在云成为新一代基础设施的今天,云安全的重要性已经成为共识,但不同于传统安全的架构与特性,围绕“云安全该如何建设”的讨论也愈发热烈。
阿里云基于多年云上安全治理经验,作为全球第三、国内第一大云服务商,在2022年年初,重磅发布安全年度报告。在此份报告中,我们对来自不同规模、不同云部署模式的4名企业CIO、安全部门负责人进行了深度访谈,近距离描绘各企业在云安全建设中的选择、困惑和现状。
真实的声音最为宝贵,既是对后来者的一份有益参考,也是云安全厂商的一盏指路明灯。
此文为访谈实录快览,预知更多详细内容,可扫描文末二维码获得报告完整内容。
受访对象背景
黄文强 中国南方航空CIO
南航自2016-2017年开始逐步将营销、电商、票务等业务搬到云上,以适应更加开放、弹性的业务需求。目前南航采取了公有云、私有云、IDC共存的混合架构,未来拟进一步提升企业上云率。
贾坤 中国扶贫基金会信息部主任
基金会在2011年做IT建设时开始考虑使用公有云,从2014年开始将逐步将项目部署在公有云上,在2015-2016年两年的时间里,实现了业务全量上云。
康德胜 众安保险CTO
众安保险是国内首家互联网保险公司,由“保险+科技”双引擎驱动,已实现业务全量上云,对金融云部署、云上流量防护等问题有充足经验。
周仕彬
上海群之脉信息科技有限公司安全负责人
群脉在2010年就开始接触云业务,从国外的亚马逊云、微软云,到国内的阿里云。目前群之脉科技业务上云率达到70-90%,预期在未来五年内达到业务全量上云。
Q
为什么选择上云,上云给业务带来了哪些改变
黄文强
云就像是从辛苦“打井”到接入“自来水管道”。在传统IDC数据中心下,安全的组件、服务器的组件,网络方面……所有东西都是in-house的,都要单独的去申请预算。相关技术人员的招聘、培训方向也是采用传统的内容。
上云之后,我们就可以直接应用云上的现成安全方案、扩容方案,就相当于我们以前是自家打了个水井,人口扩张之后,我需要不停地把水井打深一点,打快一点,所有的打井工作、提水工作都得自己来,现在上云之后,使用云服务商的服务,就相当于家里接了自来水,可以根据我的使用量来去扩大或者减少,我们只需要按需采购、灵活调配就可以了,非常方便,所以整体的预算和采购流程都发生了变化。
周仕彬
我们之前在选购产品的时候,有供应商评审小组,这个小组可能来自财务,产品以及开发团队,选型的时候也是从安全、功能、价格、品牌力这些方面来考虑。因为我们的客户都来自于各行业的头部客户,所以安全也是整个选型中非常重要的一点。在我们整体上云之后,供应商的数量急剧减少,因为阿里云就可以统一输出我们需要的服务器资源,网络资源,还有安全资源,甚至PaaS层的一些资源。
这种基于云的统一采买,包括管理、开票、审计等等,大大地减少了管理的复杂度。以IT部门为例,当前我们IT团队仅有2人,但完全可以支持云上千万级别的资源管理。
贾坤
云带来的高弹性和低成本,支撑起了我们整个后端的生产力。因为我们是一个做公益捐赠的单位,信息化的预算有限,上云以后采购服务的方法比去运维一个IDC的成本是大幅下降的。此外,由于我们业务特性,比如公益网站,一般情况下访问情况稳定,但是如果有突发事件,访问量就会突然间变得很大,在传统环境下很难承载,但云上就可以很好解决这个问题。
Q
上云给安全建设带去了什么变化,企业云安全建设现状如何
周仕彬
回顾群脉的历史,从单点到系统,云安全建设是一个逐渐体系化的过程。
- 刚上云的时候,核心业务不在云上,没有做任何安全防护;
- 2014-2015年,开始将核心业务部署在阿里云上,为了保障业务高可用和不间断性,做了一系列业务系统改造;
- 2016年,业务经历了快速增长,公司进行了几轮渗透测试,发现了很多漏洞。我们一方面是加紧去修复这些漏洞,另外一方面我们开始正式去使用云安全产品,比如说WAF、防火墙等;
- 2018年,从组织架构侧我们成立了SRE小组,并且采购了安骑士(主机安全产品)、堡垒机等来保护运维安全;
- 2019年,公司开始把多套核心系统,甚至CI/CD的发布平台都放在了云上,利用云的安全能力来保障更多的系统;
- 2020年,正式组建了安全团队,邀请了专业的机构来做等保的安全认证,整体规划公司的信息安全管控和合规建设。
在建设云安全的过程中,我们也发现云安全给公司带来了更低的成本(对初创公司非常有帮助)、更规范透明的管理(不需要再采购各类供应商的硬件资源)、更安全方便的身份管理、更高效的自动化…而且,安全还帮助我们争取到了一个核心客户。他非常关注安全的问题。我们就以自己公司的云安全建设作为案例,在和阿里云的共同配合下,这个头部企业不仅采购了我们的产品,同时还把它在中国一半的服务器资源搬到了阿里云上,这其实是一个非常典型的安全、风险、责任共担的案例,阿里云帮我们解决基础平台的安全,我们去负责自己上层业务的安全,给到客户一个从下至上全面的安全保护。
康德盛
相比起线下,云上业务的安全防护模式发生了变化。众安业务从最初就是云原生部署的,目前只有办公环境需要采购一些硬件设备,所以也不需要硬件防火墙,交换机等盒子,维护传统安全硬件、设备的人员预算也变少了。但是相应的,我们也采购了很多SaaS化安全服务产品,来应对云上各类安全威胁。
在部署的安全产品上,我们的基础的安全能力都用的是阿里云的防护,比如说DDoS、VPC之类,可以进行流量的筛选。而因为技术能力、产品发展等等原因,在偏业务领域的方向,我们用的是自己自研的产品,比如说WAF(Web应用防火墙),在流量过滤上可以设置更贴近企业业务逻辑的规则。
当然安全产品的部署也是有一个过程的,我们2013年左右的时候上了阿里云的金融云,当时其实就是把金融云当成一个机房来用,但是在虚拟层之上很多东西都是我们自己来开发的。当然后来会发现云厂商提供的应用、服务很多比我们自己开发的好,投入产出比更高,那么我们就会选择进行替换,现在我们也不断的来看云厂商的哪些产品如果性价比更高,持续关注。
Q
企业云安全建设目前遇到的难点和问题是什么
黄文强
其实云本身的,云底座的,云管平台本身的安全防护能力怎么去保证,是挺重要的,比如购买的安全产品,它对我们来说是一个黑盒,运行维护需要依赖服务商。比如产品发生了一些问题,还是需要云服务商的支持,如果响应不及时,可能就会影响到我们的系统恢复,也希望云服务商能提升企业上云后的安全感。
其次是如何利用好云上安全工具,发挥它的价值,是需要我们把云上和云下的安全工具进行融合,内部去对安全人员进行更多的培训的。企业内部的服务器时代,对人员的培训更多的是集中在数据库、存储层、主机侧,包括开发应用系统层面业务相关的内容,上云之后,培训需要更偏应用和数据层面,以及云底座的知识学习。更重要的是云产品、底座相关的原理,只有在懂原理的基础上,才能正确的使用工具,比如这个是专门针对容器的,这个是专门针对流量的,才能把它使用好。
康德盛
目前云上安全最大的挑战还是在数据安全上,而且国家现在对于数据合规方面也有很多要求,我觉得这也是阻碍很多企业上云的最重要原因之一。一方面涉及大家对于云厂商信任程度的问题,另一方面也是担心云上存在无孔不入的漏洞,导致数据被黑客拿走。
对于众安来说,我们不止有一个云,而是多云,甚至是多厂商之间的多云,我们其实是希望云厂商能够把底层的东西开放出来,通过CASB(云访问安全代理)之类的功能可以实现多云之间的协同,比如通过API可以实现统一管理,这种开放性是我们所需要的。
从数据安全的角度来说,我们需要既存储数据又存储密钥,那对于企业来说,把各个东西放在不同的地方对我们来说更有安全感,但是分成两个机构、两个云去存放,彼此又没有办法互通。另外,比如说我们现在搭建了一个办公网络,那么一定涉及到数据共享的问题。除了数据库以外,很多是文件、文档,大部分都是线下的,当然也包括一些线上的共享文档,主要是提供给大家共同撰写、修改文档的一个功能,但是大部分文档还是比较传统的。那员工把文件拷走了怎么办,员工之间任意共享、传输怎么办?在云上的话,这个牵扯到权限管控的问题,每一台服务器、每一台虚拟机都要管,公司内外部的文件、不同部门的权限分配,还包括在移动端的,手机上的文件共享怎么来管控,这其实一直都是我们的痛点,但是目前解决也不是很好。
Q
未来五年甚至十年,期待云安全会演变成什么样的形态
贾坤
对于像我们这样小规模的企业而言,期待的是开箱即用、自动化程度高、SaaS化部署的云安全产品。比如云防火墙,因为它是边界防护,不需要改动现有任何东西,对客户无感的情况下就可以使用,这种简单的产品对于小机构来说是最有用的。其次,在商业模式上,希望云安全的定价模式可以更灵活一些,提供给企业多种定价阶梯选择,并且支持按量计费。
康德盛
总结起来,我们有三个期待。
第一个,希望云厂商提供更多的开放能力,实现跨平台、跨产品的统一;
第二个,是在数据存储、数据管理上,能够引入第三方托管的概念,比如CASB,云访问安全代理,提升整体数据安全合规的能力;
第三个,我们对于网络安全保险这类产品也比较关注,企业买了这些保险产品之后,可以得到一些保护承诺。
周仕彬
希望安全可以成为一个普惠事业,通过《网络安全法》、《数据安全保护法》、《个人隐私保护法》,我们可以看到安全已经变得越来越重要,对于大的云服务商,他们应该也有一些社会责任来维护互联网的安全。
Q
有没有给予其他企业的云上安全建议
黄文强
首先,上云一定是必然趋势,上云可以给企业带去很多的便利性,也更加安全可靠,把专业的事情交给专业的人去做。
然后做云上安全,还是要充分使用云原生的安全工具,并且要注意安全产品和服务的快速迭代,跟上云安全防护的步伐。
在应用系统部署方面,传统的企业架构不是云原生的,对云的适配性肯定会遇到问题,所以传统的系统架构也要逐步往云原生的方向去改造、去发展。再进一步,互联网就是让所有的公司内部的系统、业务都上网,上云,所以长远来看所有的信息系统都需要用云的技术重新做一遍,以适应云原生的架构。
周仕彬
我觉得首先是要增加对云的了解度,接受度。其实现阶段,很多企业都已经完成了所谓的信息一体化建设,目前在向数字化转型,再说大一点就是“互联网+”这种概念演进。对于这些客户而言,产品的研发,市场的投放,客户的圈选,各类营销活动,在很大程度上都是依赖各种数据的计算分析。如果说企业想做一场活动,预估参与的是1万人,但最终达到10万人,在云下是很难来支持这样一个规格的,云上就可以解决这样的问题。
至于云上的安全建设,我觉得按照云厂商提供的best practice来建设就行,比如一家刚上云的公司,必然需要一个VPC,然后在VPC里把安全组配置好,流量出入口要管控,开启WAF,开启云安全中心及建立好安全基线,网络防火墙和堡垒机结合公司实际情况决定是否开启,流程安全和业务安全更多依赖公司内部管控。现阶段安全靠企业自己来维护和承担,投入成本是非常高的,专业的人专业的公司做专业的事情,我们要将我们的一部分的安全责任、安全需求托管给更专业的云厂商来做。