信息來源:FreeBuf
Gartner早前曾經(jīng)做出過一個預言,在云計算的大背景下,云服務商本身會轉(zhuǎn)變成安全廠商。這個說法這兩年實際上已經(jīng)不算新鮮了,在前不久的ISC 2016之上,我們也聽到過微軟類似的言論。
當時微軟可信賴計算部網(wǎng)絡安全戰(zhàn)略總監(jiān)褚誠云發(fā)表過相關“產(chǎn)品安全”和“安全產(chǎn)品”的演講。他說產(chǎn)品安全是指我們平常所用的產(chǎn)品的安全性,比如說Windows這類通用型產(chǎn)品的安全;而安全產(chǎn)品則是安全廠商推出的產(chǎn)品。產(chǎn)品安全是否天然需要安全產(chǎn)品的保護才能達成?
實際情況是,Windows作為一個操作系統(tǒng)平臺,自Windows XP時代的沖擊波病毒之后,逐步在產(chǎn)品中加強安全屬性,比如說UEFI Secure Boot,比如UAC、BitLocker等,這讓產(chǎn)品本身作為提供安全屬性的存在,或者說產(chǎn)品安全和安全產(chǎn)品的發(fā)展是相互影響、平行發(fā)展的。
我們是否可以認為,在這種情況下,微軟搶了安全產(chǎn)品的飯碗?如果在此將Windows這個操作系統(tǒng)平臺,換成云平臺,褚誠云認為,微軟的Azure安全中心就是將“產(chǎn)品安全”和“安全產(chǎn)品”這兩個概念進行融合。如Gartner所說,云服務商本身成為安全廠商,我們又是否可以認為云服務商搶了傳統(tǒng)安全廠商的飯碗?或者說讓傳統(tǒng)安全廠商賺不到錢?這是我們在前不久的云棲大會上,與阿里云高級安全專家鄔怡探討的話題。
阿里云高級安全專家 鄔怡
云服務商究竟為安全做了哪些事?
鄔怡此次在阿里云安全分論壇上的演講題目為《云上的世界為什么更安全》?!霸粕细踩边@一觀點,之前不管是Gartner,IDC,還是阿里云,都有提及,但很少有人細究過“為什么”。鄔怡的觀點為:“云計算服務提供商每天所承壓的攻擊量、以及他們在基礎設施安全上的投入,是任何一家企業(yè)安全團隊都無法與之相比的?!?/span>
實際上,RightScale前兩年的調(diào)查報告都將云安全性視作云端服務的首要挑戰(zhàn),不過今年最新的《年度云計算調(diào)查報告》中提到,“安全性不再是云的首要挑戰(zhàn)”,“甚至對云安全性最敏感的受訪者——企業(yè)的核心IT團隊以及云安全專業(yè)人員,也不再將安全性視為首要挑戰(zhàn)”,“資源/專業(yè)技術匱乏”成為上云的最大障礙。鄔怡甚至認為,由于云服務商在安全基礎設施方面的投入優(yōu)勢,原本的這種安全性“弊端”反而成為企業(yè)上云的原因。
然而要令“云上的世界更安全”,不僅僅是將基礎設施遷移到云端。而是用戶和云服務商需要共建安全體系,分別承擔相應的安全責任。在今年杭州·云棲大會中,就有多個安全主題演講都提到了“責任共擔”模型, 如果要想“云上的世界更安全”,不僅僅是將基礎設施遷移到云端。而是用戶和云服務商需要共建安全體系,分別承擔相應的安全責任”——實際上,云安全責任共擔模式在業(yè)界已經(jīng)達成共識。在海外,亞馬遜AWS、微軟Azure均采用了與用戶共擔風險的安全策略。例如,AWS 負責管理云本身的安全,業(yè)務系統(tǒng)安全則由客戶負責??蛻艨梢栽贏WS安全市場里挑選合適的產(chǎn)品來保護自己的內(nèi)容、平臺、應用程序、系統(tǒng)和網(wǎng)絡安全。
“責任共擔(shared responsibility)”教育的云服務商,即告訴用戶,并非上云之后所有的安全問題都由云服務商解決,用戶自己也需要采取必須的安全措施,保護其計算資源。
在傳統(tǒng)IDC架構之下,從最底層的物理層面,到網(wǎng)絡、操作系統(tǒng)、應用、數(shù)據(jù)、業(yè)務管理,自然都是企業(yè)自己全部負責的,企業(yè)需要一己之力解決每個層面的安全問題;而在IaaS模型中,從物理、網(wǎng)絡、存儲,到虛擬化都由云服務商負責安全防護,而操作系統(tǒng)以上部分的安全責任由用戶承擔;至于上圖的SaaS模型下,用戶所需關注的就只是業(yè)務管理方面的風險了。
責任共擔,意味著需要用戶關注的威脅更少,但不是上云之后不需要關心任何安全問題。阿里云及其他主流云服務商反復強調(diào)“責任共擔”,即通過“責任共擔“模型讓用戶更清晰地認識到自己的安全邊界在哪里,自己需要為安全做哪些事情。這種責任劃分也能很好地表明,云服務商在安全方面究竟做到了什么樣的程度。
用戶的安全責任 云服務商也“管”
如果說承擔云平臺底層安全責任是種必然,那么“阿里云云盾”就是將安全觸及到用戶層面了——屬于用戶的安全責任,阿里云就是通過云盾在“管”的。這里的“云盾”實際上是指阿里云自家在推的安全系列產(chǎn)品,如態(tài)勢感知、先知、WAF、抗DDoS等,也包括了名為“安全管家”的產(chǎn)品。
“除了加密服務是我們和江南天安合作的,其它的阿里云云盾產(chǎn)品這些都是阿里云自己在做的。比如說我們提供的安全能力、安全防護產(chǎn)品,像是抗DDoS,阿里云甚至還默認自帶一些抗DDoS流量。放眼全球的CSP,我們在安全上為用戶做了很多的事情”
鄔怡的另外一個身份就是阿里云云盾 · 安全管家產(chǎn)品的負責人。安全管家是將原本不在云服務商責任范圍內(nèi)的安全問題,也通過增值服務的方式去解決。
這項服務的本質(zhì)是為用戶提供整體安全運營服務,包括安全運營事前、事中、事后階段還必須要的人參與處理的各種問題,比如安全技術體系設計、安全策略的制定、安全策略變更、應急響應等等。
“通過這套服務體系,幫助客戶將安全運營做起來。現(xiàn)在安全人才非常緊缺,許多企業(yè)可能沒有安全專家提升自己的安全水平。通過安全管家高水平的安全專家服務,能大幅度提升客戶安全防御水平。這樣一來,‘產(chǎn)品+運營’,用戶整個安全體系就完整了?!?/span>
所以總的來說,安全管家更像是阿里云為企業(yè)提供的安全外包服務,甚至將安全運營囊括在內(nèi)。所以我們玩笑似的問鄔怡:如果大家都上云了,豈不是很多人就面臨失業(yè)嗎?甚至安全行業(yè)的規(guī)模是不是會變得越來越小?
傳統(tǒng)安全廠商就要沒錢賺了?
“我覺得在每次技術變革中,這樣的情況都會發(fā)生。安全行業(yè)不會消失,但跟不上技術變革的廠商會消失?!边@是鄔怡對我們所提“失業(yè)”這個問題的回應。
如此說來,正如先前云棲大會安全峰會之上,阿里云傳達的理念,傳統(tǒng)安全廠商的角色會發(fā)生變化。一方面是安全產(chǎn)品本身會上云,另一方面是SaaS化的交互方式。而“這原本就是未來安全的一個發(fā)展趨勢,安全廠商會慢慢往上層走,上到應用層、業(yè)務層這個層面,基礎設施提供商會把許多底層的安全做掉?!睋Q句話說,云計算的發(fā)展是否有掘了傳統(tǒng)安全廠商的墳墓的可能性?
我們知道,許多傳統(tǒng)安全廠商是以出售實在的硬件設備為生的。而在鄔怡看來,未來70%-80%的企業(yè)都會上云(那些無法上云的只是因為業(yè)務系統(tǒng)老舊,無法遷移),于是未來的絕大部分安全產(chǎn)品都將以軟件的方式存在于云之上。從短期來看,這必然對傳統(tǒng)安全廠商的贏利造成影響,這種矛盾和轉(zhuǎn)變將承受的壓力大約不是一朝一夕可以消解。究竟是安全廠商順應大勢做轉(zhuǎn)型,還是這個時代壓根不像云服務商所想,這是時間會去回應的,但這個所謂的趨勢必然會遭遇一波阻力。
鄔怡的看法似乎樂觀很多:“每種技術變革的時候都會有一個效應,可能這東西成本更低了,看上去賺的錢更少,但用戶使用量會大幅增加。比如說,如果電價降下來了,我相信電力公司的收入不會減少,只會增多。其實安全也是這樣,安全SaaS化過后,中小企業(yè)也都買得起了,而不是純粹大企業(yè)才能享受的了?!薄半S著萬物互聯(lián)時代的來臨,未來可能面臨的安全問題也只會越來越多。所以這個行業(yè)本身不會變小?!?/span>
“國外那些新初創(chuàng)的安全公司,基本都是貼著云的應用去做的。國外的云上有很多安全產(chǎn)品可以選擇,國內(nèi)基本上還非常少。而國外的云計算服務提供商為用戶提供的第三方安全產(chǎn)品的選擇都是比較豐富的。同時,安全廠商的產(chǎn)品也能無縫接入云環(huán)境,交付、配置、服務的體驗都很流暢,而國內(nèi),用戶的選擇就少得多了。”這即是鄔怡所說國內(nèi)外環(huán)境的差異,在他看來,這種安全產(chǎn)品云化的趨勢在國外已經(jīng)相當顯著,國內(nèi)卻才剛剛開始。
云安全向自動化、智能化方向進發(fā)
“云平臺有豐富的API,為安全運營自動化打下了很好的基礎。我們正在對安全管家產(chǎn)品做自動化,首先會發(fā)布一個云平臺安全配置自動檢查的工具。這個工具就是做云平臺相關安全配置檢查,客戶只需要輕點鼠標就能檢查云上架構是否有問題,配置是否安全。按照我們之前服務經(jīng)驗來看,云上很多安全問題都是很低級的配置問題,我們把這些問題的檢查做成自動化,讓用戶能自助檢查,更好的夠適應云環(huán)境。之后包括持續(xù)監(jiān)控、應急響應,慢慢都會做成自動化的模式,提供給用戶。”
“就目前來看,自動化還沒有真正到智能決策這一塊?,F(xiàn)在的自動化主要還是在于一些流程的自動化。未來我們從方案制定到部署、運營,大部分都將由AI來決定,現(xiàn)在可能還做不到這一點,但這是我們未來努力的方向?!?/span>
“某些跟基礎設施綁定很緊的安全,它一定會被基礎廠商作為一種安全能力提供給客戶,這要求安全廠商自己去轉(zhuǎn)型”。這至少是阿里云對未來安全行業(yè)的預見,即便現(xiàn)在大約還不能讓所有安全廠商接受。IDC今年的數(shù)據(jù)顯示,2015年阿里云在國內(nèi)公有云IaaS市場份額達到了31%,將第二名甩出幾個身位。與此同時,中國公有云服務總市場規(guī)模14.42億美元(IaaS為8.37億,增70.7%),相比2014年增長53.8%,預計2020年會達到50億。
如果企業(yè)全面上云真是個趨勢,國內(nèi)的傳統(tǒng)安全廠商向何處去?是擁抱云計算,還是堅持自己的市場,在今后幾年內(nèi),這或?qū)⑹堑啦豢杀苊獾倪x擇題。而從產(chǎn)品+生態(tài)的布局上看,阿里云意在建造的這個“云端安全王國”,似乎已初見端倪。未來的安全王國規(guī)模幾何,你能想象嗎?
* FreeBuf出品,作者:歐陽洋蔥,轉(zhuǎn)載請注明來自FreeBuf.COM