疫情长期动态清零,背后的安全共识是“零信任” 原创

过去一年多,“新冠”疫情防控有一个词出现频率很高,“动态清零”。从全球范围来看,“动态清零”这个结果,是目前疫情防控的最好结果。

 

过去一年多,“新冠”疫情防控有一个词出现频率很高,“动态清零”。从全球范围来看,“动态清零”这个结果,是目前疫情防控的最好结果。

 

《世界卫生组织》资料显示,COVID-19 传染源有两种,一个是有症状的COVID-19病人; 一个是感染SARS-CoV-2病毒的无症状者。其传播方式包括接触传播、飞沫传播以及空气传播三种。二期主要的威胁对象是大于50岁的人,其数据显示确诊病例里大于50岁的人占了约50%,死亡病人数里大于50岁的人占了 93.7%。

 

物理世界的“病毒”和数字世界的“病毒”从传染源、传播方式到感染威胁有着惊人的相似性。

 

实际上,数字病毒的传染源也有两种,一个是攻击者发起攻击的主机;一个是感染了病毒的业务宿主机。其传播方式包括了钓鱼邮件、木马以及恶意进程等。其威胁的系统也是“年老体衰者”,包括了未做安全加固的系统、老旧操作系统的主机(缺安全补丁)以及弱口令主机等。

 

在物理世界里,人们是通过持续核酸检测、发放健康码/行程码的运营来构建立体化的防控体系。以最近的广州防控为例,广州市在6月4日-6日三天,累计核酸采样1869.67万人次,对全员进行多轮检测来识别受到感染的无症状感染者;并且要求全员在进入公共场所时出示健康码和行程码,未感染的普通人员一旦经过高风险区域,就会被其标识并被要求进行核酸。不难看出,在基于“零信任“理念开展的一系列防护措施下,广州最终实现了“新冠”的快速动态清零。

 

如果说“零信任”是我国新冠疫情防护成功的关键,那么基于“零信任”架构打造的现代化云上安全系统则成为企业业务健康运营的基石。“未来世界,信任最重要。随着企业的IT系统变得越来越复杂,应用接入的需求会变得越来越大,零信任市场的发展前景广阔。” IDC中国高级研究经理王军民谈到。

疫情长期动态清零,背后的安全共识是“零信任”

 

何为“零信任”?

 

此前,企业 IT 环境的建立主要取决于物理位置。当计算机访问企业 IT 资源的时候,基于防火墙、入侵检测/保护等防护策略,就意味着用户已经满足审查和认证要求了。

 

再后来,随着 VPN 和 WiFi 等新访问方法的出现,包括2FA身份验证令牌和基于端口的网络访问控制等新技术又增加了身份验证和访问凭据,进一步扩大了安全边界。

 

今天,随着云计算、BYOD、物联网、移动互联的出现,让任何人从任何地点、时间利用各种设备来访问IT系统成为趋势。企业对 IT 资源的依赖远远超出了单个可信区域的范围,而这也让IT系统安全的边界扩大了无数倍。

 

因此带来的云上系统安全面临的挑战,也越来越严重。如何打破旧的安全漏洞边界,成为人们的共识,当安全漏洞变得司空见惯时,当黑客攻击肆无忌惮的时候,当安全边界不断侵蚀时,如何在本质上不可信的互联网世界中建立可信任的服务,基于“零信任”架构的安全体现应运而生。

 

“零信任”架构正在成为云上系统安全的共识

 

实际上,“零信任”一词由 Forrester 于 2010 年首次提出,是指一种新的安全方法,即企业不应固有地信任任何连接到业务系统或应用程序的尝试,并且必须在授予任何级别的用户访问权限之前进行验证。

 

传统安全所说的“信任但要验证”,而零信任则表示“从不信任,始终验证”。零信任安全从来没有真正“清除”任何东西。相反,零信任将所有资源视为组织网络的外部资源,在仅授予所需的最低访问级别之前不断验证企业中的每个设备、用户、资源和应用程序的可信度。

 

今天越来越多企业开始接受并使用零信任架构,以加强安全防御、简化安全管理和改善最终用户体验,包括华为云在内的各大云服务厂商都积极参与零信任白皮书、零信任安全解决方案来为数字时代构建安全信任基石等,“零信任”架构已经成为打造云上系统安全的共识。

 

华为云应用信任中心 ATC,开启零信任之旅

疫情长期动态清零,背后的安全共识是“零信任”

 

在7月15日举行的华为云TechWave全球技术峰会-云安全专题日上,华为云应用信任中心ATC正式发布,ATC是华为云基于零信任理念,依托云原生安全能力,保障业务远程访问安全的服务。其在持续检测和安全运营方面有着自己独特的价值。

 

在持续检测能力方面,华为云应用信任中心采用一键隐身、全景可视、多维度量的“零信任”架构部署,通过VPC终端节点实现跨VPC通信传输,实现业务“隐身”,大大削减攻击面;基于身份控制、业务风险双核驱动,保障访问合规;构建应用安全威胁全景拓扑,让客户能够清楚地掌握业务的安全态势。实现了让“好人”畅通无阻,让“坏人”寸步难行。

基于华为云ATC持续检测能力,企业能够获得服务隐身,身份异常、安全风险自动响应;细粒度配置策略,双因子等认证灵活配置,来实现复杂运维场景轻松安全应对的能力。

 

华为云智护业务安全,使能安全运营

“安全运营面临的困境和问题同样很多,面对数据的星辰大海需要多少人来分析数据?最快多久能识别到安全威胁?因此需要一个优秀的安全运营架构:让更少的人看护更多的机器。” 华为云安全服务产品总监胡巍分析到。

疫情长期动态清零,背后的安全共识是“零信任”

 

同时针对安全运营,华为云安全运营系列新品也在7月15日的华为云TechWave全球技术峰会-云安全专题日上重磅发布,智能保护租户的业务安全,有效支撑租户的日常安全运营工作,分为采集、平台、应用三个层面,具备极简、智能、开放的三个特点:

 

(1)华为云安全智能分析平台(ISAP)

安全智能分析平台(ISAP)是华为云打造的数据安全平台,具备多云采集、海量数据分布式能存储、高性能检索引擎、智能关联分析等能力,具备云原生服务的特点。ISAP可完美解析云原生的数据结构,实现智能关联并补齐信息,通过高性能的算法计算引擎和智能检索引擎实现海量数据秒级检索,将专家经验转化成分析模型,知识赋能小时级更新,自动化发现高级威胁,快速集成南北向安全生态、构筑安全运营和智能防御能力。

 

(2)华为云威胁检测服务(MTD)

华为云威胁检测服务(MTD),通过使用机器学习、异常检测和集成威胁情报等手段,识别潜在的威胁并确定优先级别,持续监控恶意活动和未经授权的行为,从而保护账户和工作负载,并且可以与态势感知等服务集成,进行后续关联的安全运营动作。目前MTD具备包括分布式攻击、僵尸网络木马以及SolarWinds检测测试等安全应用场景的70+智能检测模型,实现秒级威胁识别。

 

(3)华为云智能安全运营服务(SOC)

安全运营中心( SOC )是安全运营团队在安全运营作战过程中,对发生的安全事件及疑似威胁告警,进行加速响应处置的云原生SOAR服务。华为云安全运营中心能够实现安全运营响应三统一,对安全事件响应全方位看护、安全策略集中管理、安全编排自动化响应、智能作战室预置最佳实践,运营效率可从4小时提升至1分钟。最终实现全看护,0遗漏。

 

零信任是基础,但是不要成为零信任绝对主义者

“零信任”是假设一切都是敌对的。“零信任”方法是将所有流量(包括已经在边界内的流量)视为恶意流量。除非工作负载已通过一组属性(工作负载指纹或身份)进行识别,否则它们是不受信任的并且无法进行通信。可以想象,想做到验证一切也是不切实际的。

 

因此,“零信任”的建设——需要持续演进的长期工程,并且需要“零信任”安全方案解决一些关键问题的能力。如何在混合云环境下实现应用程序和服务跨网络环境的安全通信成为云上系统安全的核心问题。

 

“今天云上系统安全需要基于软件定义安全访问(SDSA)解决方案,从威胁检测和防御能力两方面来重点打造一个安全的访问过程和体系结构。“零信任”思想已经融入网络安全防御体系建设中,SDSA可以将威胁检测和防御能力注入到远程访问过程或体系结构中,这也增加了 SDSA市场在未来几年继续变化的可能性,因为安全行业的大趋势是走向整合。”IDC中国助理研究总监王军民在会议现场分享到。

 

可以看到,SDSA全球市场前景可期。据IDC预测,到2024年,现代软件定义安全访问解决方案预算将翻4倍,零信任架构将是各个云服务商构筑云上系统安全的基石,华为云基于零信任架构构建的云安全解决方案,真正实现了智护业务安全,使能安全运营的能力,通过解决云上安全运营面临挑战,来加速企业数字化转型。

来源:至顶网云计算频道

0赞

好文章,需要你的鼓励

2021

07/15

17:16

分享

点赞

邮件订阅
白皮书