推特惊爆史诗级漏洞，App 恶意窃取用户隐私，云端安全路向何方？

作者 | 马超

来源 | CSDN（ID：CSDNnews）

近日，全球安全事件频发，先是推特惊爆史诗级漏洞，黑客对推特进行比特币钓鱼骗局，获取了对包括美国前总统奥巴马、钢铁侠埃隆·马斯克、和世界首富比尔·盖茨推特账户的访问权限。

在7月16日的315晚会上，曝光了55款App盗窃用户个人隐私的问题。这些问题仅是近几年信息安全领域的一个缩影。

根据卡巴斯基《2020年第一季度的DDoS攻击报告》的数据显示，2020年第一季度与2019年第一季度相比，DDoS攻击次数增加了80％。特别是教育和行政Web资源，由于疫情原因，与2019年相比增加了两倍的攻击数量。DDoS攻击会对企业系统和应用造成不可用性的严重性后果。

云端安全引起广泛关注。前不久，Gartner发布了《Solution Comparison for the Native Security Capabilities》报告，Gartner首次全面评估了亚马逊、微软、阿里云、谷歌、IBM和Oracle全球六大云厂商安全能力，看点颇多，下面笔者带大家解剖下。

上云要快，更要安全

自2006年“云计算”概念诞生以来，企业上云浪潮席卷全球。由于企业上云后可灵活使用资源，扩展灵活易管理的业务模式，可提高资源配置效率，降低信息化建设成本。业界有说法是“系统上云后，硬件投入成本减少近2/3”。

于此同时，网络安全事件也如幽灵般不断为人们敲响警钟，在Verizon《2020 数据泄露调查报告》中显示，对Web应用程序的攻击占泄露总数的43％，是2019年的两倍多。研究人员表示这是由于企业更多的工作流转移到云服务上，而一旦黑客发现了云服务商的安全漏洞，那么其攻击范围与破坏程度都将较未上云时成倍的扩大。所以用户不仅要上云，更需要选择安全的上云路径，这也对云厂商的安全能力提出更高的要求。

为应对日益高涨的云安全需求，2009年国际云安全联盟（CSA）成立，后来CSA发布的《云安全指南》成为云计算领域最权威的安全指南。目前云安全技术日臻成熟，除了微软、亚马逊等云服务商以外，国外还涌现出一批云安全初创公司，可以说Gartner此次对于全球云厂商的安全能力进行全面评估，其报告的出炉是恰逢其时。

云安全哪家强？

云安全技术愈发重要，不过目前业界并没有相应评估的标准，而本次Gartner报告可谓填补了业内安全评估标准的空白。报告分别从基础设施安全、云治理和合规、网络安全、应用和容器安全、数据安全、日志和预警、应用和工作负载保护七大模块共24项能力维度进行了测评，作为本次评估的前两名微软和阿里，在各项安全技术能力各方面的得分均较为均衡，在七大能力模块中均获得了High的评价；而其他四大厂商的安全能力则相对较为集中，亚马逊集中在云治理与合规能力上，谷歌云集中在应用与容器安全上；IBM集中在应用与容器安全、数据安全两大模块表现优异，其他模块则基本没有拿到High评价；Oracle在本次评估中得分靠后在安全方面的提升点还有很多。

数据加密都很强：值得关注的一点是，在24项细分安全能力上，六家云厂商均在“数据加密”方面均得到了High级别的评分。

笔者认为出现这样的情况，一是因为数据安全是所有企业上云时，都会首要考虑的问题，这也就倒逼云服务商在数据安全方面都做了足够多的努力；

二是数据安全是各云服务商的生命线，确保数据在服务端加密存储，并将数据加密控制权给到用户，是云计算最基本的服务要求，而在数据安全方面齐刷刷的高分，也说明了用户选择云，就能确保自身的“数据加密”水平得到快速的提升。

可信执行环境亮点：除了云厂商已经具备了完备的数据加密能力之外，从报告中看到，企业上云还能享受到的一大好处是基于硬件的数据安全能力。

传统的数据安全产品大多基于软件实现的，阿里云、微软、IBM三家都已经为客户提供了“可信执行环境”，这是一个基于处理器硬件保护的解决方案，通过软、硬件结合的方式防止数据运行时泄露的发生。云厂商具备的计算资源规模优势等先天条件，使得其可以借助加密计算等多种前沿技术来保证用户数据安全，以增强企业上云的安全性。

免费DDoS防护很贴心：笔者在自建了个人博客网站之前，都会时常收到DDoS攻击威胁邮件，DDoS是初创互联网公司最为头疼的攻击手段。在这方面各大云厂商也都非常重视，基本都有从基础防御到高级防御的整套安全防护产品，这里尤其值得一提的是，微软和阿里云均提供了免费的DDoS基本防护服务，充分考虑了对DDoS防护的差异化需求，还是非常贴心的。

云安全势不可挡

据笔者观察，传统安全手段已经渐渐落伍，无法再应对目前的安全环境。这主要是因为传统安全遇到以下三大挑战：

成本高昂、重复造轮子：传统安全方案里，企业需要采购几十甚至上百个安全产品才能初步建立企业安全体系，成本高昂不说，对于安全体系来说，这是一种重复建设的浪费。

传统安全模型是游离在IT体系之外的外挂式安全：企业在使用网络、存储、数据库等IT基础设施时，往往采购自不同的厂商，安全产品有不同的品牌。于是只能在基础设施外部署相关的安全产品，做“外挂式的安全”。如何能让安全产品与产品间，安全产品与基础设施间做更好地联动？这对于传统安全厂商来说，是个较大的挑战。

传统安全产品使用门槛较高：这让安全产品成了“奢侈品”。企业光购买安全产品没有用，必须还得有专门的安全人员来使用才能真正发挥效果，于是线下安全厂商大多采用产品加服务的销售方式进行，由于无法构成相对联动的体系，导致企业需要招聘很多安全专业人员来专门运营，成本增大，导致大多数企业没有足够的专业安全人员来运营。

在企业数字化转型的过程中，IT基础设施和应用逐渐上云，安全也随之往云化发展，由于在云上虚拟化环境，业务的流量更复杂，因此云防护的方式将更多元化、复杂化。云改变企业的底层基础设施架构，传统安全架构不再适用于云上，云安全将重新定义企业的安全架构，从新的架构上将解决传统条件下无法解决的安全问题，云原生与云安全结合将改变企业下一代安全架构。

云原生重新定义安全

根据O'ReillyMedia和Dynatrace的研究表示，预计到2021年，92%的企业将实现云原生，相信云原生安全将是安全领域未来的发展方向。

在企业数字化转型的过程中，其基础设施技术架构将会随之云化，原来企业架构是简单的单点系统架构，而如今均发展为分布式架构，底座是基于云的底层技术。由于企业底层架构技术采用了云原生技术，架设底层架构之上的安全技术架构也将云原生化。

基于云原生安全能力构建的下一代安全架构可以实现云的基础设施与安全能力的打通，解决原来传统安全体系成本高昂的困境，同时云原生与IT基础设施的结合也更为紧密。紧耦合的原生安全，从而做到安全管理、安全风险的持续化监控，用一个控制台实现对所有资产的全方面安全管理。同时，由于云上的全网威胁情报联动，可以做到针对安全风险做全网的自动化响应，由传统的小时级降低到分钟级，大大降低安全事件给企业带来的损失。

如今云安全已逐渐成为行业共识，国内云厂商联动起来，共同打造云安全生态已成为未来行业的发展趋势。伴随新基建政策，全球数字化转型等趋势，5G、人工智能、云计算、大数据等技术的快速发展，各行业对云安全需求的持续增长，相信云安全行业的未来大有可为。