0
云計(jì)算和大數(shù)據(jù)這對好基友,一個在服務(wù)商提供的私家密室中“一絲不掛”地暢游,另一個還沒有留意到暗藏在云端樹梢上監(jiān)控頭正注視著他的一舉一動,此時此刻的他們正在面臨著一個共同的敵人——數(shù)據(jù)安全。
——私家偵探的獨(dú)白
這個敵人真是無處不在,尤其是在云時代,伴隨著云服務(wù)、云產(chǎn)品的推陳出新,也帶來了諸多安全隱患,那些不安分的爪牙就如同“竊賊”一般,潛入云端,無孔不入,挖掘有用信息,搗毀防護(hù)措施。而這也引起了安全廠商等一批“私家偵探”的注意。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
政府與企業(yè)云化轉(zhuǎn)型的加速,讓云安全產(chǎn)品和解決方案成為眾多安全廠商聚焦的熱點(diǎn)。為了更好地了解云時代的安全現(xiàn)狀、解決方案,以及人工智能在云安全中探索出的更多可能性,雷鋒網(wǎng)編輯就智能云時代的安全態(tài)勢與志翔科技產(chǎn)品副總裁,聯(lián)合創(chuàng)始人伍海桑博士聊了聊。
“軟裝修”的云時代不可忽視“零信任”
云計(jì)算推動著整個IT行業(yè)的變革,但其在全球范圍的發(fā)展步伐卻不盡相同。2014年,SaaS在美國的銷售收入超過IaaS并就此一飛沖天,而中國云計(jì)算市場到今天仍處在IaaS階段。相比于中國和歐洲,美國的發(fā)展顯然比較迅速。
“打一個比方,我們還處在‘蓋房子’的基礎(chǔ)設(shè)施建設(shè)這一塊,而美國已經(jīng)是在做軟裝修、智能化和住人了。但現(xiàn)在國內(nèi)從政策導(dǎo)向和企業(yè)實(shí)際業(yè)務(wù)發(fā)展走向來看,大家都認(rèn)識到上云是一個不可逆轉(zhuǎn)的趨勢。”伍海桑說。
我國的云計(jì)算發(fā)展相對保守,一個重要原因是對安全的顧慮。目前全球前五的SaaS廠商并無中國本地企業(yè),把數(shù)據(jù)交給云服務(wù)商當(dāng)然會引來多方顧慮,安全與自主可控成為市場發(fā)展的最主要障礙之一。但云的趨勢滾滾而來,擁抱機(jī)遇、迎接變革、加速布局云業(yè)務(wù)是政府和企業(yè)必然的選擇。在伍海桑看來,未來國內(nèi)云計(jì)算有兩大發(fā)展趨勢:
一、從基礎(chǔ)建設(shè)走向高級應(yīng)用。從云的應(yīng)用類型方面來看,分為SaaS、PaaS、IaaS,軟件即服務(wù)、平臺即服務(wù)和基礎(chǔ)設(shè)施即服務(wù),參考國際市場趨勢,國內(nèi)的云市場未來一定會一步一步朝著SaaS方向發(fā)展,從“基礎(chǔ)設(shè)施”走向“軟裝修”階段。
二、云安全將會越來越重要。當(dāng)企業(yè)將數(shù)據(jù)和業(yè)務(wù)放在云上,數(shù)據(jù)隱私、業(yè)務(wù)風(fēng)險等等各類安全問題會以新的規(guī)模和新的形式不斷出現(xiàn)。云安全會成為企業(yè)最為關(guān)注的問題之一。
“但我們不能讓安全成為業(yè)務(wù)發(fā)展的障礙。業(yè)務(wù)向前,同時安全跟上,這樣才能相互促進(jìn),良性和快速發(fā)展。”伍海桑表示。“從整個產(chǎn)業(yè)來看,大家都在往好的方向共同發(fā)力。”近幾年,政府在政策法律、標(biāo)準(zhǔn)、管理和服務(wù)這四個方面持續(xù)發(fā)力,著力改變以往“重合規(guī)、輕保護(hù)”的狀況,引導(dǎo)網(wǎng)絡(luò)空間與網(wǎng)絡(luò)通信安全產(chǎn)業(yè)的發(fā)展。企業(yè)越來越重視安全,加大在安全建設(shè)上的投入;同時,新的安全創(chuàng)業(yè)企業(yè)也不斷涌現(xiàn),用新的理念、技術(shù)和產(chǎn)品解決更大、更復(fù)雜的安全問題,這些都形成合力加速云計(jì)算發(fā)展。
“我們看好行業(yè)整體快速向前的趨勢,所以我們會緊跟著企業(yè)業(yè)務(wù)發(fā)展的趨勢與需求,作為我們安全技術(shù)和產(chǎn)品落地的重點(diǎn)方向。”伍海桑表示。
而具體到志翔科技云安全產(chǎn)品和技術(shù)的定位,伍海桑告訴雷鋒網(wǎng),云時代企業(yè)安全體系構(gòu)建的核心是“零信任”,“零信任”這一理念也得到了業(yè)界的認(rèn)可。
將零信任翻譯成大白話和具體技術(shù),并不是沒有信任的意思,相反,應(yīng)該直觀理解為“你是誰,從哪里來,能干什么,最后做了什么,拿了什么,這些環(huán)節(jié)都安全可信”。具體到技術(shù)上,網(wǎng)絡(luò)通信、云應(yīng)用訪問、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)空間的各個環(huán)節(jié),都應(yīng)該安全可信,同時要發(fā)揮虛擬空間記錄和分析的優(yōu)勢,做到安全和行為可視化,進(jìn)一步維護(hù)好可信任的云空間。具體到應(yīng)用上,志翔科技基于“零信任”從五個方面設(shè)計(jì)了其云安全產(chǎn)品至明探針系統(tǒng):
一、網(wǎng)絡(luò)的可信,包括網(wǎng)絡(luò)訪問可信和網(wǎng)絡(luò)本身可信。
二、進(jìn)程和應(yīng)用可信,界定哪些程序可以做什么,并做約束管控以防越界。
三、數(shù)據(jù)的訪問可信,即數(shù)據(jù)被規(guī)定只能被誰進(jìn)行某種操作。
四、記錄日志信息、審計(jì)記錄并且分析行為。
五、可視化,讓分析結(jié)果直觀、安全、可視。
“這些詞說起來簡單,但最終要實(shí)現(xiàn)的是用最小的代價來實(shí)現(xiàn)最大的效果,用最小的消耗實(shí)現(xiàn)最多的功能,并且滿足可擴(kuò)展性,才能給客戶創(chuàng)造更大價值,也讓公司自身樹立更高的競爭門檻。基于這個大的原則,產(chǎn)品的細(xì)節(jié)打磨也至關(guān)重要。”
這些細(xì)節(jié)體現(xiàn)在方方面面,比如在分析結(jié)果可視化中,展示哪些數(shù)據(jù)圖表,能夠給用戶看到最關(guān)注的知識和情報;在分析上,如何選擇數(shù)據(jù)、怎樣分析,能夠使情報結(jié)果更具準(zhǔn)確性;在相同效果下,如何將產(chǎn)品做到輕量級,而系統(tǒng)占用少、效率高,用戶無感知、體驗(yàn)好;在部署和管理中,如何做到簡捷易用,做得起也要用得起;部署后,如何做到容易維護(hù)操作等等這些問題。技術(shù)推陳出新越來越快,5G正進(jìn)入落地應(yīng)用,又將進(jìn)一步加劇安全的挑戰(zhàn),同時也將給安全技術(shù)和產(chǎn)業(yè)的發(fā)展帶來新的趨勢和更廣闊的發(fā)展空間。網(wǎng)絡(luò)基礎(chǔ)設(shè)施升級和其新的接入特性帶來云業(yè)務(wù)和安全業(yè)務(wù)量級幾何級遞增,并讓云安全開始走向融合,一方面是安全形態(tài)本身縱向從物理到虛擬到云的融合,另一方面是技術(shù)上更多形態(tài)的延伸與融合。
保持敏銳,技術(shù)緊跟業(yè)務(wù)走
數(shù)據(jù)和業(yè)務(wù)上云,企業(yè)固有的安全邊界被打破,不斷外延和模糊化。在伍海桑看來,其實(shí)是“物理邊界”在消失,但邊界還是有的,而且變得與每一個用戶的行為密切相關(guān)。對于一個企業(yè)而言,傳統(tǒng)安全邊界不外乎是物理隔離、防火墻、DMZ等這些概念,而在云上的邊界,則是將安全措施和業(yè)務(wù)流程部署到云端后,利用云的方式讓保護(hù)墻更加嚴(yán)固。這實(shí)際上是形和態(tài)的關(guān)系——形變而態(tài)存。
云的最大優(yōu)勢是靈活、彈性擴(kuò)展、調(diào)度方便,因而微隔離、分布式防火墻,可視化等新的手段就可成為原生態(tài)的有效機(jī)制。原來固定終端、企業(yè)網(wǎng)端的隔離有很多辦法,比如虛擬專網(wǎng)、虛擬局域網(wǎng)隔離、終端安全布點(diǎn)等,但是靈活性不高,成本不低,維護(hù)不易。在云端,虛擬化和云化實(shí)現(xiàn)了應(yīng)用隨需而用、隨用而付,彈性擴(kuò)展,安全也一樣,可以適應(yīng)云的需求,隨需而起,保證業(yè)務(wù)靈活擴(kuò)展同時安全可控。伍海桑說,這就是我們所說的讓云端的安全業(yè)務(wù)保持敏銳,技術(shù)緊跟具體的需求走,跟著業(yè)務(wù)走。
伍海桑提到一個例子,“志翔在跟國內(nèi)一個電力傳輸企業(yè)合作過程中,這個企業(yè)要將它的巡檢業(yè)務(wù)放在云上,但是我們不可能有那么多工作人員去覆蓋到全國電力傳輸基礎(chǔ)設(shè)施的頻繁巡檢中,所以我們把這塊外包給各地的第三方人員,在手機(jī)上安裝APP,對基礎(chǔ)設(shè)施拍照然后上傳照片。其中存在一個問題就是這些手機(jī)的安全性,隨之帶來上傳的照片和數(shù)據(jù)的可靠性。我們的解決辦法就是從自己入手,不對第三方人員終端進(jìn)行管控,而是聚焦巡檢云自身,做到云上的嚴(yán)格可信,包括網(wǎng)絡(luò)、網(wǎng)絡(luò)接入、進(jìn)程,以及引進(jìn)的數(shù)據(jù)訪問權(quán)限等。”
那么如何實(shí)現(xiàn)這些嚴(yán)格的把控呢?一個重點(diǎn)就是利用微隔離和分布式防火墻的技術(shù)。有數(shù)據(jù)進(jìn)來的時候首先要清洗,然后檢查,保證巡檢云自身是安全的。安全機(jī)制很多時候就是這樣一個基于權(quán)限的篩選和過濾過程,而過濾的準(zhǔn)確性與業(yè)務(wù)的復(fù)雜程度有關(guān)。如果上傳到云端的只是圖片,那么這些圖片會帶上地理信息、基站信息、手機(jī)IMEI號、手機(jī)號等一些輔助的信息,原則上就是圖片和其對應(yīng)元信息(meta-info)。微隔離和分布式過濾基于最小權(quán)限原則,讓過濾的效率和準(zhǔn)確性非常高。
“所以我們總說,黑客、白客都從技術(shù)發(fā)展中受益。云計(jì)算讓數(shù)據(jù)泄露等各種安全風(fēng)險加劇和放大,但同時也讓安全能力變得更強(qiáng)。”伍海桑介紹:
一、云帶來海量數(shù)據(jù)的集中式部署,所以數(shù)據(jù)泄漏事件到了云里面,每一次都是大規(guī)模的,影響范圍會變得特別大。
二、備份和加密是數(shù)據(jù)安全必不可少的環(huán)節(jié)。到了云上,云的高彈性、靈活性等特點(diǎn),讓備份更容易,提高了冗余性和安全性。同時,云里面的關(guān)鍵性技術(shù)之一是加密的提升,使得關(guān)鍵信息和關(guān)鍵流程加密成為標(biāo)配。
三、成本更低。世界上沒有絕對的安全,關(guān)鍵在于道與術(shù)的博弈,當(dāng)破解和攻擊的難度和成本大到讓黑客不想玩,也就意味著安全了,基本上所有的加密算法都是基于這個原則。所以在成本界定之內(nèi),把信任機(jī)制建立起來,對最核心的內(nèi)容進(jìn)行加密,安全的門檻就能做到足夠高。
人工智能是安全領(lǐng)域的一個“框”
云端的安全也離不開人工智能技術(shù)的應(yīng)用。從傳統(tǒng)IT到云計(jì)算,數(shù)據(jù)呈幾何級增長,大數(shù)據(jù)的處理需要強(qiáng)大的計(jì)算能力和算法來支撐,靠單臺機(jī)器甚至是服務(wù)器都很難搞定,只有在云里面才能承載這么大的處理能力。而人工智能(AI)在更多領(lǐng)域的落地應(yīng)用,能讓算法、算力和數(shù)據(jù)處理能力互相促進(jìn),快速優(yōu)化迭代,實(shí)現(xiàn)更高效、更精準(zhǔn)的分析,所以我們認(rèn)為,人工智能技術(shù)與云計(jì)算的結(jié)合將大大推進(jìn)云安全的能力。
拋開一些浮夸的形容詞,可以說在安全領(lǐng)域,人工智能是一個“框”,很多東西都可以往里裝。通過應(yīng)用和實(shí)踐并在算法分析和行為分析上不斷加強(qiáng)安全的能力。目前人工智能已經(jīng)開始在安全領(lǐng)域發(fā)揮作用。
伍海桑以志翔科技目前在做的一個電力行業(yè)項(xiàng)目為例來說明“框”里的一個典型例子。2010年,我國開始啟用第一批智能電表,通過自動回傳數(shù)據(jù),解決了過去機(jī)械電表人工查表的低效問題。但智能電表因?yàn)橥庠诃h(huán)境和各種人為因素會發(fā)生故障,由于這些電表數(shù)量龐大,分布區(qū)域極廣,難以定位,為避免計(jì)量誤差帶來的經(jīng)濟(jì)損失和用戶投訴,質(zhì)監(jiān)局要求每八年對全國范圍的智能電表統(tǒng)一更換。這種“一刀切”的解決辦法對電力企業(yè)而言同樣是極大的成本浪費(fèi)。所以志翔科技和電力企業(yè)合作,采用大數(shù)據(jù)分析的方式來精準(zhǔn)定位計(jì)量故障和失準(zhǔn),可以做到有針對性的更換問題電表。通過小范圍的數(shù)據(jù)采集、過濾、分析以及驗(yàn)證,并不斷優(yōu)化算法,現(xiàn)在已經(jīng)可以通過大數(shù)據(jù)來準(zhǔn)確判斷和找出失準(zhǔn)表。在整個項(xiàng)目中,涉及到海量數(shù)據(jù)的采集、清洗、建立模型、比對、計(jì)算、復(fù)檢等等環(huán)節(jié),云計(jì)算和人工智能技術(shù)的應(yīng)用就發(fā)揮了很大的作用,有效的取代了人工勞作,讓效率更高、成本更低。
“用AI取代了繁瑣的人工手檢、復(fù)檢等很多過程,這是一個典型用AI來指導(dǎo)IOT安全的案例。”伍海桑介紹,不僅在電力行業(yè),AI和大數(shù)據(jù)還能應(yīng)用于解決更多國計(jì)民生的實(shí)際問題。
在談及大數(shù)據(jù)分析的應(yīng)用是否會讓用戶有隱私安全顧慮時。伍海桑稱,這其中并不涉及到用戶的隱私。雖然計(jì)算模型的構(gòu)建采用的是真實(shí)的用戶行為數(shù)據(jù),比如具體到這個電力的案例里,就是用戶的歷史和實(shí)時用電行為數(shù)據(jù),利用這些行為數(shù)據(jù)來構(gòu)建一個規(guī)律的安全基線,以此作為風(fēng)險判斷的基線(這些行為數(shù)據(jù)都是公開的數(shù)據(jù),并非用戶隱私和敏感信息)。
而落到某些行業(yè),需要搜集一些用戶數(shù)據(jù)來實(shí)現(xiàn)用戶畫像,服務(wù)商和安全廠商也都必須在合規(guī)條件下經(jīng)過數(shù)據(jù)所有者(用戶)、數(shù)據(jù)出版方等多方面的授權(quán)后使用。
“這中間當(dāng)然會有一個界限。對于安全廠商來說,我們通過分析用戶授權(quán)的行為數(shù)據(jù),來錘煉算法和機(jī)制,用于保護(hù)用戶的隱私。整個過程做到合規(guī),就能打消用戶的顧慮。當(dāng)然,某些行業(yè)和企業(yè)的越界行為也時有發(fā)生,這個不需贅言。但這個生態(tài)系統(tǒng),是靠日益完善的法規(guī)約束和行業(yè)企業(yè)的自律來共同維護(hù)的,作為安全企業(yè)我們一定會嚴(yán)格以身作則。”
在云計(jì)算和AI時代,很多問題是在這些新技術(shù)出現(xiàn)后產(chǎn)生的,以前沒碰到過也無法界定,只有出現(xiàn)之后才能去具體制定措施,推動行業(yè)的發(fā)展。伍海桑表示,其實(shí)無論是人工智能還是云端安全, “餅”足夠大才有未來,說明這個行業(yè)在蓬勃發(fā)展。對于志翔科技而言,只要能一直做到“人無我有,人有我優(yōu)”,專注于目標(biāo)領(lǐng)域深入挖掘業(yè)務(wù)切入點(diǎn),并快速與行業(yè)對接,找到解決方案為客戶創(chuàng)造價值,就能保持領(lǐng)先。
談及接下來的市場發(fā)展規(guī)劃,伍海桑分享道,未來一年,在電力行業(yè),志翔科技將對智能電能表失準(zhǔn)項(xiàng)目不斷進(jìn)行迭代和優(yōu)化升級。在整個公司的產(chǎn)品和技術(shù)發(fā)展計(jì)劃原則上,伍海桑總結(jié)為兩個精準(zhǔn)的詞語——“敏捷”和“瀑布”。“敏捷”即快速適應(yīng)市場變化,快速迭代;“瀑布”則是擁有清晰的視野和大方向規(guī)劃,不隨波逐流,抓準(zhǔn)業(yè)務(wù),一層一層向前走,用創(chuàng)新的技術(shù)和產(chǎn)品為企業(yè)數(shù)據(jù)化轉(zhuǎn)型和云時代發(fā)展保駕護(hù)航。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
