隨著公有云的出現(xiàn)疫萤,客戶普遍存在雙模IT的特征,穩(wěn)定模式如私有云敢伸,按照傳統(tǒng)和線性建設(shè)發(fā)展扯饶,注重安全和穩(wěn)定,如金融和制造業(yè)的生產(chǎn)系統(tǒng)。敏捷模式如公有云尾序,是探索和非線性的钓丰,強(qiáng)調(diào)敏捷和速度,如C端業(yè)務(wù)每币、創(chuàng)新業(yè)務(wù)携丁。
基于對(duì)客戶需求的觀察,可以說絕大多數(shù)客戶都采用了混合云兰怠,甚至All in公有云梦鉴。伴隨的安全挑戰(zhàn)我認(rèn)為主要來自三個(gè)方面:
一、混合云帶來安全一致性的挑戰(zhàn)揭保。
企業(yè)需要安全一致性肥橙,他們非常希望能夠在混合云中統(tǒng)籌安全策略和控制風(fēng)險(xiǎn)。
數(shù)據(jù)中心有成熟的縱深防護(hù)模型秸侣,廣泛采用白名單確保業(yè)務(wù)安全規(guī)范存筏。混合云中味榛,存在南北向椭坚、東西向、微服務(wù)搏色、API等復(fù)雜業(yè)務(wù)模型和調(diào)用邏輯藕溅。我們看到客戶對(duì)這些資源都是單獨(dú)控制,不同的環(huán)境由不同的人管理著不同的工具继榆,隨著時(shí)間的推移,這肯定是不可持續(xù)的汁掠。
現(xiàn)在略吨,客戶已經(jīng)著眼于跨云和內(nèi)部資源的統(tǒng)一控制,如通過云管平臺(tái)打通多云資源考阱,強(qiáng)調(diào)安全一致性的能力等翠忠,否則,業(yè)務(wù)部署肯定會(huì)因?yàn)榘踩詥栴}被放緩乞榨。
所以秽之,提供一種靈活的、軟件定義的吃既、安全功能可伸縮擴(kuò)展考榨,廣泛適配云平臺(tái)的解決方案,會(huì)是客戶需要的鹦倚。
二河质、混合云帶來更大的攻擊面的挑戰(zhàn)。
混合云環(huán)境的復(fù)雜性使企業(yè)面臨多種攻擊的風(fēng)險(xiǎn)。以前掀鹅,客戶服務(wù)器中病毒我們可以用已知的查殺工具清除散休;現(xiàn)在,要不幫客戶恢復(fù)快照乐尊,要不教客戶用比特幣交贖金戚丸。
越來越多未知的漏洞、惡意程序扔嵌、挖礦程序出現(xiàn)在客戶的服務(wù)器中限府,客戶解決問題的成本越來越高。
出現(xiàn)這種情況我認(rèn)為有兩點(diǎn)对人,首先企業(yè)的服務(wù)器部署太容易也太迅速了谣殊,來不及進(jìn)行基線檢查和漏洞掃描就投入生產(chǎn)。其次牺弄,公有云的環(huán)境的安全性較差姻几,一些犯罪組織在公有云上執(zhí)行自動(dòng)化攻擊,90%以上的C&C域名是指向到公有云主機(jī)上的势告,公有云為企業(yè)帶來便利的的同時(shí)蛇捌,也滋生了犯罪的土壤。
所以咱台,把安全能力前置到云上每一臺(tái)虛機(jī)或容器內(nèi)络拌,通過自動(dòng)化運(yùn)維、輕量化部署具備合規(guī)基線能力回溺、風(fēng)險(xiǎn)漏洞檢測能力春贸,定位告警并觸發(fā)自防護(hù)能力的主機(jī)安全方案,自動(dòng)對(duì)所有終端分類成:受控/非受控遗遵、可信/不可信 四種類型萍恕,配合對(duì)應(yīng)安全策略一致性管理,就能實(shí)現(xiàn)零信任安全網(wǎng)絡(luò)的架構(gòu)基礎(chǔ)车要,應(yīng)對(duì)混合云環(huán)境下隨處存在的攻擊挑戰(zhàn)允粤。
三、敏捷業(yè)務(wù)帶來持續(xù)交付的挑戰(zhàn)翼岁。
傳統(tǒng)數(shù)據(jù)中心类垫,安全運(yùn)維團(tuán)隊(duì)把資源交付給開發(fā)部門,開發(fā)部門交付應(yīng)用業(yè)務(wù)琅坡,業(yè)務(wù)從資源準(zhǔn)備到上線通常數(shù)月悉患,安全運(yùn)維團(tuán)隊(duì)流水線作業(yè)是來得及支持業(yè)務(wù)的。
但現(xiàn)在脑蠕,很多企業(yè)的業(yè)務(wù)應(yīng)用由開發(fā)團(tuán)隊(duì)驅(qū)動(dòng)购撼,Devops已經(jīng)成為敏態(tài)IT的標(biāo)配跪削,這就給安全運(yùn)維團(tuán)隊(duì)帶來了變化。
1. 安全需要從設(shè)計(jì)編碼階段就被引用迂求,安全開發(fā)流程(SDL)被前置碾盐,安全不在是被動(dòng)防護(hù);
2. 安全團(tuán)隊(duì)不僅要防護(hù)漏洞揩局,還需要懂業(yè)務(wù)邏輯毫玖,和開發(fā)人員一起對(duì)付羊毛黨;
3. 持續(xù)的CI/CD過程中凌盯,安全也要實(shí)現(xiàn)自動(dòng)化付枫,開發(fā)做Devops,安全就必須DevSecOps驰怎。
應(yīng)對(duì)這些挑戰(zhàn)需要廣泛接觸新技術(shù)新理念阐滩。
我們看到Check Point的Infinity架構(gòu)可以解決多云一致性風(fēng)險(xiǎn),整合了云县忌、終端和威脅防護(hù)掂榔。
新的Dome9將安全性和合規(guī)性整合進(jìn)應(yīng)用的CICD全生命周期安全,而不影響敏捷性症杏。
開放的安全能力API接口装获,也為安全運(yùn)維團(tuán)隊(duì)提供了整合安全能力,轉(zhuǎn)型DevSecOps厉颤,應(yīng)對(duì)未知挑戰(zhàn)的機(jī)會(huì)穴豫。
所以,中天云圖會(huì)在跟Check Point合作中逼友,不斷學(xué)習(xí)吸收消化新技術(shù)新理念精肃,轉(zhuǎn)換成保障客戶數(shù)字化轉(zhuǎn)型能力。
談一談中天云圖在安全服務(wù)方面的生態(tài)建設(shè)和安全服務(wù)在生態(tài)里面的重要性帜乞。
因?yàn)榉?wù)是一項(xiàng)持續(xù)肋杖、不容易量化的產(chǎn)品,就僅舉例一項(xiàng)已經(jīng)標(biāo)準(zhǔn)化的安全服務(wù)挖函。
Checkup安全檢測服務(wù)我們已經(jīng)與CheckPoint合作超過一年,為二十家客戶提供了可視化的風(fēng)險(xiǎn)報(bào)告浊竟,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)并提供解讀和針對(duì)性解決方案怨喘。既不影響客戶業(yè)務(wù),又能幫客戶定期出具報(bào)告振定。既能提升服務(wù)體驗(yàn)必怜,又能提高業(yè)務(wù)轉(zhuǎn)化率。雖然沒有都轉(zhuǎn)化為CheckPoint客戶后频,但通過專業(yè)服務(wù)提升了客戶對(duì)中天云圖安全服務(wù)能力的認(rèn)可梳庆。
我們通過整合其他優(yōu)秀廠商的安全能力轉(zhuǎn)化成標(biāo)準(zhǔn)服務(wù)暖途,幫用戶提供網(wǎng)絡(luò)安全、終端安全膏执、應(yīng)用安全驻售、業(yè)務(wù)安全和云安全的能力。
中天云圖云管平臺(tái)配合MSP云服務(wù)外更米。重視云安全能力欺栗,通過ESB企業(yè)服務(wù)總線,整合優(yōu)勢廠商能力的API征峦,提供API網(wǎng)關(guān)和注冊和發(fā)布安全功能迟几,持續(xù)擴(kuò)充云服務(wù)和云安全能力。實(shí)現(xiàn)云主機(jī)自動(dòng)注冊自動(dòng)配置安全策略栏笆,有興趣可以臺(tái)下交流类腮。
