“云安全”前瞻性技术解析

　　近年来，极客的“盛宴”—“云靶场挑战赛”和“云安全开放赛” 等相关赛事开展的可谓如火如荼。基于全栈真实的云环境靶场，让技术高超的选手们不仅身临其境地体验到了云上攻防，更是让“云安全”的技术沉淀下来并引起业界关注。

　　“赛事最直接的效应就是通过溯本求源的一线攻防实践，为进一步打造‘安全云’积累行业和技术经验，为新基建背景下的云安全提供前瞻性技术框架。”国联易安总经理门嘉平博士表示。

　　“云原生”获青睐

　　IDC发布的《2020年中国云计算市场十大预测》指出：2022年，60%的中国500强企业将投资于云原生应用和平台的自动化、编排和开发生命周期管理。

　　将云原生定格为云计算的第二次革命，似乎一点都不为过。近两年，云原生爆热。以至于一大批网络安全企业都在“削尖脑袋”通过“云原生”概念来传播自身产品与解决方案，以凸显跟紧了云原生技术浪潮。

　　云原生开发，是指构建云计算提供商原生的软件系统。由此，利用应用程序从云计算提供商获得更多的安全、治理以及数据库服务等。越来越多的组织和专家将云原生视为一种新兴的架构模式。在通常情况下，云原生方法需要使用持续迭代和运维自动化、持续交付、容器、容器编排和微服务等相关技术，在云平台设施上实现弹性伸缩、动态调度、优化资源利用率提高的效果，当然这是云原生的理想结果。

　　云原生计算基金会(CNCF)的解释：“云原生技术使企业能够在公有云、私有云和混合云等现代动态环境中构建和运行可扩展的应用程序。”其实，更好的说法是，云原生应用程序可以部署在多个云计算环境中，其中包括传统平台。

　　“云原生让以安全左移、内嵌、自动化为标志的DevSecOps理念及产品正在逐步落地。作为一名长期从业网络安全领域的人，我希望更多的技术实验室持续打造开放的云上靶场，让更多的安全极客在通过身份验证后，均可以在基于真实云环境的靶场上进行安全攻防演练、安全测试或研究。”国联易安总经理门嘉平博士表示。

　　“零信任”不可或缺

　　艾瑞咨询《2021年中国综合移动办公平台行业研究报告》表示，综合移动办公平台和效率办公类APP月活跃数较2020年1月疫情初期增长289.9%，标志着混合办公时代嘎然而至。但与此同时，开放协同的办公方式也带来了新的挑战，组织安全边界正在逐渐“土崩瓦解”。

　　“永远不要相信任何人和任何事。”是一句我们记忆犹新，经常在侦探电影里听到的熟悉话语，其实这句话也同样适用于云端安全管理。尤其是后疫情时代，随着云计算进一步普及拉升市场容量，保护云端环境下的资产安全需求日益增加。

　　“零信任”重塑了安全边界。根据机构调查资料显示，为了有效应对新业务模式下的网络安全，组织亟需零信任解决应用场景的问题，力求创新零信任解决方案。

　　“零信任”是一种安全模型。可以概括为“从不信任，始终验证”。换句话说，无论是从网络内部还是外部尝试连接到系统或数据，未经验证都不会授予访问权限。

　　零信任在各种类型的技术应用中都有所体现。譬如在远程访问领域，零信任访问技术得到了推广，成为了虚拟专用网络更为安全的模式。与此同时，在处理系统管理员、C级管理人员和开发人员访问权限的特权访问管理平台中，要求强制执行所谓的“最低特权”概念即是“零信任”。

　　基于云实现的零信任方案具备诸多益处。云能够提供加速、弹性扩容、自动容灾等特性，优化了硬件虚拟专用网络性能瓶颈的问题；而零信任能实现应用隐身，将暴露面极大缩小趋于零，相比虚拟专用网络方案又增强了安全性。

　　“基于云原生架构的优势，建议分批次将应用接入零信任访问架构，首批选取业务影响面较小，且日常使用频率相对较高的应用，以此检验已有信息化架构与零信任的适配性及契合度。”国联易安总经理门嘉平博士表示。

　　“数据治理”不容小觑

　　数据治理是指组织为实现数据资产价值最大化所开展的一系列持续工作过程，目标是明确数据相关方的责权、协调数据相关方达成数据利益的一致以及促进数据相关方采取联合数据行动。具体来看，数据治理包括：数据质量管理、元数据管理、数据标准管理、主数据管理、数据架构管理和数据安全管理，同时还包括数据管理相关的组织与制度。

　　亿欧智库预测，2021年中国云安全、数据安全市场规模分别为113.1亿元、68.4亿元，2021-2023年各细分领域年均复合增速均超过30.0%，2021年-2023年复合增长率达19.3%。

　　基于IDC数据，结合对行业专家的访谈调研，爱分析预计到2023年，中国的数据治理市场规模将达到200亿元人民币。当前数据治理市场企业众多，但呈现能力与服务同质化、单一、市场供应分散的市场局面。

　　与之同时，随着互联网与大数据的逐步发展，大数据的安全问题逐渐暴露，针对大数据的勒索攻击和数据泄露问题日趋严重。由此，也催生了大数据相关的安全技术、解决方案。国内许多网络安全企业致力于为政企客户打造一体化的数据安全防护体系，在实现组织机构数据价值的同时，保障数据资产安全。

　　“大数据安全是指搭建大数据平台所需的产品与解决方案以及专业服务，大数据场景下的大数据全生命周期管理尤为重要。作为网络安全架构的研究者，我建议要推进以网络为中心的安全体系（NCS ）逐渐进化为以数据为中心的安全体系（DCS），以更好地保障数据全生命周期的安全。”国联易安总经理门嘉平博士表示。

　　结束语

　　业界普遍认为“组织整体上云”的趋势不可逆转。究其原因，网络安全产业增长的主要动力在于：伴随数字技术的快速革新，网络安全风险已经从虚拟空间辗转到现实世界。因此，传统的网络安全概念已经不能涵盖整个安全产业市场，应该准确定义为“数字安全”，网络安全产业也将从传统的存量市场进入新的“数字安全”增量市场。

　　2022年是“数字安全”元年。云安全、数据安全、人工智能安全等新安全领域，以及工业互联网、车联网、智慧城市等数字化应用场景，都会催生大量“数字安全”需求，为网络安全产业打开非常庞大的增量空间。

　　“随着数字化时代到来，组织面临数字化转型。其中一个非常关键的转型，就是‘上云’。所谓上云是指组织以互联网为基础进行信息化基础设施、管理、业务等方面的开发应用，并通过互联网与云计算连接资源、共享服务及扩展能力的过程。”国联易安总经理门嘉平博士表示。

　　门嘉平 国联易安总经理，清华大学电子信息专业博士、北京交通大学信息安全专业博士。第一作者发表中英论文10余篇，参与国家标准起草与修订工作3项；承担国家级重大专项、重大工程课题研发成果8项；获得发明专利、著作权近300项。多个国家部级单位特聘信息安全专家、多个国家部级执法单位特聘信息安全专家，清华大学计算机系网络安全智能研究中心副主任、清华大学无锡应用技术研究院数字技术产业研究中心主任。民建中央信息和网络创新专委会委员、民建中央企业家精神专委会委员，中关村软联安全专业委会主任，中关村软件和信息服务产业创新联盟副理事长，中国计算机学会安全专业委员，海南国际仲裁院互联网服务中心专家顾问。