2019年即将面临的云计算安全5大趋势

SDN in China

2019年4月22日

行业趋势

安全将成为云计算最大的挑战

云计算从诞生之初的“实验性”技术到为IT行业广泛接受,成为新一代社会数字基础设施的核心技术,经历了不同的发展阶段。在“上云”已从一个可选项变成必选项之后,用户对云计算安全的担心将经受现实的真正考验。云计算的发展历程自始至终都充满挑战:从灵活性、稳定性、性能、成本等技术挑战到用户教育等市场挑战,云计算已在这些方面取得长足进步,并通过应对这些挑战变得更加成熟。而用户也将在解决了迁移、高可用和成本控制等多种难题之后,逐渐采取以“安全”为第一出发点的上云和演进策略。

这不仅要求云服务厂商具备相应的安全技术和产品支撑,也需要用户转变观念和部门文化,适应云计算环境带来的技能变化。根据调查,安全仍是用户最大的疑虑,并将随着云计算市场规模的持续增长成为云计算面临的最大挑战。

容器和Serverless的普及将催生新的安全攻防形态

容器是一种新的虚拟化形态,因其轻量、高效的特点正受到热烈追捧。但同传统的虚拟机不同,多个容器或不同租户间的容器都共享同一个系统内核,而不是像虚拟机一样各自拥有独立的内核。这为恶意攻击者提供了更大的攻击面。一项调查表明,60%的组织机构在2018年都遭遇过容器安全事件。

%e4%ba%91%e8%ae%a1%e7%ae%972

2019年,容器和Serverless的发展必将持续,同时基于这两项技术的DevOps等技术最佳实践方式也将进一步获得普及。针对容器技术特点的安全攻击和防范方法将会各自提升到一个新的阶段。当前的云计算用户对针对容器的攻击方式和防范方法仍缺少防范意识和规范的制度,此前在Docker Hub中发现的几十个恶意Docker镜像至今仍存在于某些用户的生产环境中,未加以任何审核和监控。但随着容器和Serverless的普及和进一步应用,此过程中必将有更多的用户意识到“容器安全”在整个基础设施体系中的重要位置,并成为整个云计算生态的重要一环。进而催生出DevSecOps等新技术最佳实践。

云安全事件将波及社会基础服务设施

在云计算发展之初,一度打出的口号是成为“IT行业的水和电”。云计算也确实在践行这一目标,并取得了IT基础设施的中心地位。有意思的是,和当初设想的略有不同,传统的社会基础设施,比如云计算的目标“水和电”,也已经开始和云计算互相融合。传统行业和社会基础服务设施也已开始数字化转型和网络化改造。《世界城市报告》指出,未来20年全球发展中国家的城市,每年都会新增近7500万人口,满足这些人口的需求,自然就需要对现有的社会服务基础设施进行改造。

金融支付、智慧交通、智慧城市、智慧油田、智慧电网、智慧农业等等都是新兴的基于云计算的社会基础服务设施改造工程。这些改造在享受云计算带来的种种便捷,提升社会整体效率的同时,也将传统社会服务基础设施和数字基础设施相互耦合,物理世界与数字世界的边界将进一步模糊。此时数字基础设施所遭受的安全风险将不仅仅局限于数字世界内部,而将进一步传导至日常社会生活的方方面面。针对此类风险的安全监管和防护规范必将成为相关工作的重点。

云计算服务商将加强与安全生态的合作

云计算把涉及IT基础设施的方方面面都高度集成并统一开放给用户,计算、存储、网络、应用都划归于统一的资源池,成为一套完整的体系。并且各个不同云计算服务商之间也将涉及混合云业务和多云互联等业务。云计算安全防护的考虑,也必须针对每一个可能涉及的环节。Gartner也有报告指出,云计算服务商将最终向着“安全服务提供商”转变。

计算、存储、网络每一项都是一个专门的安全研究领域,单凭任何一家企业或组织都不可能构建一个涵盖全部细节的安全体系。云计算服务商现在多是采取与用户”责任分担”的安全策略,但并不能从根本上解决安全问题。好消息是,传统的安全公司也在向虚拟化和云原生转型,提供多种适合云计算环境的安全防护产品,并在某一特定领域有多年的沉淀和积累。云计算服务商、用户、安全生态合作伙伴将在这种合作模式中各取所需,一同打造完整的云计算安全体系。

使用云内流量可视化构筑微分段安全策略

微分段「Microsegmentation」是当前确保云内安全的一种有效的实践方式。通过隔离不同属性的工作负载并单独加以防护,使网络具备细粒度防护的能力,同时安全规则可以随着工作负载在云内的迁移而迁移。确保不因云环境的灵活性特点而产生额外的安全策略维护负担。

针对工作负载的可视化,比如应用流量,性能,访问拓扑关系等信息,可以让用户快速构建适宜的微分段策略,并实现安全策略的自动化下发和处理。通过云内流量可视化的手段,对虚拟机和容器基于应用、审计合规需求、数据敏感性等特征分组并划分为不同的工作负载,将会极大减轻规则维护开销,并提供适应于云环境特点的细粒度的防护能力。这将是未来确保云内网络安全的主流方式。

%e4%ba%91%e8%ae%a1%e7%ae%973

云杉网络DeepFlow®帮助企业实现虚拟网络流量可视化分析、服务拓扑发现、应用部署的策略输出与配置变更验证,以及白名单模式的整体云网与安全解决方案,凭借强大的网络流量采集及特征学习和分析能力,提供针对DDos攻击、端口扫描、口令入侵、恶意流量攻击等安全事件的实时监测、报警及回溯功能。并能通过机器学习算法持续完善流量模型,提高监测效率,为企业用户、数据中心、云网络运营者及虚拟网络租户提供网络安全保障,降低网络及业务风险。

随着企业上云进程的加快,云杉网络及时洞察并响应用户需求、快速演进DeepFlow功能,在企业上云的过程中扮演着护航者的角色,已成为世界500强企业云数据中心网络流量采集、分发和分析一体化平台的典型应用。

%e4%b8%ad%e7%be%8e%e8%ae%ba%e9%81%93%e7%be%a4

Related Posts

云杉网络DeepFlow基于Free5GC的方案示例

在运营商现网中的环境往往更为复杂,监控保障侧既要做到全面、实时、精准的数据处理和展示,又要在监控覆盖规模上具备灵活性和弹性,需要各方在推进方案落地过程中不断探索。

Read More

云杉网络DeepFlow、NSP分别中标中移金科项目,联袂保障云端业务稳定运行

近日,北京云杉世纪网络科技有限公司(以下简称:云杉网络)宣布旗下DeepFlow与NSP产品分别中标中移动金融科技有限公司(简称“中移金科”)网络性能管理平台项目与"和包"云平台三期扩容项目。随着企业在上云过程中对云网络监控和云网络服务两方面需求的增强,未来会有更多客户同时选择云杉网络的DeepFlow和NSP。

Read More