RSA2016:啟明星辰為你解讀云安全發(fā)展趨勢(shì)

　　隨著云應(yīng)用的普及，云安全不再是空泛的概念和技術(shù)設(shè)想，已有眾多廠商針對(duì)云的安全脆弱點(diǎn)開(kāi)發(fā)出相應(yīng)的產(chǎn)品并投入市場(chǎng)。產(chǎn)品往往是技術(shù)成熟度的最佳體現(xiàn)，下面啟明星辰就圍繞2016年RSA大會(huì)上的云安全產(chǎn)品，為你解讀云安全的發(fā)展趨勢(shì)。

　　趨勢(shì)一：云訪問(wèn)安全代理(CASB)成為熱點(diǎn)

　　為了節(jié)約成本、提高效率，企業(yè)傾向于在業(yè)務(wù)中使用基于云的應(yīng)用服務(wù)，例如Salesforce、Office365、Box等SaaS服務(wù)。但是，如何保證云應(yīng)用在使用過(guò)程中的安全性、合規(guī)性成為企業(yè)IT部門(mén)需要解決的問(wèn)題，而CASB就是解決方案之一。根據(jù)Gartner的定義，CASB是一種本地或基于云的安全策略執(zhí)行點(diǎn)，位于云服務(wù)消費(fèi)者和云服務(wù)提供商之間，在云中資源被訪問(wèn)時(shí)，組合并執(zhí)行企業(yè)的安全策略。在本次大會(huì)云安上參展的云安全產(chǎn)品中，CASB產(chǎn)品數(shù)量占比最大，參展的大小安全廠商有十幾家，例如Bitglass、Bluecoat、Skyhigh等等。盡管各家在產(chǎn)品形態(tài)、部署模式、分析方法上各有不同，但產(chǎn)品的主要功能是在用戶和云應(yīng)用服務(wù)之間提供單點(diǎn)登錄、訪問(wèn)控制、行為監(jiān)控、數(shù)據(jù)防護(hù)、安全合規(guī)等。CASB廠商數(shù)量的增多與國(guó)外云應(yīng)用市場(chǎng)規(guī)模的擴(kuò)大密不可分，隨著國(guó)內(nèi)云應(yīng)用市場(chǎng)的發(fā)展，CASB是值得國(guó)內(nèi)安全企業(yè)關(guān)注的云安全技術(shù)發(fā)展趨勢(shì)之一。

　　圖1 CASB廠商bitglass展臺(tái)

　　趨勢(shì)二：充分利用云的北向接口，加強(qiáng)產(chǎn)品自動(dòng)化

　　云平臺(tái)的API為應(yīng)用開(kāi)發(fā)提供了豐富接口。本次參展的眾多云安全產(chǎn)品，包括CASB類(lèi)、安全管理類(lèi)、安全編排類(lèi)等等都用到云平臺(tái)的API。例如CASB廠商Clocklock利用云平臺(tái)的API監(jiān)控用戶對(duì)云應(yīng)用的使用信息;安全管理類(lèi)廠商AlgoSec利用云平臺(tái)的API獲取云平臺(tái)安全配置信息并進(jìn)行策略推送;特別是Cryptzone的Appgate XDP，該產(chǎn)品是一種云接入VPN，除了在部署方式上創(chuàng)新地采用分布式部署之外，該產(chǎn)品的一大特色就是通過(guò)調(diào)用云平臺(tái)的API，能夠自動(dòng)識(shí)別云中服務(wù)的變化，從而自動(dòng)調(diào)整相應(yīng)的VPN策略?？梢?jiàn)，云平臺(tái)提供的API是獲取安全信息、推送安全策略的便捷渠道，安全產(chǎn)品開(kāi)發(fā)要充分挖掘、利用這一資源，將云平臺(tái)功能與安全功能整合，加強(qiáng)產(chǎn)品的自動(dòng)化。

　　圖2 Cryptzone Appgate XDP產(chǎn)品架構(gòu)

　　趨勢(shì)三：云安全管理更加注重可視化和聯(lián)動(dòng)

　　對(duì)于傳統(tǒng)數(shù)據(jù)中心而言，可視化、聯(lián)動(dòng)一直是安全管理類(lèi)產(chǎn)品的關(guān)鍵屬性。而隨著云數(shù)據(jù)中心時(shí)代的到來(lái)，其規(guī)模要遠(yuǎn)遠(yuǎn)大于傳統(tǒng)數(shù)據(jù)中心，因此也對(duì)安全管理的可視化、聯(lián)動(dòng)提出了更高的挑戰(zhàn)。本次參展的安全管理類(lèi)產(chǎn)品中，有特點(diǎn)的可視化展示來(lái)自于基于AWS進(jìn)行安全管理的廠商Demo9。大多數(shù)云平臺(tái)的安全組策略均以表格形式展示，并不直觀，而Demo9通過(guò)收集AWS上的安全組策略信息，進(jìn)行分析整理后，將租戶的安全信息從安全域的角度用圖形加以展示，便于管理員理解并進(jìn)行后續(xù)操作。而聯(lián)動(dòng)方面表現(xiàn)突出的是AlgoSec公司產(chǎn)品，其能夠?qū)Ρ镜胤阑饓驮浦邪踩M進(jìn)行統(tǒng)一的策略管理。以業(yè)務(wù)互聯(lián)為需求，在網(wǎng)絡(luò)發(fā)生變化時(shí)，協(xié)助用戶對(duì)本地的、云中安全策略進(jìn)行自動(dòng)化調(diào)整。該產(chǎn)品支持的云平臺(tái)有AWS、Microsoft Azure、vCloud，能夠聯(lián)動(dòng)的網(wǎng)絡(luò)安全廠商有CheckPoint、Paloalto、F5、Fortinet、WatchGuard、Hillstone、Juniper等等。大規(guī)模的云數(shù)據(jù)中心需要云安全管理產(chǎn)品更加注重安全狀態(tài)的細(xì)粒度的、可視化的呈現(xiàn)以及策略快速部署能力，進(jìn)而對(duì)不同安全廠商產(chǎn)品之間的聯(lián)動(dòng)提出更高需求。

　　圖3 AlgoSec產(chǎn)品架構(gòu)

　　趨勢(shì)四：各種安全功能云服務(wù)化

　　基于云的安全服務(wù)是基于構(gòu)建在云端而非用戶本地的安全防護(hù)設(shè)施，以服務(wù)的方式對(duì)用戶進(jìn)行防護(hù)的技術(shù)。之前常見(jiàn)的基于云的安全服務(wù)通常是惡意代碼檢查和DDoS服務(wù)，在本次大會(huì)上，在此之外又出現(xiàn)了更多基于云的安全服務(wù)產(chǎn)品，大多數(shù)CASB產(chǎn)品都采用云服務(wù)的模式，例如今年10大創(chuàng)新沙盒之一的Menlo Security基于云的終端安全，Trusted Knight基于云的WAF，以及ServiceNow基于云的SoC等等，這種產(chǎn)品的特點(diǎn)是安全功能部署與企業(yè)網(wǎng)絡(luò)松耦合。隨著云計(jì)算技術(shù)的不斷成熟，采用云的方式實(shí)現(xiàn)各種安全功能并提供服務(wù)，能夠?yàn)槠髽I(yè)節(jié)約成本、增強(qiáng)管理的靈活性，必將成為云安全部署的發(fā)展趨勢(shì)之一。這種方式不但適合公有云，也適應(yīng)大型機(jī)構(gòu)的私有云。

　　圖4 云SoC服務(wù)廠商ServicceNow展臺(tái)

　　從本次大會(huì)的云安全產(chǎn)品來(lái)看，云安全防護(hù)與傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)在功能、技術(shù)上來(lái)講是一脈相承的。但是由于云計(jì)算的虛擬化、數(shù)據(jù)遠(yuǎn)程化、大規(guī)模等特點(diǎn)，使得云安全在訪問(wèn)控制、部署方式、可視化展示、自動(dòng)化推送等等方面與傳統(tǒng)網(wǎng)絡(luò)安全有所不同，也呈現(xiàn)出其獨(dú)特的發(fā)展趨勢(shì)。