Top
首页 > 网络和信息安全 > 新闻快递 > 正文

Jay Heiser发表演讲

我们在这里提出了云安全的见解,为了能够让云安全在中国落地,保证公共云的安全,这是在座各位的使命。在座各位需要承担责任,选择公共网络的部件,保障云安全和可靠性。
发布时间:2015-09-29 14:21        来源:赛迪网        作者:赛迪网

9月29日~30日,2015中国互联网安全大会(ISC 2015)在北京国家会议中心召开,在为期两天的会议中,来自美国、以色列、澳大利亚、韩国和中国等全球多个国家的120位世界顶级安全智库和安全专家出席大会围绕110个议题进行头脑风暴,共同探讨网络安全行业未来。

ssss

以下为Jay Heiser的文字实录...

我们在这里提出了云安全的见解,为了能够让云安全在中国落地,保证公共云的安全,这是在座各位的使命。在座各位需要承担责任,选择公共网络的部件,保障云安全和可靠性。

全球范围内公共云市场的巨大增长。作为一个转折点,去年有50%的工作流是公众云创造。软件厂商有一半的收入来自软件级服务层,有一半以上的应用支出用于云服务,而不是现场场景应用。全球范围内公共云的支出达到16的复合增长率。未来我们也会看到中国的公共云市场会出现爆发式增长。

这些问题都不是跟安全相关的,云计算安全的人员分布情况是怎样的,大家想了解的是我的竞争对手和同行在哪儿。答案是10%的欧美组织在使用云,10%的进行创新,10%的在抵制公共云。我们看到了公共云使用情况有所变化,我们会进一步深化什么是最好的公共云。这也是这么多公司想更好的利用公共云。他们看到云背后的威胁,以及最佳实践是怎样的。有三分之二的调查者认为安全是他们不愿意使用公共云的主要考虑,每年有66%的人觉得不采用公共云是出于安全和隐私的考虑。我们比较关注的是公共云的安全问题。

在实践当中,安全并不是公共云最大的问题。我可以给大家讲一些具体例子。云服务提供商并没有面对最大的云安全问题,往往是他们的客户遇到这个问题。对于网络钓鱼来讲,应该是最大的云安全失效的原因。它不见得是公共云的问题,可能是身份识别的问题。我想给大家传递的重要信息是不要再继续把重点放在云安全服务提供商。云安全服务提供商并没有遇到非常严重的安全失效问题,而是很多使用公共云服务的用户的不安全操作行为,大多数问题都是用户没有进行自我防护。大多数的安全事件都不是跟故障有关。没有一个技术是完全可靠的,但我们从云服务提供商那里购买的是入侵防护服务。各种组织争相使用公共云,购买新的应用,在他们的IT控制之外购买应用程序,却低估了如何控制和使用。很多组织都持续购买软件级服务,但并没有得到很好的管理,或者说根本没有办法进行控制,也就没有办法保证它的安全、效率,更没有办法保证实现云服务的其他集成。

我会听到比较相似的关于云安全的问题。你们在云安全方面做什么?你们最担心的是什么?我刚刚已经讲得非常清楚了,我们应该担心的是怎么使用。我们应该怎么做呢?就是我们需要采用不同的方法,也就是在IaaS、SaaS方面提供服务,需要进行安全远程访问,需要实现流程再创造,需要学习如何在动态环境中建立代码,而且也需要实现以云为基础的操作系统的防护。在任何一个虚拟应用当中,要确保操作系统是安全的,需要保证应用程序方面没有漏洞,可以保证实现自动打补丁。需要实现管理和跟踪虚拟机,这在公共云里非常重要,因为成千上万的工作流都在公共云进展中,需要进行很好的管理。

很多情况下,我们需要实现安全可靠的基础设施及服务,需要拥有非常高端的技术水平。个人可以设立代码,可能会在公共云里面对里进行攻击。

相对的是软件级服务,它是非常不一样的。云服务提供商负责所有的技术端,我们需要进行供应商的管理,并且有能力确保供应商具备安全态势的控制功能,这些都应该通过第三方验证,确保它们的安全性。还需要采用不同的管理流程,还需要确保用户在正确使用数据。在没有直接进行数据控制的前提下,还要找到安全可靠的连通方式。

对于基础设施和软件级服务进行控制,它们的共性就是身份和访问管理。管理身份是非常关键的问题,是安全使用公共云的基础。我们必须确保进入服务中的是真正被许可的,而不是黑客,你要注意是不是有权限的访问者和管理员,特别是在基础设施级服务方面,或者是在软件级服务的范围内,这些访问权限是否可以得到控制和管理。对于黑客来讲,如果黑掉了一个管理员权限,就会拿走所有的数据。

不同水平的公共云需要进行不同的投入。企业层面需要进行云服务的使用分配,要分析出哪种类型的云服务要在哪种情况下进行使用,谁可以帮助我们处理问题,并且可以引领我们按照相关政策使用云服务。IT部门管理设备购买是很容易的,但可能会通过电子邮件进行业务的细分,比如销售部门想使用CRM、ERP或者是HR,其中包括很多数据,可能存在IT部门无法控制的程序。合作伙伴也可能要求你使用某种服务,如果你跟我做生意,就必须跟我分享这个文件。你如何控制应用程序的使用呢?

我这里给大家提出一点建议,首先你需要一个策略。我们将要使用一个不一样的词汇,我这里想谈的可能是治理或者是控制。因为它不只是安全问题。

我坚信信息安全专业,或者说专业人士应该更好的理解如何保护系统,他们要确保建立内部组织策略,并且按照策略开展活动,在哪种情况下应该使用哪种云服务、职责分工是怎样的、谁承担风险,这些都是非常重要的政策。如果有些业务经理想使用应用程序,这些应用程序不是IT部门支撑,他们是不是需要承担风险。如果不控制这个应用程序,是不是可以进行很好的管理?如果这个应用程序出现问题,那是因为你做出的使用决策,组织内部可以做这样的决策,可以充分利用公共云服务的优势。如果一个组织内部没有办法做出决策,他们可能还需要再等几年再更好的利用公共云。

这里提出的治理建议就是进行生命周期法管理。在欧美国家,如果一个组织决定购买某种类型的公共云应用程序,他们首先要决定需要哪些特性,比如进行销售信息的追踪等等。他们可以用销售团队使用这个程序,并不需要技术支持。他们没有按照我们的要求做事,在执行应用程序的时候,需要进行持续管理。这不是整个生命周期的管理。

我们知道生命周期的管理是非常不一样的,如何从云中把数据抽取回来,如何对它进行更好的部署和使用。这在安全方面存在很大的问题。这个模型可以帮助我们定义公共云风险的域,再做出域使用的安全决策,显然安全是非常重要的。

你能控制谁获得数据,能否进行分析和调查,能否对它负责。这就需要风险分析的等式。供应商的财务非常脆弱,云服务提供商把自己挣来的钱全部用于投资,有些VC或者基金需要在基础设施方面投入大量的资金,这就使得他们的财务系统非常脆弱,一些云服务提供商不断的退出市场。如果他们倒闭,你的数据怎么拿回来?

大多数云服务提供商提供了服务的可用性,比如7×24小时的数据服务。可用性是公共云的优势,但我们要理解有些服务提供商做得更好。

还有就是合规,符合法律的要求。我们今天讨论了公共政策,以及监管方面的问题,比如欧盟对隐私保护的要求更加严格,还有美国如何进行更好的监管,包括针对私人的监管。中国也有监管方面的要求,全世界各个国家都有监管方面的要求,也是非常复杂的。在使用公共云的时候,要确保可以符合法律法规。

现在还有一群人要考虑的是灵活度。现在很多服务提供商想做的事情就是可以提供灵活度。在这之前,你可能不知道能做什么。现在你有自己的数据中心,就可以转移数据、创造新的形态、创造新的功能,你也可以找到谁在做什么。现在我们有自己的服务模式,就可以应对这样的挑战和风险。

我为什么要做这个演讲?也就是我们做这件事情的目的是什么。我们是要确保人们可以合理使用公共云,需要进行更好的配置,进行身份的管理,以及可以追溯服务提供商的历史服务,确保可以获得身份认证的相关数据和信息。这些服务全部外包是无法实现的,必须要考虑到保密性,这才是应对公共云时要做的事情。

现在我们做的事情是完全不一样的,那就是在架构和程序化方面,要考虑与以前完全不同的云。我们建立了简单的每年更新的平台,并且建立了全球云中心的模式,而且可以不断的进行变化,有更好的灵活性。我们跟不同的开发人员合作。

共有云和私有云需要的技术是不一样的,现在可能需要打包的技术,以及应对攻击的技术。在软件级服务的平台下,要确保它的安全性。你可以进行外包,也可以知道它的正常运转程序。软件级服务占到了很大一部分工作。还有身份访问的管理、用户活动的监控。我们要对用户的实体行为进行分析,做出分析报告。还要进行年度审查。要具备处理紧急问题的能力,谁来负责文件复制、谁帮助我们获取信息并提供下一次服务,这些都是IT部门要提供的相关功能,这样才能确保安全有效的使用软件级平台。这是我们现在面临的挑战。

在座每一位都是要为这些工作负责的人。公共云将会成为全球经济的重要组成部分,而且也会成为获得中国市场的重要因素。我们需要通过新技术、新政策、新专长来减少风险。我们的专业知识可以挖掘潜能,更好满足顾客需求,以保障公共云的运行。我认为摆在面前的是一个机遇。我们并不认为公共云是理所当然的,并不总是安全的场景,也不能持续的在安全场景下工作。我们需要反面思考,公共云上有些事情一直都是存在风险的。我们的组织需要这样的策略,如何才能对风险管控负责,如何安全可靠的运作,要为这些事情负责。我们必须要优化我们的工作,不仅是安全性能的保障,还应该为顾客提供全方位的服务和解决方案。我们要确保组织的运作不是完全依赖公共云,而是具备可以确保更为高效使用公共云的能力。

我们现在已经有了一些专业储备,需要让操作人员了解能做什么、不能做什么。很抱歉,我们到底不能做什么可能不是很好的想法,但我们要利用这种方式知道长期工作机制,以满足顾客的需求,我们能够给他们提供安全的产品,而且可以安全的运作。这就是今天面临的挑战。我们现在认为它是安全的,但可能会由于不安全的方式而引发威胁。

如何正确安全的使用云服务,如果你是服务提供商,你又能做些什么,以确保你的客户能够安全使用你的产品?这就是我想说的内容。非常感谢大家的关注,希望大家有所收益。

谢谢大家!

专题访谈

合作站点
stat