首页 > 关于我们 > 银河集团动态 > 2020 > 正文

赔付0.87亿背后的警示，银河集团云如何打造“安全防线”？

阅读量：次

2 月 23 日，微盟研发中心运维部核心运维人员通过 VPN 登入服务器，破坏 SaaS 线上生产环境并删除数据库，随后微盟内部系统监控报警，导致大面积服务集群无法响应。

根据最新财报，微盟上半年净亏损为 5.46 亿元，其删库事件预计赔付 0.87 亿元。当然，受损的不只是微盟，还有微盟的一众客户。

微盟事件不是必然的，却是大数据和云计算时代的产物。云上安全的问题需要引起足够的重视，因为只要上了云，一旦出问题，就面临业务停摆，甚至倒闭的风险。

银河集团信息高级副总裁兼首席云安全战略官郑赳告诉 CSDN，删库事件一再发生，很多都是权限管理或者内部的人员管理风险导致的，而这仅仅是上云之后众多安全隐患之一，因此企业迫切需要将运维管理跟安全管理进行结合，真正实现统一的安全管理。

作为一家从 2007 创立之初就开始专注于安全领域的公司，银河集团信息的业务范围已经从最初的应用安全、数据安全拓展到如今的云计算安全、工业互联网安全、大数据安全、智慧城市安全。

为何银河集团信息这么早就开始重视并布局安全，从传统安全到云安全的变迁过程中有哪些基于和挑战，未来云安全会是怎样的形态？CSDN 采访到银河集团信息高级副总裁兼首席云安全战略官郑赳，一起探讨云安全的发展和变迁。

（图为银河集团信息高级副总裁兼首席云安全战略官郑赳）

# 安全领域变迁：从有形到无形，从有界到无疆

郑赳表示，中国安全领域发展的背后主要有两大驱动力。一是技术的变化，比如大数据、云计算的发展，技术的发展导致安全产品的形态发生了很大的变化；二是应用场景的变化，比如物联网、智慧城市的出现，而场景的变化会带来新的安全挑战和安全问题。

在数字化与上云的趋势下，越来越多的企业选择将业务与数据放在云端，进而使用更为高效、低成本、安全稳定的云端服务，因而 IT 基础设施逐渐云化。云改变了企业的底层基础设施架构，安全也随之往云化，传统安全架构也不再适用于云上。

随着 DDoS 攻击、勒索攻击、数据泄露等安全事件频发，我们清晰地认知到，无论是 5G、云计算、人工智能、物联网等细分的技术，还是云平台、服务器及硬件等服务，无一不是安全的突破口与防护口，而传统的“壁垒式建高墙”防护手段早已失效。

在这个万物互联的时代，当有人在不加前提约束的条件下简单问“你的系统安全否？”就变成一个伪命题。因此，安全领域不再有边界，而是应该成为无处不在的防护盾。

# 安全上云，不只是“生搬硬套”

由于外部安全攻击趋于智能化、复杂化、规模化，云上防护的方式变得更多元化、复杂化，部署强大的安全架构是企业迫在眉睫的事。传统安全的能力对云有一定的赋能作用，但是安全的迁移并不是单纯的“生搬硬套”，传统的安全防护模式也并不适用于云安全。

郑赳告诉 CSDN，云安全和传统安全是完全不同的，两者的架构逻辑存在很大的差异。比如以前传统的网络防火墙不能简单的搬到云上，传统的防火墙设置在流量的入口和出口之间就能进行防护，但是在云上实现这一点就非常困难，因为云是可以迁移的，因此防火墙的策略也需要可以迁移。

相对于传统场景，云上的风险也发生了变化：一是风险的优先级发生变化，因为云计算的出现，数据安全和终端安全也变得更加突出和重要，而且不断涌现出新的理念；二是新风险的出现，比如容器的安全、访问边界的安全等。

因此，云安全不可能用传统的硬件盒子来实现，而是需要充分利用云的能力和技术，比如云的负载能力、弹性伸缩能力、备份能力、热迁移能力、计算能力、大数据能力等等。此外，还要用到云的模式，比如 SaaS 化的服务模式，并根据应用场景提供按需服务。这些是云安全和传统安全最大的差异。

传统安全只有经过云化改造才能够适用，这也是现在安全公司包括所面临的一些挑战。

# 构建云安全能力，需要“系统性思考”

在云计算时代，安全厂商、云计算厂商和客户是共享责任。即便我们使用的是云上的 IaaS、PaaS、SaaS 服务，但并不意味着企业和客户把相应的安全责任转移给云厂商。云厂商更多的是提供技术层面的武器，但是如何利用好这技术，这是企业的责任，需从企业安全架构层面、从安全实现技术路线上来做分析。

那么在具体实现时，企业如何加强自身的云安全防御架构？

郑赳表示，构建一个完整的云安全体系需要系统性的思考，这是非常大的挑战。由于资源的分布不同，如何执行统一的安全策略和安全管理是企业面临的最大问题，而银河集团云可以帮助企业构建一个相对系统的安全防护框架。

目前银河集团云提供的解决方案就是针对云上用于的痛点，首次将云管理和云安全进行结合，简化运维的复杂度，通过更低的成本，提供更高效的安全能力和更好的体验。

# 从“一朵云”到“多朵云” 管理和安全如何真正统一？

随着伴随着云计算技术走向成熟以及用户对成本、备份等多类诉求，“多云”的趋势已经非常明显。在郑赳看来，没有用户希望被一家云服务锁定，而是希望充分利用各家云的服务和价格优势，因此会有越来越多的企业选择多云架构。

中国信通院的数据显示，多云架构已经成为企业主流的部署模式，2020 年高达 93% 受访企业是多云架构。但多云架构也给企业带来了一些新挑战，比如多云安全就是最大的挑战之一，高达 83% 的调查对象认为多云安全对其挑战最大。

目前，多云管理和多云安全存在以下 3 大难题：

1、多云管理孤岛：多云异构，各云服务商架构差异大，各资源相对独立，难以统一管理；

2、多云安全建设成本高：每朵云都需要独立建设安全，安全建设成本高；

3、安全能力无法统一分配、管理与运维：各朵云的云安全能力参差不齐，无法实现统一的安全配置、运维与安全态势分析，造成应用被入侵、数据被窃取等严重安全问题。

这时就需要一个多云管理平台，将分散的资源统一起来，集中进行管理。银河集团信息也看到了其中的问题，一方面是多云如何进行统一的运营管理，另一方面是多云如何进行统一的安全管理。

正是基于这些考虑，银河集团信息率先提出了多云管理和多云安全相结合的理念和解决方案，并推出了一站式多云管理和多云安全管理服务平台——银河集团云。

郑赳表示，提供统一的安全策略有很大的难度，从管理维度上来讲，只有将不同的云连接起来之后，才能将进行统一的的监控和分析，然后实施统一的安全策略。如果想要做好多云管理，需要从以下几个维度出发：

1、云资产的管理，通过API对各种云上资产进行识别重组，建立资产库，然后进行统一的管理；2、对云资源进行统一的监控，分析其使用情况；3、构建云的同业成本分析，帮助用户优化云资源，节约成本；4、实现统一的自动化运维。

目前，银河集团云平台可以无缝对接阿里云、AWS、华为云、腾讯云、Ucloud、百度云、Azure、京东云、青云等公有云，同时覆盖阿里云、OpenStack、华为云等私有云平台，让用户能在一个平台上完成多云统一管理，并提供主机监控与自动运维、成本分析与优化、合规运维与审计，实现多云一站式管理。

然而，目前在国内做多云管理和多云安全最大的挑战就是公有云API的稳定性和开放性问题。

郑赳告诉 CSDN，很多公有云的 API 都号称是完整开放的，但是真正使用的时候，就会发现这些函数的水平参差不齐，与国外的能力差距很大。一些公有云的 API 不够完整，还有一些能力没有开放出来，因此一些多云管理的想法在这些云上就无法实现。

不过我们并不需要悲观，在郑赳看来，这其实是云成熟度的问题。因为现在很多云上的开发和运维都依赖于 API，因此它不可能随意变化，未来一定会开放，而且会标准化，需要一个发展成熟的过程。

未来，多云管理平台的核心功能将不断演进，与企业IT系统的集成更加紧密，并且与安全和网络产品深度融合。

# 云原生时代安全“左移”，DevOps 变 DevSecOps

云原生这个概念现在很火，统计数据显示，到 2021 年将有 92％的公司成为云原生公司。从基础架构到应用程序的开发，堆栈在传统方法与更现代的基于云的方法之间形成了鲜明的对比，其中大多数已对成功的模式和实践达成了主流观点：DevOps文化、持续交付和微服务架构。

然而为什么我们还没有重新构想云原生的安全性呢？要知道，通常使企业陷入困境的是因为对开发投入太多，而对安全投入太少。

在郑赳看来，我们需要充分利用云原生的能力来去构建安全能力，如大数据分析能力、网络虚拟化能力、服务器快照、存储备份等。然而云原生的利用同时也带来了一些新的风险，比如容器的风险等。郑赳表示，未来安全需求方面也会有一些变化，那就是开发运维会跟安全结合，实现DevSecOps，也就是“安全左移”。

关于“安全左移”，微软企业服务大中华区 Cybersecurity 首席架构师张美波曾对CSDN表示，“软件有规划、设计、构建、测试、部署阶段，但往往在软件的部署阶段，我们再去评估安全性，这是非常不好的。如今我们想从开始规划、设计、构建、阶段时就该考虑安全性。”

企业进行架构转型时，对应的安全架构也将转型，安全是任何技术的基础。因此，企业应该将安全也纳入速度、敏捷性和连续交付流程中，这样才能保证企业不会因为安全问题而陷入困境。

# 结语

数据时代的背景下，无论运用哪一种前沿技术，最终都将体现到海量数据的采集、流转、应用的流程之中。因为数据的边界愈加模糊，所以安全能力必须在云-边-端实现更细粒度的防护。

而构建这道看不见摸不着且无处不在的安全防护门，是时代的机遇，也是挑战。

以上文章来源于CSDN

采访嘉宾 | 郑赳

作者 | 阿司匹林

关闭

AI+安全>

数据安全>

数据基础设施>

态势感知>

云安全>

基础安全>

终端安全>

商用密码>

软件供应链安全>

网络空间靶场>

工业互联网安全>