推動(dòng)云端技術(shù)革新的六大安全趨勢(shì)
公有云比地端部署基礎(chǔ)架構(gòu)更加安全?這是無(wú)庸置疑的,但前提是機(jī)構(gòu)所采用的云端環(huán)境,必須跟得上云端安全防護(hù)優(yōu)勢(shì)的全球趨勢(shì)。
為了改善機(jī)構(gòu)的安全防護(hù)措施,決策者必須掌握以下六項(xiàng)趨勢(shì):
趨勢(shì)1:公有云的成本效益
許多大型機(jī)構(gòu)正面臨傳統(tǒng)地端部署數(shù)據(jù)中心環(huán)境日漸復(fù)雜的問(wèn)題。公有云供貨商的產(chǎn)品服務(wù)規(guī)模,并不會(huì)增加作業(yè)復(fù)雜性,反而是一大優(yōu)勢(shì)。因?yàn)楣性瓶梢猿浞职l(fā)揮規(guī)模經(jīng)濟(jì)的效益,降低部署單位的費(fèi)用,以更便宜的價(jià)格進(jìn)行基礎(chǔ)控管,將安全性作為最優(yōu)先的考慮,進(jìn)而投資與實(shí)施地端部署基礎(chǔ)架構(gòu)無(wú)法比擬的安全防護(hù)措施。
舉例來(lái)說(shuō),Google Cloud的基礎(chǔ)安全架構(gòu)采用零信任原則,任何網(wǎng)絡(luò)、裝置、人員及服務(wù)在證明其安全性之前都不會(huì)授予信任,因此安全性超越一般地端部署標(biāo)準(zhǔn)。該架構(gòu)采用深度安全防御機(jī)制,可透過(guò)多層控管措施來(lái)防范設(shè)定錯(cuò)誤和攻擊。默認(rèn)的安全防護(hù)技術(shù)包括采用Titan安全性芯片,用于安全啟動(dòng),以及為傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密,另一項(xiàng)技術(shù)為機(jī)密運(yùn)算節(jié)點(diǎn),可為處于使用中狀態(tài)的數(shù)據(jù)加密。
圖一 : Titan安全性芯片可以用于安全啟動(dòng),以及為傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密。
趨勢(shì)2:「命運(yùn)共同體」模式的重要性
妥善實(shí)施安全防護(hù)措施并非易事,采用地端部署環(huán)境的機(jī)構(gòu)必須自行負(fù)責(zé)建立有效的安全防護(hù)機(jī)制。然而云端運(yùn)算一直以來(lái)都是以共同責(zé)任模式為基礎(chǔ),這是一種具有相互依賴性的命運(yùn)共同體模式:云端服務(wù)供貨商負(fù)責(zé)保護(hù)底層基礎(chǔ)架構(gòu) (即云端服務(wù)安全性),而客戶則負(fù)責(zé)確保設(shè)定、數(shù)據(jù)保護(hù)及存取權(quán)的安全性 (即使用云端時(shí)的安全性)。
圖二 : 云端運(yùn)算以共同責(zé)任模式為基礎(chǔ),這是一種具有相互依賴性的命運(yùn)共同體模式。
除了分配責(zé)任以外,這種模式也讓云端客戶和云端服務(wù)供貨商共同享有成功經(jīng)驗(yàn)。Google Cloud于預(yù)設(shè)將安全性納入考慮的設(shè)定、安全環(huán)境設(shè)定藍(lán)圖、堆棧政策階層,以及法規(guī)遵循認(rèn)證、稽核內(nèi)容、監(jiān)管法規(guī)遵循支持、評(píng)分設(shè)定透明度,甚至是風(fēng)險(xiǎn)防范計(jì)劃保險(xiǎn)等形式的控管機(jī)制保證。
趨勢(shì)3:資安領(lǐng)域的良性競(jìng)爭(zhēng)
全球公有云供貨商競(jìng)相提供更優(yōu)異的安全防護(hù)機(jī)制,整個(gè)產(chǎn)業(yè)的安全性強(qiáng)化功能發(fā)展速度與規(guī)模也隨之提升。這樣的市場(chǎng)競(jìng)爭(zhēng)讓云端安全防護(hù)規(guī)范越來(lái)越嚴(yán)格,同時(shí)也提升了云端靈活性與生產(chǎn)力,進(jìn)而帶來(lái)效能優(yōu)于地端部署環(huán)境的創(chuàng)新安全防護(hù)技術(shù)。
云端環(huán)境成效將始終領(lǐng)先于地端部署環(huán)境,因?yàn)榈囟瞬渴瓠h(huán)境的競(jìng)爭(zhēng)力較弱,且難以逐步提供更卓越的安全防護(hù)機(jī)制。盡管地端部署環(huán)境可能永遠(yuǎn)不會(huì)完全消失,但是透過(guò)云端環(huán)境方面的競(jìng)爭(zhēng),將能夠以地端部署環(huán)境從未達(dá)到、也無(wú)法達(dá)到的方式,推動(dòng)安全技術(shù)創(chuàng)新。
Google Cloud 的專屬工程團(tuán)隊(duì)采用安全漏洞檢測(cè)做法,并綜合數(shù)萬(wàn)名客戶優(yōu)異的創(chuàng)新技術(shù)精華,為所有使用者簡(jiǎn)化這些技術(shù)并主動(dòng)汲取相關(guān)知識(shí)。這種清楚、精確且淺顯易懂的安全性政策主張,有助于協(xié)助客戶在風(fēng)險(xiǎn)更低的情況下進(jìn)一步發(fā)展。
趨勢(shì)4:云端環(huán)境可作為數(shù)字免疫系統(tǒng)
公有云供貨商不斷推出數(shù)百項(xiàng)更新,每一項(xiàng)安全性更新都是根據(jù)要求、威脅、安全漏洞或全新攻擊技術(shù)而研發(fā)。因此,安全性方面的改良并非只是應(yīng)對(duì)措施,而是可以擊潰所有攻擊種類的功能強(qiáng)化工作。假如客戶沒(méi)有可以應(yīng)用這類型資源的大型安全性團(tuán)隊(duì),那么可以采用最合適的安全策略,便是使用云端服務(wù)所提供的每一項(xiàng)安全功能更新來(lái)保護(hù)網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù),這就像是獲得了一個(gè)全球數(shù)字免疫系統(tǒng)一樣。
趨勢(shì)5:軟件定義基礎(chǔ)架構(gòu):持續(xù)監(jiān)控控管機(jī)制與政策意圖
相較于地端部署,云端環(huán)境的一大優(yōu)勢(shì)為軟件定義基礎(chǔ)架構(gòu)。這代表云端環(huán)境能夠以更靈活的方式進(jìn)行設(shè)定,讓客戶免去硬件配置或管理作業(yè)的負(fù)擔(dān)。從安全性的角度來(lái)看,這代表客戶能夠?qū)踩哉咧付槌绦虼a、持續(xù)監(jiān)控其設(shè)定成效,也能在更低的作業(yè)風(fēng)險(xiǎn)下,變更建構(gòu)與應(yīng)用模型,并允許分階段進(jìn)行變更與實(shí)驗(yàn)。
提升安全性的兩個(gè)軟件定義基礎(chǔ)架構(gòu)包括Google Cloud的BeyondProd模型和SLSA架構(gòu)。BeyondProd 可讓微服務(wù)在公有云、私有云和第三方托管的環(huán)境中,藉由精細(xì)的控管功能安全地運(yùn)行,而SLSA架構(gòu)則制定了滿足軟件供應(yīng)鏈完整性的條件,并將其應(yīng)用至軟件開(kāi)發(fā)與部署作業(yè)。云端安全防護(hù)機(jī)制可讓客戶充分享有調(diào)整業(yè)務(wù)與技術(shù)的靈活性,進(jìn)而在可靠性風(fēng)險(xiǎn)更低的情況下積極采取更嚴(yán)格的控管措施。
趨勢(shì)6:基礎(chǔ)架構(gòu)部署速率與擴(kuò)充性
由于云端環(huán)境的規(guī)模,供貨商需透過(guò)持續(xù)整合/持續(xù)部署(CI/CD)系統(tǒng),自動(dòng)化軟件部署和更新作業(yè)。這么做可以確保各地產(chǎn)品版本一致,提供安全性強(qiáng)化功能、頻繁的改良功能和安全性更新,在大規(guī)模實(shí)現(xiàn)可靠性的同時(shí),也能在發(fā)生任何問(wèn)題時(shí)快速進(jìn)行復(fù)原。最終,客戶能在風(fēng)險(xiǎn)更低的情況下進(jìn)一步提高工作效率。
Google Cloud的安全性和其他機(jī)制均以API為基礎(chǔ),且在各產(chǎn)品中皆保持一致,讓設(shè)定管理作業(yè)可透過(guò)程序輔助方式進(jìn)行,也就是以程序代碼形式進(jìn)行設(shè)定。這個(gè)做法讓客戶能采取CI/CD做法進(jìn)行軟件部署和設(shè)定作業(yè),以便保持云端使用情形一致性,進(jìn)而提升部署速度。
云端企業(yè)安全性的發(fā)展前景晴空萬(wàn)里
以上六大趨勢(shì)為公有云帶來(lái)地端部署基礎(chǔ)架構(gòu)無(wú)法比擬的重大安全防護(hù)優(yōu)勢(shì)。云端運(yùn)算持續(xù)協(xié)助機(jī)構(gòu)透過(guò)比以往更少的成本及精力,實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)、控管安全性風(fēng)險(xiǎn)、運(yùn)用創(chuàng)新安全防護(hù)技術(shù)、提升數(shù)字免疫力、享有控管設(shè)定的優(yōu)勢(shì),并發(fā)揮高速部署的效益。
(本文由Google提供,作者為Google Cloud1亞太區(qū)安全技術(shù)副總Mark Johnston、2韓國(guó)安全技術(shù)專員Jinwon Seo、3中國(guó)臺(tái)灣地區(qū)技術(shù)副總林書(shū)平、4大中華區(qū)安全技術(shù)副總Ken Zhang)
評(píng)論