姜红德

随着云计算的普及，基于云且针对云的安全威胁成为IT决策者不得不面对的新挑战。企业如何在云端获取利益的同时，能够最大程度避免云端威胁带来的损失？同时，我们常常会被问起，企业业务面临从数据中心（IDC）向以数据为中心的云环境迁移，怎样才能保证业务的安全高效？

“在传统网络安全领域一直有天下武功唯快不破的说法，但在我看來，快速反应不足以应对针对云的安全威胁，如何从快到先，才是解决这些威胁的关键。” Check Point Research中国区总经理陈欣在谈到2019年云计算安全形势时这样表示。

意识不足提升了安全压力

著名咨询机构Forrester预测：云计算将真正成为企业完成数字化转型的核心基础。在我国，随着5G的商用化推进，物联网、大数据等新兴科技的快速发展，云计算将迎来井喷期。在工信部2017年印发的《云计算发展三年行动计划（2017-2019年）》中提出：到2019年我国云计算产业规模会达到4300亿元，要建立云计算公共服务平台，支持软件企业向云计算加速转型，加大力度培育云计算骨干企业，建立产业生态体系。

Gartner研究指出，全球云安全服务2020年的市场容量将接近90亿美元，到2022年云安全市场预计将从2017年的40亿美元增至110亿美元，年均复合增长率达到24%。在安全市场刚性需求爆发的大背景下，传统安全软硬件厂商、第三方云服务厂商以及CDN服务商，集体涌入云安全市场。

在企业上云过程中，越来越多的CIO发现，从集中式数据中心转向超级分布式应用程序和边缘数据中心，网络与安全的复杂性上升到了一个全新的高度。当企业的大量资产已经数据化之后，如果不能及时解决这些问题，将会造成不可估量的损失。

与此同时，对于云计算的边界认知和责任分工的误解，使得安全并没有引起用户的足够重视。“云计算只是别人的数据中心”，这个概念让很多人感到困惑，因为这可能假设企业放弃安全责任，因为“别人会照顾它”。

Check Point Research发布的《2019年安全报告》指出，仍有30%的IT安全从业者认为云安全应有云服务提供商负责，高达59%的IT人员没有考虑实施移动设备安全策略。这在混合云方兴未艾，各种智能设备普及的今天，无疑对企业的云平台带来了更大的潜在危险。

也就是说，很多企业的数据存放在云端，而没有存放在内部部署数据中心，但这并不意味着可以不用负责其数据的安全性。

2019年有哪些来自云端的威胁？

近1～2年来，全球性的网络安全事件频发，比如芯片代工企业台积电遭遇病毒攻击，带来了5.84亿元的经济损失；华住集团旗下酒店有5亿条信息泄露；而最新的一桩安全事件是，万豪酒店旗下的喜达屋酒店客房预订数据库被黑客入侵，高达约5亿名客人的信息被窃取，万豪也因此遭遇了严重的集体诉讼，索赔金额高达125亿美元。

作为最典型的安全升级事件，近年来全球范围内已经发生多起T级DDoS攻击。2018年2月下旬，知名代码托管网站GitHub遭遇了带宽1.35T的DDoS攻击。11月，网宿科技宣布其云安全平台防御了一起攻击流量高达1.02T的DDoS攻击事件。

依照惯例，云安全联盟（CSA）于今年4月份发布了最新版本的《12大顶级云安全威胁：行业见解报告》。报告的重点聚焦在数据泄密、身份凭证和访问管理不足、系统漏洞、不安全的接口和应用程序编程接口（API）、恶意的内部人员、高级持续性威胁（APT）、拒绝服务（DoS）、共享的技术漏洞等12个涉及云计算的共享和按需特性方面的威胁。

云计算安全联盟专家表示，数据泄露可能是有针对性攻击的主要目标，也可能是人为错误、应用程序漏洞或安全措施不佳所导致的后果。这可能涉及任何非公开发布的信息，其中包括个人健康信息、财务信息、个人身份信息（PII）、商业机密以及知识产权等。由于不同的原因，组织基于云端的数据可能会对不同的组织具有更大的价值。数据泄露的风险并不是云计算所独有的，但它始终是云计算用户需要首要考虑的因素。

另一份来自360威胁情报中心的报告显示，2018年全球99个专业机构（含媒体）发布了各类APT研究报告共478份，涉及相关威胁来源109个，其中APT组织53个，各项数据相较于2017年都有大幅度增加，APT活动日益猖獗。

物联网安全也将是重点。据Gartner称，全球联网设备数量到2020年将由2017年的84亿部增至204亿部，涵盖了家居设备、安防、智能汽车、医疗设备等各个场景，势必催生出更多样化、更复杂的安全需求。这意味着安全态势发生了转变，仅靠传统的集中式、本地化的防护远远不够，如防火墙、杀毒、WAF、漏洞评估等以防御为主的安全软硬件方案，已经难以适应物联网、云计算架构下的安全需求了。

云安全这个市场到底有多大容量？Gartner研究指出，全球云安全服务2020年的市场容量将接近90亿美元，到2022年云安全市场预计将从2017年的40亿美元增至110亿美元，年均复合增长率达到24%。在安全市场刚性需求爆发的大背景下，传统安全软硬件厂商、第三方云服务厂商以及CDN服务商，集体涌入云安全市场。

主动安全，抓住先机

在《网络安全法 》和云等保2.0等文件法规正式落地实施以来，云安全的问题开始受到外界的重视，解决它们只是时间问题。正如 Check Point Research中国区总经理陈欣指出的那样，云的普及使我们必须以更加前瞻的视角审视企业的安全策略，比如主动安全。

所谓主动安全，我们并不陌生。美国系统网络安全协会（SANS）曾提出网络安全滑动标尺模型，将企业信息安全能力分为五个阶段，分别是架构建设、被动防御、积极防御、威胁情报以及进攻反制。对于政企机构来说，企业安全防护体系五阶段论更符合现实情况，分别为初期防护阶段、被动防护阶段、合规防护阶段、主动安全阶段、智能安全阶段。与被动应对、无法协同、缺乏监控的被动防护，以及等保合规驱动的合规防护不同，主动安全阶段可以实现提前预警、自动运维、全面防护、主动防护。

作为国内知名的安全企业，北京奇安信集团（原360企业安全集团）总裁吴云坤曾表示，在数字化转型的浪潮中，高级和未知威胁不断挑战着企业的信息化安全防护能力。360具备准确有效的威胁情报能够帮助企业实现对各类威胁的实时检测、主动防御、提前预警、快速响应，实现从被动防御体系向积极（主动）防御体系的转变。

无独有偶。紫光集团旗下新华三也已经正式发布主动安全战略，充分利用其海量大数据优势、丰富的产品与方案优势，大数据分析能力、深度学习与人工智能技术，云网端协同联动能力，以及丰富的行业生态优势，帮助客户实现从被动防护向主动安全的转变。新华三集团副总裁、新华三信息安全技术有限公司总裁张力表示，新华三已经构筑完备的主动安全产品体系。

调查报告显示，目前企业最为关注的安全问题是如何做到事态可发现、趋势可预测、风险可感应、知行可管控。调查还发现，95%的企业认为安全威胁会不断增加。在大数据和云化的基础上，有73%的企业CIO认为，企业的安全预算会增加20%以上。