（圖為安恒信息高級(jí)副總裁兼首席云安全戰(zhàn)略官鄭赳）

鄭赳表示，中國(guó)安全領(lǐng)域發(fā)展的背后主要有兩大驅(qū)動(dòng)力。一是技術(shù)的變化，比如大數(shù)據(jù)、云計(jì)算的發(fā)展，技術(shù)的發(fā)展導(dǎo)致安全產(chǎn)品的形態(tài)發(fā)生了很大的變化；二是應(yīng)用場(chǎng)景的變化，比如物聯(lián)網(wǎng)、智慧城市的出現(xiàn)，而場(chǎng)景的變化會(huì)帶來(lái)新的安全挑戰(zhàn)和安全問(wèn)題。

在數(shù)字化與上云的趨勢(shì)下，越來(lái)越多的企業(yè)選擇將業(yè)務(wù)與數(shù)據(jù)放在云端，進(jìn)而使用更為高效、低成本、安全穩(wěn)定的云端服務(wù)，因而 IT 基礎(chǔ)設(shè)施逐漸云化。云改變了企業(yè)的底層基礎(chǔ)設(shè)施架構(gòu)，安全也隨之往云化，傳統(tǒng)安全架構(gòu)也不再適用于云上。

隨著 DDoS 攻擊、勒索攻擊、數(shù)據(jù)泄露等安全事件頻發(fā)，我們清晰地認(rèn)知到，無(wú)論是 5G、云計(jì)算、人工智能、物聯(lián)網(wǎng)等細(xì)分的技術(shù)，還是云平臺(tái)、服務(wù)器及硬件等服務(wù)，無(wú)一不是安全的突破口與防護(hù)口，而傳統(tǒng)的“壁壘式建高墻”防護(hù)手段早已失效。

在這個(gè)萬(wàn)物互聯(lián)的時(shí)代，當(dāng)有人在不加前提約束的條件下簡(jiǎn)單問(wèn)“你的系統(tǒng)安全否？”就變成一個(gè)偽命題。因此，安全領(lǐng)域不再有邊界，而是應(yīng)該成為無(wú)處不在的防護(hù)盾。

由于外部安全攻擊趨于智能化、復(fù)雜化、規(guī)模化，云上防護(hù)的方式變得更多元化、復(fù)雜化，部署強(qiáng)大的安全架構(gòu)是企業(yè)迫在眉睫的事。傳統(tǒng)安全的能力對(duì)云有一定的賦能作用，但是安全的遷移并不是單純的“生搬硬套”，傳統(tǒng)的安全防護(hù)模式也并不適用于云安全。

鄭赳告訴 CSDN，云安全和傳統(tǒng)安全是完全不同的，兩者的架構(gòu)邏輯存在很大的差異。比如以前傳統(tǒng)的網(wǎng)絡(luò)防火墻不能簡(jiǎn)單的搬到云上，傳統(tǒng)的防火墻設(shè)置在流量的入口和出口之間就能進(jìn)行防護(hù)，但是在云上實(shí)現(xiàn)這一點(diǎn)就非常困難，因?yàn)樵剖强梢赃w移的，因此防火墻的策略也需要可以遷移。

相對(duì)于傳統(tǒng)場(chǎng)景，云上的風(fēng)險(xiǎn)也發(fā)生了變化：一是風(fēng)險(xiǎn)的優(yōu)先級(jí)發(fā)生變化，因?yàn)樵朴?jì)算的出現(xiàn)，數(shù)據(jù)安全和終端安全也變得更加突出和重要，而且不斷涌現(xiàn)出新的理念；二是新風(fēng)險(xiǎn)的出現(xiàn)，比如容器的安全、訪問(wèn)邊界的安全等。

因此，云安全不可能用傳統(tǒng)的硬件盒子來(lái)實(shí)現(xiàn)，而是需要充分利用云的能力和技術(shù)，比如云的負(fù)載能力、彈性伸縮能力、備份能力、熱遷移能力、計(jì)算能力、大數(shù)據(jù)能力等等。此外，還要用到云的模式，比如 SaaS 化的服務(wù)模式，并根據(jù)應(yīng)用場(chǎng)景提供按需服務(wù)。這些是云安全和傳統(tǒng)安全最大的差異。

傳統(tǒng)安全只有經(jīng)過(guò)云化改造才能夠適用，這也是現(xiàn)在安全公司包括所面臨的一些挑戰(zhàn)。

?

在云計(jì)算時(shí)代，安全廠商、云計(jì)算廠商和客戶是共享責(zé)任。即便我們使用的是云上的 IaaS、PaaS、SaaS 服務(wù)，但并不意味著企業(yè)和客戶把相應(yīng)的安全責(zé)任轉(zhuǎn)移給云廠商。云廠商更多的是提供技術(shù)層面的武器，但是如何利用好這技術(shù)，這是企業(yè)的責(zé)任，需從企業(yè)安全架構(gòu)層面、從安全實(shí)現(xiàn)技術(shù)路線上來(lái)做分析。

那么在具體實(shí)現(xiàn)時(shí)，企業(yè)如何加強(qiáng)自身的云安全防御架構(gòu)？

鄭赳表示，構(gòu)建一個(gè)完整的云安全體系需要系統(tǒng)性的思考，這是非常大的挑戰(zhàn)。由于資源的分布不同，如何執(zhí)行統(tǒng)一的安全策略和安全管理是企業(yè)面臨的最大問(wèn)題，而安恒云可以幫助企業(yè)構(gòu)建一個(gè)相對(duì)系統(tǒng)的安全防護(hù)框架。????

目前安恒云提供的解決方案就是針對(duì)云上用于的痛點(diǎn)，首次將云管理和云安全進(jìn)行結(jié)合，簡(jiǎn)化運(yùn)維的復(fù)雜度，通過(guò)更低的成本，提供更高效的安全能力和更好的體驗(yàn)。

隨著伴隨著云計(jì)算技術(shù)走向成熟以及用戶對(duì)成本、備份等多類訴求，“多云”的趨勢(shì)已經(jīng)非常明顯。在鄭赳看來(lái)，沒(méi)有用戶希望被一家云服務(wù)鎖定，而是希望充分利用各家云的服務(wù)和價(jià)格優(yōu)勢(shì)，因此會(huì)有越來(lái)越多的企業(yè)選擇多云架構(gòu)。

中國(guó)信通院的數(shù)據(jù)顯示，多云架構(gòu)已經(jīng)成為企業(yè)主流的部署模式，2020 年高達(dá) 93% 受訪企業(yè)是多云架構(gòu)。但多云架構(gòu)也給企業(yè)帶來(lái)了一些新挑戰(zhàn)，比如多云安全就是最大的挑戰(zhàn)之一，高達(dá) 83% 的調(diào)查對(duì)象認(rèn)為多云安全對(duì)其挑戰(zhàn)最大。

目前，多云管理和多云安全存在以下 3 大難題：

1、多云管理孤島：多云異構(gòu)，各云服務(wù)商架構(gòu)差異大，各資源相對(duì)獨(dú)立，難以統(tǒng)一管理；

2、多云安全建設(shè)成本高：每朵云都需要獨(dú)立建設(shè)安全，安全建設(shè)成本高；

3、安全能力無(wú)法統(tǒng)一分配、管理與運(yùn)維：各朵云的云安全能力參差不齊，無(wú)法實(shí)現(xiàn)統(tǒng)一的安全配置、運(yùn)維與安全態(tài)勢(shì)分析，造成應(yīng)用被入侵、數(shù)據(jù)被竊取等嚴(yán)重安全問(wèn)題。

這時(shí)就需要一個(gè)多云管理平臺(tái)，將分散的資源統(tǒng)一起來(lái)，集中進(jìn)行管理。安恒信息也看到了其中的問(wèn)題，一方面是多云如何進(jìn)行統(tǒng)一的運(yùn)營(yíng)管理，另一方面是多云如何進(jìn)行統(tǒng)一的安全管理。

正是基于這些考慮，安恒信息率先提出了多云管理和多云安全相結(jié)合的理念和解決方案，并推出了一站式多云管理和多云安全管理服務(wù)平臺(tái)——安恒云。

云原生這個(gè)概念現(xiàn)在很火，統(tǒng)計(jì)數(shù)據(jù)顯示，到 2021 年將有 92％ 的公司成為云原生公司。從基礎(chǔ)架構(gòu)到應(yīng)用程序的開發(fā)，堆棧在傳統(tǒng)方法與更現(xiàn)代的基于云的方法之間形成了鮮明的對(duì)比，其中大多數(shù)已對(duì)成功的模式和實(shí)踐達(dá)成了主流觀點(diǎn)：DevOps文化、持續(xù)交付和微服務(wù)架構(gòu) 。

然而為什么我們還沒(méi)有重新構(gòu)想云原生的安全性呢？要知道，通常使企業(yè)陷入困境的是因?yàn)閷?duì)開發(fā)投入太多，而對(duì)安全投入太少。

在鄭赳看來(lái)，我們需要充分利用云原生的能力來(lái)去構(gòu)建安全能力，如大數(shù)據(jù)分析能力、網(wǎng)絡(luò)虛擬化能力、服務(wù)器快照、存儲(chǔ)備份等。然而云原生的利用同時(shí)也帶來(lái)了一些新的風(fēng)險(xiǎn)，比如容器的風(fēng)險(xiǎn)等。鄭赳表示，未來(lái)安全需求方面也會(huì)有一些變化，那就是開發(fā)運(yùn)維會(huì)跟安全結(jié)合，實(shí)現(xiàn)DevSecOps，也就是“安全左移”。

關(guān)于“安全左移”，微軟企業(yè)服務(wù)大中華區(qū) Cybersecurity 首席架構(gòu)師張美波曾對(duì)CSDN表示，“軟件有規(guī)劃、設(shè)計(jì)、構(gòu)建、測(cè)試、部署階段，但往往在軟件的部署階段，我們?cè)偃ピu(píng)估安全性，這是非常不好的。如今我們想從開始規(guī)劃、設(shè)計(jì)、構(gòu)建、階段時(shí)就該考慮安全性?！?/p>

企業(yè)進(jìn)行架構(gòu)轉(zhuǎn)型時(shí)，對(duì)應(yīng)的安全架構(gòu)也將轉(zhuǎn)型，安全是任何技術(shù)的基礎(chǔ)。因此，企業(yè)應(yīng)該將安全也納入速度、敏捷性和連續(xù)交付流程中，這樣才能保證企業(yè)不會(huì)因?yàn)榘踩珕?wèn)題而陷入困境。

?

數(shù)據(jù)時(shí)代的背景下，無(wú)論運(yùn)用哪一種前沿技術(shù)，最終都將體現(xiàn)到海量數(shù)據(jù)的采集、流轉(zhuǎn)、應(yīng)用的流程之中。因?yàn)閿?shù)據(jù)的邊界愈加模糊，所以安全能力必須在云-邊-端實(shí)現(xiàn)更細(xì)粒度的防護(hù)。

而構(gòu)建這道看不見摸不著且無(wú)處不在的安全防護(hù)門，是時(shí)代的機(jī)遇，也是挑戰(zhàn)。