此同時，云上安全也成為了企業面臨的新問題。

隨著企業對云原生等技術的深度應用，多云技術架構得到了快速發展。據中國信通院《2023年混合云發展調查》數據顯示，調研的上云企業中，使用混合云的企業占比達到75.5%，并且有59.3%的企業表示預計將在未來一年內加大在混合云的投入。

“混合云具有部署靈活、成本低、最大化整合現有資產、促進業務創新等顯著優勢，隨著數字化進程推進，已逐漸成為企業普遍選擇的部署方式。”中國信通院云大所開源和軟件安全部副主任、中國通信標準化協會TC608云安全工作組組長孔松表示。

放眼未來，混合云因為靈活部署的特性，成本低、能夠最大化整合資產的優勢，使得越來越多的企業加入。在信通院的調查中，所有的企業中將近有60%的企業預計在未來的一年都會增加混合云的投入。

與此同時，混合云模式下，企業想要保護好核心的云上資產，內部的團隊大多面臨著兩個問題：

在多云混合的場景下，面對多個需求各異的云服務商，怎么做好多個云服務商的責任管理？
云安全廠商提供不同的能力，需要承擔的責任也是不同的，所以給企業的責任共擔的模式也帶來了挑戰。

來自企業的經驗

互聯網公司中，小紅書就屬于極具代表性的多云部署企業。截止到2022年底，小紅書上的分享者數量超過6900萬，月活的用戶數量超過2.6億，筆記日均發布量超過300萬篇。

2014年，小紅書為了快速發展互聯網業務，用了第一朵云。當業務體量發展到一定程度，小紅書開始關注服務的高可用和穩定性。當時不少企業選擇先有自建IDC，然后去用云，而小紅書選擇多云自主。

通過用多云，把流量入口分散，把服務分散在不同的云上，比如一個云或者一個VPC掛了之后，小紅書的APP不至于打不開。另外，多云策略還能夠提高小紅書的自主性：成本上不會被單個云廠商綁定提高價格，可以比價；業務上不必擔心重要活動遇到單個云廠商的資源不足，可以隨時切換到別的云上。

為了應對多云原生下的安全挑戰，小紅書用一套標準去給所有能力建設定目標：

通用性。任何一個安全能力脫離于云的基礎設施。比如HIDS是要能夠在阿里云上用，同時在華為云上用，同時在AWS上用，在所有云上都是通用的，都可以能夠實現。
一致性。一層是數據的一致性，一層是策略和防護效果的一致性。最基礎的是日志的一致性。但是對于內部的業務團隊來講，業務部署在騰訊云上和阿里云上，防護效果是不一致的，所以要進一步做到策略的一致性。
擴展性。“如果我們今天的流量從騰訊云80%調整成騰訊云20%，另外一個云飛速擴張，在這種情況下怎么能夠保證安全能力，它的帶寬，我們的冗余度，它的冗余度是可以快速調整的。我們所有的能力建設都是朝著這樣的目標去走的。”小紅書安全負責人林敏說到。

其次，把安全風險可視化同樣重要，口頭上說把安全從60分做到70分是很難理解的，這時候就需要數據化和嚴重等級分級的邏輯。

最后，保持健康狀況是很重要的一環，小紅書也在嘗試通過安全可視化去牽引整個安全風險的具像分級，給到業務方去呈現價值。

而在傳統行業，云安全也受到了更多的重視。在2023廣州國際車展開幕前，曾有媒體發起了一項隨機調研，調研的結果顯示，有超過43%的用戶將“網絡安全”和品牌、外觀、價格、續航等一起納入了購買智能汽車的首要考慮因素。

蔚來汽車的信息安全基礎設施負責人馬磊介紹，汽車行業上云面臨的安全風險可以總結為：數字化應用上云的風險、關鍵基礎設施的合規風險以及供應鏈的風險。馬磊總結了蔚來汽車如何去面對這樣的挑戰：

從傳統的被動防御轉化成主動；
持續云上風險的治理和巡檢；
持續的威脅暴露面管理；
通過數據驅動去做安全運營以及提升響應能力。

蔚來汽車的整個安全體系架構分為四個維度建設安全體系

辦公網，蔚來在國內以及海外都有分支機構；
公有云，也是主要合作伙伴騰訊云。蔚來汽車核心的app和一些數字化應用，包括車聯網的服務都跑在騰訊云上面和一些其他公有云；
自建的數據中心，跑在重要的計算集群和企業的服務；
整個工廠，包括整車制造和零部件的制造。

第二個層次是整個安全體系，蔚來汽車會提供安全能力或者工具來支撐整個安全的防御體系，包括云安全、主機安全、系統安全、整個終端和辦公網等。

最后一個層次是情報。情報對安全能力的建設，包括運營是起著非常重要的作用，特別是在戶網外，以及日常化的運營當中。

同時，馬磊也表示提出需要在以下四方面建設云安全能力：

應該是

身份和憑據，大量賬號如何遵守最佳的安全設計原則，如何做權限劃分對企業來說是很大的挑戰，特別是憑據管理非常困難，這也是很多云上出現風險或者出現泄露時核心的關鍵點。
各種各樣的操作和運營審計，這種用戶、管理員在企業實踐當中有大量的運用，他們的這種操作、配置、變更行為是需要安全做審計的。
deep?obs能力。騰訊云或者公有云廠商已經提供了豐富的API接口，作為安全運營來說，是需要充分利用好這些能力的。

云廠商

雖然不同企業遇到的問題都不同，采取的策略也不同，但目的都是保證云安全，而要做到這一點，提供基礎設施的云廠商責無旁貸。騰訊云安全產品負責人周荃認為：“我們的業務可能是多云的、混合云部署的，但是我們希望安全運營可以是統一的。”

周荃介紹，在多云/混合云趨勢下，越來越多的企業有統一安全運營的需求，近幾年，騰訊云安全也一直在推進云安全產品的“一體化”。2021年，騰訊云曾提出來云安全“3+1”防線的模型。

圖片來源：云安全趨勢暨騰訊云安全年度產品發布會

2022年，騰訊云安全發布云安全中心，打通了云防火墻、云WAF、云主機安全三道防線，實現了云安全產品的一體化。

今年，騰訊云安全升級發布“全域安全”解決方案，將云安全中心與主機安全合二為一，打造了CNAPP+SIEM的安全一體化平臺及可插拔式安全底座，企業可在底座上層“樂高式”搭建安全產品模塊，實現公有云、混合云、自研云的多云統一管理，以及橫跨生產網、辦公網、互聯網的三位一體防護，即“全域安全”。

圖片來源：云安全趨勢暨騰訊云安全年度產品發布會

周荃稱，騰訊云安全之所以要打通云安全中心和主機安全，是因為高效的安全運營往往是基于數據和驅動的，安全數據的收集是安全運營工作的基礎。而服務器上的業務運行數據，以及網絡側的訪問和請求數據等基本上是在主機安全和安全運營中心之上，兩個產品結合有利于數據的高效收集。

圖片來源：云安全趨勢暨騰訊云安全年度產品發布會

“我們認為，實現全域安全的前提是平臺化，主機安全和云安全中心融合為一體化平臺的底座，是為后續的全域融合打下基礎，同時騰訊云防火墻4.0版本、騰訊云WAF5.0也都是沿著全域安全方向進一步防護升級。”周荃表示。

另外，騰訊云安全發布的AI安全助手，覆蓋了告警解釋、漏洞修復、日志處理、智能客服等四大能力，將會在2024年1月全量正式上線。

圖片來源：云安全趨勢暨騰訊云安全年度產品發布會

據周荃介紹，騰訊云AI安全助手主要解決兩大類的需求：一類是高頻場景，即確定性的、重復的工作可以交給AI來完成，例如封禁一個IP、封禁10000個IP和封禁“過去30天攻擊過我的高危告警IP”都是確定性的事情，通過AI安全助手，企業只需要一次對話就可以完成。

第二類是硬核場景，即需要安全專業能力和經驗判斷的工作，例如告警解釋、事件溯源分析、應急響應等，都可以交給騰訊云AI安全助手來進行輔助。

生成式人工智能的發展，有可能將增強網絡攻擊者的能力，成為網絡威脅的助推器。云安全也需要與時俱新，有新的應對手段。未來面對更復雜的多云環境和攻擊手段，還需要云廠商、企業等的共同推動。

久久精品欧美日韩精品/狠狠色婷婷久久一区二区三区/国产精品午夜无码av体验区/丰满人妻av无码一区二区三区/成人做爰A片免费看网站爱酱