Invitado de la entrevista | Zheng Ge
Autor | Aspirina
Listado | CSDN (ID: CSDNnews)
El 20 de septiembre, se informó que el protagonista de "Eliminar biblioteca" de Weimeng fue condenado a 6 años de prisión.
El 23 de febrero, el personal principal de operación y mantenimiento del departamento de operación y mantenimiento del Centro de I + D de Weimeng inició sesión en el servidor a través de VPN, destruyó el entorno de producción en línea de SaaS y eliminó la base de datos, y luego el sistema interno de Weimeng monitoreó y alarmó, lo que provocó que una gran área de clústeres de servicios no respondieran.
Según el último informe financiero, Weimob tuvo una pérdida neta de 546 millones de yuanes en la primera mitad del año, y se espera que el evento de eliminación de su base de datos pague 87 millones de yuanes. Por supuesto, no solo Weimeng sufre, sino también todos los clientes de Weimeng.
El incidente de Weimob no es inevitable, pero es un producto de la era del big data y la computación en la nube. Se debe prestar suficiente atención al tema de la seguridad en la nube, porque una vez que ocurre un problema en la nube, se enfrenta al riesgo de suspensión empresarial o incluso de quiebra.
Zheng Zhen, vicepresidente senior y director de estrategia de seguridad en la nube de Anheng Information, dijo a CSDN que los incidentes repetidos de eliminación de la base de datos a menudo son causados por la gestión de derechos o los riesgos internos de la gestión del personal, y este es solo uno de los muchos riesgos de seguridad después de ir a la nube, por lo que Las empresas necesitan con urgencia combinar la gestión de operaciones y mantenimiento con la gestión de seguridad para realizar una gestión de seguridad unificada.
Como empresa que se ha centrado en la seguridad desde su creación en 2007, el alcance comercial de Anheng se ha expandido desde la seguridad inicial de las aplicaciones y la seguridad de los datos hasta la seguridad actual de la computación en la nube, la seguridad industrial de Internet, la seguridad de big data y la seguridad de la ciudad inteligente.
¿Por qué Anheng Information ha comenzado a prestar atención e implementar la seguridad tan pronto, cuáles son las oportunidades y desafíos en la transición de la seguridad tradicional a la seguridad en la nube, y cómo será la seguridad en la nube en el futuro? CSDN entrevistó a Zheng Zhen, vicepresidente senior y director de estrategia de seguridad en la nube de Anheng Information, para discutir el desarrollo y los cambios de la seguridad en la nube.
Zheng Zhen, vicepresidente sénior y director de estrategia de seguridad en la nube de Anheng Information
Cambios en el campo de la seguridad: de tangible a intangible, de limitado a ilimitado
Zheng Ge dijo que hay dos fuerzas impulsoras principales detrás del desarrollo del campo de seguridad de China. Uno es el cambio en la tecnología, como el desarrollo del big data y la computación en la nube, y el desarrollo de la tecnología ha llevado a grandes cambios en la forma de productos de seguridad; el segundo es el cambio en los escenarios de aplicaciones, como el surgimiento del Internet de las cosas y las ciudades inteligentes, y los cambios en los escenarios. Traerá nuevos desafíos de seguridad y problemas de seguridad.
Bajo la tendencia de la digitalización y el acceso a la nube, cada vez más empresas optan por almacenar su negocio y sus datos en la nube y luego utilizar servicios en la nube más eficientes, de bajo costo, seguros y estables, por lo que la infraestructura de TI se está convirtiendo gradualmente en la nube. La nube ha cambiado la arquitectura de la infraestructura subyacente de las empresas, y la seguridad también se ha basado en la nube, y la arquitectura de seguridad tradicional ya no es aplicable a la nube.
Con la aparición frecuente de incidentes de seguridad, como ataques DDoS, ataques de ransomware y violaciones de datos, reconocemos claramente que si se trata de tecnologías subdivididas como 5G, computación en la nube, inteligencia artificial e Internet de las cosas, o servicios como plataformas en la nube, servidores y hardware. Ambas son brechas de seguridad y aberturas protectoras, y los métodos tradicionales de protección de "muro alto estilo barrera" han fallado durante mucho tiempo.
En esta era de Internet de todo, cuando alguien simplemente pregunta "¿Es seguro su sistema?" Sin condiciones previas, se convierte en una proposición falsa. Por tanto, el campo de la seguridad ya no tiene fronteras, sino que debería convertirse en un escudo protector omnipresente.
Ir a la nube de forma segura no es solo un "método mecánico"
Dado que los ataques de seguridad externos tienden a ser inteligentes, complejos y escalados, los métodos de protección en la nube se han vuelto más diversificados y complicados, y la implementación de una arquitectura de seguridad sólida es un asunto urgente para las empresas.
Las capacidades de seguridad tradicionales tienen cierto efecto de empoderamiento en la nube, pero la migración de la seguridad no es un mero "mecanismo", y el modelo de protección de seguridad tradicional no se aplica a la seguridad en la nube.
Zheng Zhen le dijo a CSDN que la seguridad en la nube y la seguridad tradicional son completamente diferentes, y la lógica de la arquitectura de las dos es muy diferente. Por ejemplo, el firewall de red tradicional en el pasado no se podía simplemente mover a la nube. El firewall tradicional se puede configurar entre la entrada y la salida del tráfico para protegerlo. Sin embargo, es muy difícil lograr esto en la nube porque la nube se puede migrar. La política de firewall también debe ser transferible.
En comparación con los escenarios tradicionales, los riesgos en la nube también han cambiado: primero, la prioridad de los riesgos ha cambiado. Debido a la aparición de la computación en la nube, la seguridad de los datos y la seguridad de las terminales se han vuelto más prominentes e importantes, y surgen nuevos conceptos constantemente; El segundo es la aparición de nuevos riesgos, como la seguridad de los contenedores y la seguridad de los límites de acceso.
Al realizar una migración segura, muchos fabricantes de equipos de seguridad tradicionales esperan que la "caja de seguridad" se cloudifique, como convertir FW en vFW, instalarlo en hosts en la nube y máquinas virtuales, y complementar el concepto de SDN / NFV. Resuelva problemas de seguridad en la nube. Sin embargo, en opinión de los proveedores de la nube, esto no es una seguridad nativa de la nube, sino que solo se puede considerar como una seguridad "basada en carpetas en la nube".
Por lo tanto, la seguridad en la era nativa de la nube no se puede lograr con las cajas de hardware tradicionales. En su lugar, debe hacer un uso completo de las capacidades y tecnologías de la nube, como la capacidad de carga de la nube, la escalabilidad elástica, las capacidades de respaldo, las capacidades de migración en caliente, las capacidades de computación y los macrodatos. Habilidad y así sucesivamente. Además, también se utiliza un modelo en la nube, como un modelo de servicio basado en SaaS, y se proporcionan servicios bajo demanda según los escenarios de la aplicación. Estas son las mayores diferencias entre la seguridad en la nube y la seguridad tradicional.
La seguridad tradicional solo se puede aplicar a través de la transformación de la nube, que también es uno de los desafíos que enfrentan las empresas de seguridad.
Crear capacidades de seguridad en la nube requiere "pensamiento sistemático"
En la era de la computación en la nube, los proveedores de seguridad, los proveedores de computación en la nube y los clientes comparten responsabilidades. Incluso si utilizamos servicios IaaS, PaaS y SaaS en la nube, no significa que las empresas y los clientes transfieran las responsabilidades de seguridad correspondientes a los proveedores de la nube.
Los proveedores de la nube proporcionan más armas técnicas, pero cómo hacer un buen uso de esta tecnología es responsabilidad de la empresa y debe analizarse desde el nivel de la arquitectura de seguridad empresarial y la ruta técnica de implementación de la seguridad.
Entonces, ¿cómo pueden las empresas fortalecer su propia arquitectura de defensa de seguridad en la nube durante una implementación específica?
Zheng Zhen dijo que construir un sistema completo de seguridad en la nube requiere un pensamiento sistemático, lo cual es un gran desafío. Debido a la diferente distribución de recursos, cómo implementar una estrategia de seguridad unificada y la gestión de la seguridad es el mayor problema al que se enfrentan las empresas, y Anheng Cloud puede ayudar a las empresas a construir un marco de protección de seguridad relativamente sistemático.
La solución actual proporcionada por Anheng Cloud está dirigida a los puntos débiles de los usuarios en la nube, combinando la administración de la nube y la seguridad de la nube por primera vez, simplificando la complejidad de la operación y el mantenimiento, y brindando capacidades de seguridad más eficientes y una mejor experiencia a través de costos más bajos.
De "una nube" a "múltiples nubes", ¿cómo se pueden unificar realmente la administración y la seguridad?
Con la madurez de la tecnología de computación en la nube y las demandas de costos y copias de seguridad de los usuarios, la tendencia de la "nube múltiple" se ha vuelto muy obvia. En opinión de Zheng Zhen, ningún usuario quiere estar encerrado en un servicio en la nube, sino que quiere aprovechar al máximo los servicios y las ventajas de precio de cada nube. Por lo tanto, cada vez más empresas elegirán una arquitectura de múltiples nubes.
Según los datos de la Academia de Tecnología de la Información y las Comunicaciones de China, la arquitectura de múltiples nubes se ha convertido en el modelo de implementación principal para las empresas. En 2020, hasta el 93% de las empresas encuestadas son arquitecturas de múltiples nubes. Sin embargo, la arquitectura de múltiples nubes también presenta nuevos desafíos para las empresas. Por ejemplo, la seguridad de múltiples nubes es uno de los mayores desafíos. Hasta el 83% de los encuestados creen que la seguridad de múltiples nubes es el mayor desafío.
Actualmente, existen tres desafíos principales en la gestión de múltiples nubes y la seguridad de múltiples nubes:
1. Isla de administración de múltiples nubes: heterogénea de múltiples nubes, la arquitectura de cada proveedor de servicios en la nube es muy diferente, cada recurso es relativamente independiente y es difícil administrarlo de manera unificada;
2. El costo de la construcción de seguridad de múltiples nubes es alto : cada nube debe construirse de forma independiente y el costo de construcción de seguridad es alto;
3. Las capacidades de seguridad no se pueden asignar, administrar y operar de manera uniforme : las capacidades de seguridad en la nube de cada nube son desiguales, y la configuración, operación y mantenimiento de seguridad unificados y el análisis de la situación de seguridad no se pueden realizar, lo que causa problemas graves de seguridad como la intrusión de aplicaciones y el robo de datos .
En este momento, se necesita una plataforma de administración de múltiples nubes para unificar los recursos dispersos y administrarlos de manera centralizada. Anheng Information también ve los problemas: por un lado, cómo llevar a cabo una operación y administración unificadas para múltiples nubes, y por otro lado, cómo llevar a cabo una administración de seguridad unificada para múltiples nubes.
Sobre la base de estas consideraciones, ANHENG Information tomó la iniciativa al presentar el concepto y la solución de combinar la administración de múltiples nubes y la seguridad de múltiples nubes, y lanzó una plataforma integral de servicios de administración de múltiples nubes y administración de seguridad de múltiples nubes: ANHENG Cloud.
Zheng Zhen dijo que es muy difícil proporcionar una estrategia de seguridad unificada. Desde la perspectiva de la administración, solo después de que se conecten diferentes nubes se puede llevar a cabo un monitoreo y análisis unificados, y luego se puede implementar una política de seguridad unificada. Si desea hacer un buen trabajo en la gestión de múltiples nubes, debe comenzar desde las siguientes dimensiones:
1. Gestión de activos en la nube, identificar y reorganizar varios activos en la nube a través de API, establecer una biblioteca de activos y luego realizar una administración unificada; 2. Realizar un monitoreo unificado de los recursos en la nube y analizar su uso; 3. Crear pares en la nube Análisis de costos para ayudar a los usuarios a optimizar los recursos de la nube y ahorrar costos, 4. Realizar operaciones y mantenimiento automatizados unificados.
En la actualidad, la plataforma Anheng Cloud puede conectarse sin problemas a nubes públicas como Alibaba Cloud, AWS, Huawei Cloud, Tencent Cloud, Ucloud, Baidu Cloud, Azure, JD Cloud, Qingyun y cubrir plataformas de nube privada como Alibaba Cloud, OpenStack y Huawei Cloud. Los usuarios pueden completar la administración unificada de múltiples nubes en una plataforma y proporcionar monitoreo de host y operación y mantenimiento automáticos, análisis y optimización de costos, operación de cumplimiento y mantenimiento y auditoría, para lograr una administración integral de múltiples nubes.
Sin embargo, el mayor desafío para la gestión de múltiples nubes y la seguridad de múltiples nubes en China es la estabilidad y apertura de las API de nube pública.
Zheng Zhen le dijo a CSDN que se dice que muchas API de nube pública están completas y abiertas, pero cuando se usan realmente, encontrarán que el nivel de estas funciones es desigual y hay una gran brecha con las capacidades externas. Algunas API de nube pública no son lo suficientemente completas y algunas capacidades no están abiertas, por lo que algunas ideas de administración de múltiples nubes no se pueden realizar en estas nubes.
Pero no necesitamos ser pesimistas, según Zheng Ge, este es en realidad un problema de madurez de la nube. Debido a que muchos desarrollos, operaciones y mantenimiento de la nube ahora dependen de las API, no se puede cambiar a voluntad. Será abierto y estandarizado en el futuro, lo que requiere un proceso maduro.
En el futuro, las funciones centrales de la plataforma de administración de múltiples nubes continuarán evolucionando, se integrarán más estrechamente con los sistemas de TI empresariales y se integrarán profundamente con los productos de red y seguridad.
En la era nativa de la nube, la seguridad "cambia a la izquierda", DevOps se convierte en DevSecOps
El concepto de nativos de la nube es muy popular ahora. Las estadísticas muestran que el 92% de las empresas se convertirán en nativos de la nube para 2021. Desde la infraestructura hasta el desarrollo de aplicaciones, la pila forma un marcado contraste entre los métodos tradicionales y los métodos más modernos basados en la nube, la mayoría de los cuales han alcanzado puntos de vista generales sobre modelos y prácticas exitosos: cultura DevOps, entrega continua y Arquitectura de microservicios.
Pero, ¿por qué no hemos reinventado la seguridad nativa de la nube? Ya sabes, lo que suele poner a las empresas en una situación difícil es que invierten demasiado en desarrollo y muy poco en seguridad.
En opinión de Zheng Zhen, debemos hacer un uso completo de las capacidades nativas de la nube para desarrollar capacidades de seguridad, como capacidades de análisis de big data, capacidades de virtualización de redes, instantáneas de servidores, copias de seguridad de almacenamiento, etc. Sin embargo, el uso de la nube nativa también conlleva algunos riesgos nuevos, como los riesgos de los contenedores.
Zheng Zhen dijo que habrá algunos cambios en los requisitos de seguridad en el futuro, es decir, el desarrollo, la operación y el mantenimiento se combinarán con la seguridad para lograr DevSecOps, que es un "cambio seguro a la izquierda".
Con respecto al "cambio de seguridad a la izquierda", Zhang Meibo, arquitecto jefe de ciberseguridad, Microsoft Enterprise Services Greater China, dijo una vez a CSDN: "El software tiene etapas de planificación, diseño, construcción, prueba e implementación, pero a menudo se encuentra en la etapa de implementación del software, evaluaremos Seguridad, que es muy mala. Ahora queremos considerar la seguridad desde el inicio de la planificación, el diseño, la construcción y las etapas ".
Cuando una empresa está experimentando una transformación estructural, la arquitectura de seguridad correspondiente también se transformará La seguridad es la base de cualquier tecnología. Por lo tanto, las empresas también deben incorporar la seguridad en el proceso de entrega continua, agilidad y velocidad, a fin de garantizar que la empresa no se meta en problemas debido a problemas de seguridad.
Conclusión
En el contexto de la era de los datos, no importa qué tipo de tecnología de vanguardia se utilice, eventualmente se reflejará en el proceso de recopilación, circulación y aplicación masiva de datos. Debido a que los límites de los datos son cada vez más difusos, las capacidades de seguridad deben implementar una protección más detallada en el extremo de la nube.
Y construir esta puerta de seguridad invisible, intangible y ubicua es una oportunidad y un desafío de la época.