不得不说,对于今天的数字化转型,上云已经成为企业的主流选择和共识。
IDC FutureScape 2019预测:到2021年,中国55%的新增企业应用将是云原生应用;到2024年,中国70%的500强组织将用集成工具实现跨公有和私有云的多云管理策略。
可以说,随着云计算应用的不断深化,Cloud2.0开启了全面进入物理世界数字化时代。那么,一个问题始终摆脱不掉,就是安全。
今天,无论是国外还是国内的云服务提供商(CSP)都在宣传自己的云是安全的,以至于我们慢慢形成了这样一种误解:上云=安全。
的确,大大小小的CSP们都在不遗余力提升自己的云安全能力,但还远远不够。尤其伴随着与Cloud2.0同步的大中型企业上云,安全成为了需要真正融入企业级应用的关键所在,而不是云应用初期的互联网安全那么简单。
最近的热播电影《哪吒》中有一句流传甚广的话:“我命由我,不由天!是魔是仙,我自己决定!”引申到云安全领域,仅仅上云并不会凭空获得安全加成,如同传统IT环境下的企业安全自建,云上安全也需自己负责去构建。
况且,如今云中发生的安全事件也已屡见不鲜。根据国家互联网应急中心发布的《2018年中国互联网网络安全报告》显示,2018年,国内主流云平台上承载的恶意程序种类数量占总量的53.7%,木马和僵尸网络恶意程序控制端IP地址数量占59%,表明攻击者经常利用云平台来发起网络攻击。
上云≠安全,云上安全该由自己说了算
上云不等于安全,甚至云平台已经成为发生网络攻击的重灾区。这背后的原因也很简单,云平台用户对其部署在云平台上的系统的网络安全防护重视不足,导致云上系统面临的网络安全风险不断扩大。
也许有人疑问,云上安全不应该是云服务商和用户共同负责吗?的确是,但云中的业务与应用安全、数据安全等需由用户自己负责,云服务商则维护基础设施层安全,特别在IaaS模式下服务提供商分担的责任更是相对较少。这在各大云服务商发布的云安全责任共担模型中已经形成共识,并在等保政策中得到体现。
所以,云是否安全,用户本身承担了重要角色。
那么,到底该如何去构建云安全能力?专业的事还需交给专业的人,目前我们所熟知的领先安全厂商已经将安全能力搬上云端,去迎接下一个即将爆发的市场。Gartner认为,在5年内,基于云的安全订阅在整体安全投入中的占比会增长37%。
毫无疑问,伴随着大中型企业的深入上云进程,他们对安全的要求一点也不含糊,并成为推动云安全市场增长的主力。这时,作为云服务商来说,也乐于将专业安全厂商的云安全服务能力推向前台,从而打造更安全的云,并保障云用户的业务和应用免受攻击威胁。
专业云安全服务能力,该考量什么?
那么,企业对于云上的第三方专业云安全服务能力,又该如何考量?似乎我们看到,许许多多的传统安全厂商均选择入驻CSP安全市场。但要强调的是,云安全服务能力并不是仅仅将以前盒子中的软件安全拎出来那么简单。
它有一个重要的考量因素,那就是“云原生集成能力”。Fortinet是具备这一能力的佼佼者。
对于云安全来说,云原生集成能力意味着什么?用Fortinet中国区高级产品市场经理岑义涛的话说,“安全除了检测以外,更重要的在于阻断和响应。而响应能力的高低取决于安全产品第一能够获得多少数据,第二有多少能力去执行安全动作。越贴近云原生,意味着安全产品和云平台可以形成较强的耦合度,去执行基于云的安全策略。”
也就是说,云平台本身拥有着更多的原始数据,例如每一次操作动作的日志,云安全产品可以通过云原生的集成方式把数据抓取过来,然后进一步分析和进行安全响应。反过来也同样成立,云安全产品也可以以API的方式融入云,被云平台调用和管理。
在Fortinet云安全解决方案中,有一个关键组件——Fabric Connector,它是云原生集成能力的重要体现。无论是云平台的一些基础数据,还是其他安全服务的原始数据,Fabric Connector API都可以轻松获取,变成自己FortiGate或者其他云安全产品的原生能力。当然,Fortinet的云安全能力,也可以被云平台本身的API进行触发,自动化执行安全策略。
之所以说云原生安全能力的重要性,这里以美国信用卡发行商CapitalOne数据泄露事件举例,其能够在数小时内迅速定位入侵原因,很大程度上由于CloudTrail全链路审计发挥作用。这是一项由AWS提供的云原生服务,它可以记录日志、持续监控并保留与整个AWS基础设施中的操作相关的账户活动。因为采用云原生数据泄露检测类产品具备完整分析数据和便于溯源能力,所以响应速度更快。
对于Fortinet来说,其Fabric Connector——云原生驱动器提供了强大的能力去实施动态云策略、动态SDN策略、自动化动作执行和IT服务管理,并提供了威胁情报共享能力和基础设施可见性。更重要的是,它还建立了一个覆盖云、SDN/NFV、IoT、终端和IT管理平台等不同领域的强大生态系统,从而提供更加全面的云原生安全集成能力。
Fortinet云安全三大支柱
当然,一个能够打动真正的云上企业级用户的安全方案不仅表现在云原生集成,还包括许多方面。Fortinet之所以在云安全领域异军突起,来源于其云安全战略的三大支柱:云原生集成是其一,此外还包括最广泛的覆盖攻击面和自动化编排、管理、响应。
首先在攻击覆盖面方面,得益于Fortinet的丰富的产品线,进而其提供了广泛的云安全产品,例如下一代防火墙FortiGate、Web应用防火墙FortiWeb、安全信息与事件管理FortiSIEM、沙箱FortiSandbox、蜜罐FortiDeceptor等等,从安全连接到应用安全再到可视化与控制,Fortinet能够帮助用户在云中构建受控的安全计算环境。
并且,它们之间形成了有效的安全协同,Fortinet中国区技术总监张略指出,源自Fortinet Security Fabric安全架构,使得Fortinet不同的云安全产品之间形成了安全联动效应。
此外,Fortinet还已经将FortiMail、FortiCASB、FortiGate、FortiAnalyzer等作为SaaS安全即服务提供给用户,其中部分有望今年年底在中国落地。所以,在构建云安全方案的三个阶段,“无论是迁移,还是构建,亦或按需消费,Fortinet都提供了不同的云安全能力。”张略说。
这里广泛的覆盖面不仅是丰富的云安全产品,Fortinet还支持了业界最多的云平台(数十个私有云+公有云),以及所有主流的公有云平台,例如AWS、Azure、阿里云、腾讯云、Orace、IBM等,并在快速覆盖支持中国本土公有云的多安全产品能力。
其次是自动化编排、管理和响应,要实现这一目标的关键词是“API”。Fortinet提供了全套的API去驱动不同服务之间的调用,加之自动化模板,从而实现产品之间的联动性。此外,API还和第三方集成,能够更灵活地在云中采集数据、调用服务,并赋予能力,从而进一步简化方案部署与安全运维,保障在多云环境中的云安全一致性。
所以说,今天的Fortinet不仅是卖安全“盒子”的领导者,也在努力帮助用户搭建安全的多云架构和公有云架构。据介绍,Fortinet混合云解决方案已帮助全球超过40万个客户实现上云之旅中的安全。
这样的成绩对于一家硬件安全厂商来说实属难得,虽有包袱,不过Fortinet愿意投入,去补充云平台自有安全服务的能力缺失,并坚信云安全一定是下一阶段大中型企业上云不可或缺的关键和广泛需求。不同于当下的云安全小市场,未来云安全一定会成为企业安全投入的重要甚至主方向,并成为安全厂商角逐的新战场。