當下,云市場(chǎng)發(fā)展勢頭越來(lái)越猛,許多企業(yè)對上云辦公持有兩種態(tài)度。一是便于企業(yè)管理,節省辦公成本;二是上云辦公是否存在安全威脅。
李旭陽(yáng),現任杭州云屏科技有限公司創(chuàng )始人兼CEO,早期在美國一直專(zhuān)研網(wǎng)絡(luò )安全領(lǐng)域新技術(shù)。以下為他在“第五屆中國網(wǎng)絡(luò )安全大會(huì )”針對企業(yè)上云后面臨的安全新挑戰演講。
大家好!我是云屏科技的李旭陽(yáng),今天跟大家分享的主題是:云服務(wù)給企業(yè)帶來(lái)的安全新挑戰。
一、SaaS全球普及 服務(wù)模式向云遷移
隨著(zhù)SaaS在全球的快速普及,以軟件為基礎的服務(wù)模式正向云上遷移。2016年初,SaaS開(kāi)始發(fā)展,我們相信國內的SaaS發(fā)展勢頭會(huì )越來(lái)越好。
2007年之后,全球基本上沒(méi)有一家純粹軟件公司的創(chuàng )投。大部分新項目的啟動(dòng)都是跟云有關(guān),包括美國政府、微軟等。大部分歐美企業(yè)都已經(jīng)開(kāi)始考慮“云優(yōu)先”的策略。
二、安全成為阻撓SaaS發(fā)展的關(guān)鍵原因
目前,中國的SaaS處于初級發(fā)展階段,網(wǎng)絡(luò )安全行業(yè)面臨哪些新的挑戰?
傳統的軟件都是部署在企業(yè)內網(wǎng),內網(wǎng)是由防火墻保護。由于防火墻技術(shù)發(fā)展十分成熟,企業(yè)內網(wǎng)是相對安全的。當然,排除掉最近發(fā)生的勒索病毒。總體來(lái)說(shuō),防火墻起到了比較好的保護作用。
早期,企業(yè)原來(lái)的服務(wù)是在內網(wǎng)。現在,越來(lái)越多的企業(yè)是在云上。企業(yè)員工可以在任何地方使用這些服務(wù)。員工在內網(wǎng)辦公,由防火墻的保護機制下相對比較安全;但當企業(yè)辦公遷移到了云端之后,企業(yè)數據完全失去了安全防護。我經(jīng)常說(shuō),企業(yè)服務(wù)從內網(wǎng)到了云上,安全沒(méi)有完全跟上。
美國某著(zhù)名分析師的調查解釋道:“企業(yè)未采用SaaS的首要原因是安全。”McAfee2016年底的調查顯示,49%的回復者因缺少安全技能而延緩了云部署,安全成為阻撓SaaS發(fā)展的關(guān)鍵原因。
三、企業(yè)上云后面臨的安全新挑戰
企業(yè)服務(wù)由內網(wǎng)遷移到外網(wǎng)以后,是不是要有一個(gè)類(lèi)似于防火墻的保護機制?SaaS的云防火墻,應該采取哪些保護措施才能實(shí)現SaaS上的數據與內網(wǎng)數據獲得一樣的安全保障呢?
企業(yè)服務(wù)從內網(wǎng)遷移到外網(wǎng),數據遷移到云上,它存在的安全隱患跟原來(lái)的內網(wǎng)有哪些不同點(diǎn)和共同點(diǎn)?所有的威脅無(wú)非來(lái)自于外部和內部。
外部攻擊。第一,黑客無(wú)處不在,瞄準的是各種網(wǎng)絡(luò )。到了云上,黑客的攻擊只會(huì )更頻繁、更明顯,因為你的服務(wù)都暴露在所有人的面前,黑客就更容易找到攻擊目標;第二,原來(lái)的數據,自己買(mǎi)了服務(wù)器,買(mǎi)了各種各樣的安全軟件,在內網(wǎng)里使用,沒(méi)有第三方獲取你的數據。現在數據上云了,你的數據托管在平臺上,第三方平臺會(huì )不會(huì )泄露你的數據?這是一個(gè)關(guān)鍵問(wèn)題。
內部攻擊。企業(yè)服務(wù)都在內網(wǎng)的時(shí)候,是在封閉的網(wǎng)絡(luò )運轉。現在使用了SaaS,企業(yè)的IT人員已經(jīng)不知道各個(gè)部門(mén)都采購了什么。以前,各個(gè)部門(mén)要安裝軟件,至少要IT人員幫你安裝,需要遵守入網(wǎng)的規則。現在各個(gè)部門(mén)都可以購買(mǎi)自己使用的軟件,自行安裝,并沒(méi)有經(jīng)過(guò)IT部門(mén)。各種各樣的SaaS使用已經(jīng)失去了控制。例如,我用我的手機到云盤(pán)上下載文件,存到手機,又通過(guò)微信傳給另外一個(gè)人,企業(yè)根本沒(méi)辦法阻斷。很多的服務(wù)和數據遷移到云上,數據流已經(jīng)失去了防火墻保護的控制。此外,還有設備丟失的情況。在企業(yè)內網(wǎng)的情況下,比較容易發(fā)現設備被盜的情況。
四、云屏利用自主中美專(zhuān)利安全技術(shù)解決上云安全問(wèn)題
基于這樣一些新的內外威脅,云服務(wù)的防火墻應該具備哪些保護功能?外部的黑客入侵、平臺違規、人員違法,內部的惡意合法訪(fǎng)問(wèn)、疏忽賬號濫用、意外遺失設備、哪些數據可以上云、哪些數據不能上云?這些都是企業(yè)所面臨的新挑戰。
對于這些安全隱患,應該采取哪些保護措施?
對于外來(lái)的黑客入侵,需要系統的防護措施。原來(lái)只是保護企業(yè)的一個(gè)內網(wǎng),現在要保護這么多的SaaS,系統安全保護的復雜程度會(huì )提高。針對平臺違規和人員違法,應該采取各種各樣的加密措施,你要提供SaaS服務(wù),但不能讓第三方泄露企業(yè)數據。對于內部來(lái)說(shuō),應該進(jìn)行各種各樣的行為分析。什么人、什么時(shí)間、什么網(wǎng)絡(luò )環(huán)境、什么樣的設備、使用什么樣的應用、有沒(méi)有異常行為。對于終端的保護,一個(gè)員工離職了,現在很多企業(yè)允許員工使用自己的電腦,也允許員工手機連接企業(yè)內網(wǎng)。員工離開(kāi)公司的時(shí)候,怎么樣保證他已經(jīng)清除掉公司的數據。這也是云屏科技為什么要做這些事情的原因。
基于我們自主創(chuàng )新已準備申請中美專(zhuān)利的技術(shù),可以保證用戶(hù)數據的生命周期。數據流到哪里,我們一清二楚,員工的設備里還有沒(méi)有企業(yè)的數據,可以讓企業(yè)管理人員一目了然,而且可以一鍵清除、一鍵加密。
很多中國的SaaS都是放在阿里云和騰訊云上。阿里云的云盾能做什么、不能做什么。整個(gè)云的架構,從底層的云平臺,到中間和上層的SaaS、PaaS這些具體給用戶(hù)提供服務(wù)的服務(wù)提供商,再加上用戶(hù)的設備和數據,云盾在哪里?云盾做的事情是保證阿里云平臺運營(yíng)的正常性,防止黑客攻破云平臺,防止DDos破壞SaaS的運行機制。就像一個(gè)社區,它要保證社區外圍的安全。進(jìn)入小區以后,每一個(gè)不同的應用,怎么樣保證每一戶(hù)人家的安全呢?
云屏要做的是在云盾的底層保護的基礎上,我們加了真正給企業(yè)用戶(hù)解除SaaS使用擔憂(yōu)的安全防護。云盾是在底層系統層保證平臺的穩定性。云屏要做的是保證企業(yè)數據在第三方平臺上使用的安全性、穩定性,以及不被泄露。
對于一些沒(méi)有系統保護的云平臺,可以使用云屏的系統保護。我們提供了世界頂級的防護措施。除此之外,更重要的是數據的加密。你的數據放在第三方平臺上,怎么樣解除你的擔憂(yōu)。因為結構化和非結構化數據加密技術(shù),可以保證繼續享受SaaS的便利,又不讓SaaS提供方看到任何關(guān)鍵數據;行為分析,當這么多的員工使用各種各樣的SaaS,怎么保證企業(yè)有一個(gè)統一的界面去進(jìn)行監控、管理和跟蹤。我們采用了態(tài)勢感知和大數據分析方法,可以查知各種各樣的異常行為。終端管理是整個(gè)系統中的一部分,可以幫助企業(yè)監控到每一個(gè)員工在使用什么樣的SaaS。防數據泄露,可以監控數據的生命周期,這個(gè)數據到哪里去了、可以讓對方保留多長(cháng)時(shí)間、是否可以轉發(fā)、是否可以打印。
我在美國工作了二十多年,2000年開(kāi)始在硅谷創(chuàng )業(yè)。2011年,我開(kāi)始創(chuàng )業(yè),做了移動(dòng)安全公司,百度手機衛士就是我的產(chǎn)品,2013年初被百度收購。2013年初加入百度,任百度的全球安全顧問(wèn)。2015年5月份離開(kāi)百度,開(kāi)始啟動(dòng)新的云屏項目。我們的目標是用硅谷的技術(shù)和理念,在中國創(chuàng )造出世界一流的網(wǎng)絡(luò )安全公司。
