0
關于作者:
伍海桑博士,志翔科技聯合創始人、市場戰略副總裁
伍海桑是業界頂級的網絡和操作系統專家,曾服務于于愛立信、華為、Juniper等,任產品、市場及研發管理,架構設計等要職。他在安全系統、網絡體系結構、虛擬化、云計算、實時系統等領域有20多年業界和學界經驗,曾在國際頂級期刊和會議發表多篇學術論文,獲多項發明專利。
伍海桑擁有清華大學電子工程系學士和碩士學位,美國弗吉尼亞理工大學計算機工程博士學位。
云計算發展之大成,來自于處理器、存儲、網絡等幾個關鍵計算要素的交替迭代進步;而云計算的部署使用模式,跟歷史上的交流電和自來水一樣,目標是把計算能力發展成隨用隨取的市政資源。這將是IT基礎設施的一次變革,其顛覆性發展,帶來了使用“云原生”應用的需求,也帶來了對安全機制“云原生”的需求。
“云原生(Cloud Native)”一詞,經常被作為形容詞定語,冠在不同子領域名詞前面,引來了很多理解上的困惑。從云租戶的視角來看,他們關心的是要運行于云上的應用和業務,以及最重要的,要付多少錢。因此,如果以業務、應用作為討論的基礎,那么寬泛的說,“云原生”描述的是充分利用原生云能力(自動擴展、無中斷部署、自動化管理、彈性,等等)來進行應用設計和部署的方法。在這個形而上的框架下,微服務、容器技術、云數據庫技術、K8S、彈性搜索、遙測(Telemetry)等,都是形而下的技術。
簡單的把原有企業網的環境和虛機遷移到IaaS云里,或者把原有單一應用(monolithic application)直接打包到虛機里運行,乃至做些API對外提供接口,這些做法離云原生都還遠。為了實現“云原生”屬性,云應用需要在發布、服務方式、隨需彈性、數據和工作負載(workload)管理等多方面都重新構建。
所謂工作負載,是對運行應用所需要的資源和進程的抽象化定義。最初的工作負載形式就是物理服務器。隨著IDC走向虛擬化,工作負載演進為虛擬機形式。到今天,云服務中容器成為工作負載的主流,而正在出現和發展的工作負載新形式Serverless(無服務程序),直接對應用run-time虛擬化,改變了傳統意義上的服務進程監聽-運行模式,是更加精細粒度的瞬態工作負載(ephemeral Workload)。
可見隨著云計算和云原生需求的發展,云工作負載的形式越來越抽象靈活,同時其部署和運行的生命周期也可越來越短。多種形式和生命周期的云工作負載會長期共存,目前并沒出現彼此淘汰的情況,同時這些演進和共存,也使得抽象化定義很有必要。
安全機制一直是跟隨IT基礎設施和業務來為其服務的,云安全也不例外。其保護的對象就是面向訪問和使用云系統、云應用的流程機制。與傳統企業網絡安全機制顯著不同的是,云安全的管理責任由云運營商和用戶共同分擔。更重要的是,傳統物理邊界變得模糊后,安全不再圍繞企業數據中心和終端來設計部署,安全邊界也不再是數據中心邊緣和企業網邊緣的某個盒子。在云計算時代,應該基于以數據為中心(Data-centric)的原則來部署安全,關心的問題應該是:誰,能訪問什么業務和數據,應該授予何種訪問權限,為什么需要這些權限,在授權范圍訪問是如何進行的,等等,而不再是“業務在哪里”和“邊界在哪里”。換句話說,傳統安全邊界變成了無處不在的邊界能力——動態創建、策略強化、權限管控、安全訪問。
云原生環境對安全在業務、管理和部署上的關鍵要求包括:
云業務持續不斷的交付要求,需要持續不斷的安全保障。亞馬遜、沃爾瑪等級別的云用戶的更新部署要求可達每日數百次,彈性和無中斷成為標配要求,因此安全必須也做到輕量化、持續不斷,并嵌入部署工具中各個環節來確保成為“檢查點”。
對工作負載(Workload)的安全防護是必須的,而且要隨著工作負載的演進而不斷演進。傳統企業安全防護,端點、網絡、邊界,各個層級相對清晰,而云環境下,這些邊界界限變得很模糊,承載計算的工作負載則是直面威脅的對象。因此,工作負載的安全,是一個需要橫向保護多種負載,也需要縱向對每類負載深入做好保護的問題。
對多系統和混合棧的支持,以及自動化配置。云安全要考慮到云的公有、私有、混合等形態,也要考慮云工作負載的多樣性和演進,同時還需要支持多種操作系統。而云應用帶來的配置復雜度,讓自動化要求在云原生的背景下有格外重要的意義。
從責任共享和云原生要求這兩個角度出發,云安全產品可以簡單直觀的分成三大類:
第一類是對云原生要求不高的傳統安全產品,比如防火墻、防入侵、端點安全、服務器監控、終端檢測響應和SIEM等,云運營商可直接將第三方安全產品部署上云。
第二類是云運營商為配套云服務而提供的安全產品,也可稱為“云運營商原生提供的安全(Native Cloud Security)”。常見的有威脅檢測、云數據庫安全、API安全、容器和工作負載安全、用戶行為監控、合規與風險管理等。一般由運營商從第三方購買整合或自己開發。
第三類則是基于云原生應運而生的“新安全”產品和服務。與云天生具有較好的親和力,比如云工作負載保護平臺CWPP(Cloud Workload Protection Platform)、云安全態勢管理CSPM(Cloud Security Posture Management)、云訪問安全代理CASB(Cloud Access Security Broker)、微隔離Micro-segmentation,等等。
第一類是傳統安全廠商的靜態存量市場(搬一塊少一塊),第二類和第三類則是云安全市場的創新和整合頻繁出現的地方,創業公司層出不窮,安全大廠并購頻繁,云運營商也親自下場買買買,因此這是安全廠商的機會所在。
CWPP的能力集和分類
根據Gartner的定義,云工作負載保護平臺CWPP,意指在現代混合多云數據中心架構下,以租戶的云工作負載為中心的安全機制。CWPP是IaaS安全的關鍵環節之一,也是促進企業“上云”的保障。
時至今日,隨著云工作負載保護在云計算中重要性的提升,CWPP已經與傳統大戶——終端安全防護EPP(Endpoint Protection Platform)分庭抗禮。2019年全球的CWPP市場收入為12.44億美元,在2018年10億美元的基礎上,增長超過20%。三個最大的玩家分別是:趨勢科技、賽門鐵克和McAfee,占一半的營收。
2020年4月Gartner發布的CWPP市場指南對業界已經很熟悉的CWPP能力金字塔進一步精簡,從最核心按重要性遞減排序為八層:原有的文件加密和防病毒不再納入:
(1)加固、配置和漏洞管理,
(2)基于身份的隔離和網絡可視化 ,
(3)系統一致性保證,
(4)應用控制/白名單,
(5)預防漏洞利用和內存管理,
(6)服務器工作負載行為監測、威脅檢測和響應,
(7)主機防入侵和漏洞屏蔽,
(8)掃描惡意軟件。
不同安全廠商針對特定領域,聚焦一種或多種能力,這也造就了CWPP具體產品實現的不同基因。Gartner據此把廠商分成七大類:廣泛能力和多系統支持,漏洞掃描和配置合規,基于身份的隔離和可視化與管控,應用管控與狀態執行,服務器行為監測和威脅檢測和響應,容器和K8S保護,以及對Serverless的保護。其中,志翔科技的至明?智能主機安全響應系統產品(ZS-ISA),對服務器、虛擬機和容器都能監測和保護,并支持基于用戶角色的精細管控RBAC和安全可視化,因此被歸類為CWPP中的“基于身份的隔離和可視化與管控”。
CSPM:硬幣的另一面
軟件定義業務(Software Defined X)已經在多個領域流行,如軟件定義網絡SDN、軟件定義廣域網SD-WAN、軟件定義邊界SDP等。控制面和數據面分離,是SDX中的一個重要概念。比如SDN的模型中,網絡策略在控制面計算并下發到數據(轉發)面,數據面不用具備復雜計算能力,直接執行策略做轉發即可。
控制面和數據面的分合邏輯關系,在處理器設計中有,在網絡設計中有,在云安全中同樣有。CWPP和CSPM就是一對分別聚焦數據面和控制面的安全機制。CWPP是對云工作負載進行保護,是對數據面的安全防護。CSPM則聚焦控制面的安全屬性,包括配置策略和管理工作負載、合規評估、運營監控、DevOps集成、保障調用云運營商API完整性等等。當前幾乎所有的云安全事件都涉及配置錯誤和管控失當,而涉及到IaaS和PaaS服務的配置復雜性和用戶自助之普及,更凸顯正確配置和合規的重要性,這就讓控制面的安全機制變得越加重要。
CSPM和CWPP是同一塊硬幣的兩面,對于保障云應用的實際運行,密不可分。CSPM負責在云運營商提供的基礎工具之外,強化控制面的安全,檢查和強化正確的配置;CWPP負責數據面的安全問題,保護好各種云工作負載,兩者配合的目的,都是為了云計算業務的正常開展和租戶敏感數據得到妥善保護。實際上這種“策略配置檢查-策略下發執行-業務過程防護”的邏輯,其內在哲學與通信網絡中的做法完全一致。
數據面和控制面的云安全產品會融合組成解決方案來服務多種云和多租戶。很有意思的是,從CWPP和CSPM的融合趨勢來看,從CWPP往控制面發展的廠商很多,而反之則較少。筆者的解讀是,CWPP在操作系統、平臺和網絡層面有較多特性,屬于“通才”基礎能力,而CSPM往往是和某個云運營商在配置和API能力上深度綁定的。從通識教育向某個方向垂直發展,符合我們求知和教育的一貫做法,大學里大家都是先上公共基礎課,再學專業基礎課,最后本科高年級才到專業課。
云計算市場的發展,在全球呈現出“美國”和“美國之外”兩個板塊的兩極趨勢。美國公有云和SaaS的發展,明顯領先全球其他地區幾個身位。中國的云計算和云安全市場,跟美國比存在較大差異,這其中有發展階段的原因,建設習慣的原因,也有IT生態環境和競爭等原因。即使如此,我國在云計算整體大趨勢上的發展,基本是與我國經濟體量和發展水平對稱的。
到2019年,我國云計算的市場營收,仍以IaaS為主,至今SaaS還沒有廣泛流行。在云計算的下半場,公有云+私有云結合的混合云仍然會是中國云市場主要形態。互聯網公司布局公有云,傳統行業客戶出于政策監管考慮,會選安全性和可控性更強的私有云/專有云,并需要深度定制的方案和服務支持。
另一方面,無論中國還是美國,安全市場都看起來高度分散。美國2019年有5000余家安全企業,中國的對應數字是3000余家。隨著云計算給信息基礎設施帶來的變革,加上5G、物聯網和傳統產業數字化(產業互聯網)的發展,“云原生”帶來的是極為廣闊的安全市場空間。因此高度分散和海量的安全企業,背后反映的是蓬勃發展的安全細分領域,以及資本市場對于安全企業的青睞。上市等活動在安全市場非常活躍,這種活躍還將會會隨著云計算的普及持續多年。
IaaS和混合云的安全作為我國云計算市場一段時間內的重點,對安全生態有很強的促進作用。細分領域的廠商可以做深做精,而在全環節解決方案上,融合、合作、聯盟就成為必然選項。比如,企業主要使用IaaS服務的算力來處理敏感數據,則選擇上CWPP來保護云工作負載,并使用CSPM來保證配置無誤,這兩者的親和力會進一步促進融合。又如,機器學習、可視化、用戶實體行為分析(UEBA)等技術,會逐漸成為各項安全產品背后的技術,特別是提升日志分析、SIEM、特權賬號管理的能力。再如,軟件定義邊界SDP和其演進出來的零信任安全框架,融合身份權限、訪問控制、安全管理等,將成為新的云業務訪問方式,逐漸取代傳統VPN等。
志翔科技的產品技術發展方向與以上行業發展方向正是一致的。志翔的至明智能主機安全響應系統(ZS-ISA)連續兩年入選Gartner CWPP市場指南,也證明了我們在前瞻趨勢方向判斷上的準確和產品技術上的領先能力。后續,我們會在CWPP的微隔離、權限管控和可視化支持的基礎上,繼續增加主機監測響應、安全分析和機器學習能力,整合云原生API來提供適配頭部云運營商的CSPM能力,并與合作伙伴一起構筑全環節安全防護能力。目前志翔云安全產品已服務于金融、能源電力、政法等多個領域,并將持續創新,助力政企“上云”和“云上”業務的可信安全體系構建。
雷鋒網雷鋒網
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
