企業(yè)應用上云中的安全要求

伴隨著云計算、移動互聯網、物聯網、5G等新計算等崛起，萬物互聯的數字經濟時代已經到來，各行各業(yè)開始數字化智能化轉型。業(yè)務上云、數據互聯互通，給企業(yè)帶來深刻革命的同時，也讓企業(yè)IT架構發(fā)生了翻天覆地的變化，一場關于網絡安全架構的技術革命正在進行。
企業(yè)上云的安全要求
IaaS的網絡訪問存在一個重大的安全挑戰(zhàn)，作為云安全責任共享模型的一部分，網絡安全直接依賴于企業(yè)。僅依賴于身份驗證就將私有云資源公開到公共互聯網，顯然不符合安全和合規(guī)要求。因此，企業(yè)需要在網絡層彌補這一差距。在企業(yè)上云的過程中存在兩個需要解決的根本問題：
1、安全地遠程訪問：
所有的云用戶都是遠程的，這意味著無論網絡連接是公共互聯網還是專用的直接連接，與云的通信都是在網絡連接上發(fā)生。
企業(yè)通常通過使用VPN解決這一問題，通過建立點到點的VPN，或者從用戶的設備通過VPN集中器直接連到云?；蛘撸Y合上述兩個方案，將用戶從其設備通過VPN連接到企業(yè)網絡，再通過點到點的VPN進入云端。
使用VPN在技術上解決了安全的遠程訪問難題，它為用戶設備到云網絡的網絡通信提供了安全、加密的隧道。但這同樣存在一些缺點，特別是如果所有的用戶流量都需要先到公司網絡，然后再去訪問云，這將帶來額外的延遲，造成單點故障，并可能會增加帶寬成本和VPN授權的購買成本。通過VPN直接從每一個用戶的設備連接到云有助于解決一些難題，但可能會與用VPN同時進入企業(yè)網絡的需求發(fā)生沖突。
2、用戶訪問的可見性和可控性：
不管用戶如何進入IaaS環(huán)境，安全團隊仍然需要控制在IaaS環(huán)境中哪些用戶可以訪問哪些資源。
IaaS平臺提供了內置的工具來管理這一點，例如AWS中的安全組和Azure中的網絡安全組，基于IP地址控制對服務器的訪問。
企業(yè)需要解決用戶訪問問題是安全訪問面臨的最基礎的挑戰(zhàn)，但只被賦予了基于IP地址的訪問控制工具，這對迎接這一挑戰(zhàn)來說是遠遠不夠的。
在IaaS環(huán)境下，安全遠程訪問控制已經不再是一個特殊場景。所有用戶都是“遠程的”，因此，網絡安全團隊需要關心所有用戶是如何訪問資源的，而不僅僅是用戶的一個子集。也就是說，安全的遠程訪問控制必須成為一個核心關注點，并且是采用IaaS的任何企業(yè)的整體策略的一部分。
“云安全”和“安全云”的區(qū)別
此外，“云”和“安全”這兩個詞雖然只是前后顛倒了順序，但卻代表了兩種不同的產品方向，面向的客戶群體也有所不同。
1、云安全
云安全主要指保障云自身及云上各種應用的安全，包括云計算平臺系統(tǒng)安全、用戶數據安全存儲與隔離、用戶接入認證、信息傳輸安全、網絡攻擊防護、合規(guī)審計等。伴隨著業(yè)務的不斷增長，云廠商安全問題日漸凸顯，自身系統(tǒng)被入侵者攻破，用戶數據被盜時有發(fā)生。當用戶在使用云服務時，首先考慮的就是數據安全問題，這也是很多信息敏感部門不愿使用云服務的原因之一。
因此，無論是私有云還是公有云，在為應用系統(tǒng)帶來可擴展、高可用、訪問便利等諸多好處的同時，數據受控訪問、云上業(yè)務防攻擊、云上系統(tǒng)防入侵等都是迫在眉睫的安全剛需。
云廠商的主要優(yōu)勢在于對高并發(fā)、分布式、大數據處理等方面積累了大量的經驗，有足夠的能力應對DDoS等流量類入侵。但對于風險分析、執(zhí)行策略、系統(tǒng)實施、漏洞檢測、實時響應等綜合安全能力有較高要求的場景來說，從技術積累、專業(yè)人才儲備、經驗積累等角度綜合考量，專業(yè)的安全廠商都處于更優(yōu)勢的地位。
2、安全云
顧名思義，安全云是提供安全防護服務的云，將安全基礎設施云化后，向客戶提供整體的安全服務。在技術路線大體上為，創(chuàng)建獨立資源池，通過軟件定義網絡技術，經過二層、三層或七層引流，將用戶業(yè)務流量引入安全組件資源池中，流量經過安全云的檢測、分析、清洗，再回注到用戶業(yè)務側。
安全云采用云計算技術，通過新建和整合安全基礎設施資源，優(yōu)化安全防護機制，來保護企業(yè)信息化系統(tǒng)，不僅能夠符合國家安全等級保護要求，也避免了過多的資源浪費，達到了安全防護能力按需定制化的目的。
安全是云計算的基石，針對云安全的防御之戰(zhàn)，將是一場持續(xù)、持久的戰(zhàn)爭。企業(yè)上云是企業(yè)數字化轉型的重要途徑，切實從企業(yè)角度思考打消決策者對于上云的安全顧慮，幫助企業(yè)梳理業(yè)務系統(tǒng)重構問題，以及降低可能會面臨的云服務系統(tǒng)風險，才能跨越企業(yè)上云的重重難關：http://www.xinnet.com/cs/product.html