近年來，隨著云服務市場的發(fā)展，不少企業(yè)都開始選擇業(yè)務上云。特別是新冠疫情在全球蔓延加快了這一趨勢。許多企業(yè)不只采用一種云服務，而是采用多種云相互結合的方式，例如，公有云、私有云、混合云等等。企業(yè)采用多云方式已發(fā)展成當今的主流趨勢。

　　然而，業(yè)務上云之后也并非高枕無憂。由于云安全策略的制定總是滯后于云服務的使用，存儲在云中的客戶數(shù)據(jù)所面臨的泄露風險也相應增加。此外，云服務還面臨多賬號權限管理、可視化問題以及一系列合規(guī)問題。如何在復雜的云環(huán)境中守護云安全成為一個棘手的問題。

　　由于新冠疫情的蔓延，加速以云服務為中心的數(shù)字化轉型

　　由于新型冠狀病毒的全球蔓延，非接觸的數(shù)字化服務已經(jīng)在我們的生活中生根發(fā)芽。遠程辦公已成為一種普遍的工作環(huán)境，在線服務也成為企業(yè)和消費者之間具有代表性的服務方式之一。企業(yè)也順應這一趨勢，為保持業(yè)務連續(xù)性，正在使用云服務來靈活應對快速變化的業(yè)務環(huán)境。通過云服務，企業(yè)可以即時使用自己所需要的基礎設施、平臺、軟件等，并根據(jù)需要擴展各種功能和性能等，以滿足快速變化的業(yè)務需求。只要有可以使用互聯(lián)網(wǎng)的場所和設備，企業(yè)員工就可以隨時通過云服務進行業(yè)務工作。

　　現(xiàn)如今云服務的形式和類型多種多樣。例如，存儲文件的云存儲（谷歌驅動器、N驅動器等）、定制型辦公軟件或企業(yè)集團軟件服務（谷歌G Suite、微軟365、Gabia Hiworks等）都是一種SaaS（軟件即服務）。無論是租賃服務器或存儲設備等基礎設施來構筑網(wǎng)站或企業(yè)用服務器基礎設施，還是企業(yè)為業(yè)務工作向職員提供的桌面虛擬化（VM軟件、Citrix等），都是以云服務為基礎，遠程向用戶個人提供一定桌面環(huán)境的“IaaS（基礎設施即服務）”方式之一。例如，當前對我們來說必不可少的疫苗接種預約系統(tǒng)就是通過云服務來減少系統(tǒng)負荷、有效提高工作效率的典型案例。像這樣，今天我們在不知不覺中正在使用多種云服務。

　　選擇使用云的企業(yè)的一個共同的目標是最大限度地提高效率。企業(yè)試圖通過基礎設施階段的靈活處置，努力尋找優(yōu)化自身服務和提高工作效率的方法。服務環(huán)境不是基于本地原有的應用程序，而是基于云服務的應用方式，開發(fā)最適合云服務的“云原生”應用程序，最大限度地發(fā)揮容器和無服務器等云環(huán)境的特點。

　　針對云服務的安全威脅正在迅速增加

　　隨著企業(yè)數(shù)據(jù)中心向云環(huán)境的正式轉換，對云基礎設施提出了各樣復雜的安全要求。那么，云端發(fā)生的安全事故應該由誰來承擔責任呢？根據(jù)云運營商的責任共擔模式（Shared Responsibility），計算、存儲、數(shù)據(jù)庫和互聯(lián)網(wǎng)等硬件及基礎設施的安全由云運營商負責，數(shù)據(jù)、應用程序、操作系統(tǒng)、網(wǎng)絡及防火墻設置等的安全由客戶負責。換句話說，在組織成員缺乏安全意識的情況下，倉促引進云服務，很容易受到信息泄露或勒索軟件攻擊等各種安全事故的影響。云端發(fā)生的大多數(shù)安全事故不是來自云服務提供商，而是來自使用云服務的企業(yè)本身管理不善。如果訪問云服務的憑據(jù)沒有得到妥善管理，網(wǎng)絡攻擊者不僅可以訪問和泄露企業(yè)的重要數(shù)據(jù)，還可以通過竊取管理者權限向整個系統(tǒng)移動，并展開勒索軟件攻擊。

　　實際上，憑據(jù)竊取引發(fā)的安全事件是針對云服務的代表性威脅，攻擊者為此使用網(wǎng)絡釣魚（Phishing）、憑據(jù)填充（Credential Stuffing）、暴力破解（Brute Force）、字典攻擊（Dictionary Atttack）等多種手段竊取憑據(jù)。此外，安全設置不足也是常見的云安全事件。有通過云計算運營的企業(yè)數(shù)據(jù)庫在公開的路徑上發(fā)布后暴露給外部的事例，也有未應用MFA（多要素認證）等訪問控制策略，從而導致來自內部和外部的未授權擅自訪問的情況。說得簡單點，如果把門鎖密碼設定為1234，就很容易被盜。

　　據(jù)韓國《安全新聞》和《安全世界》近期進行問卷調查結果顯示，在受訪企業(yè)中，79.51% 的韓國企業(yè)已經(jīng)使用了云服務（46.46%）或計劃在未來使用云服務（33.07%）。但同時他們也表明了對數(shù)據(jù)泄露、管理疏漏、運營能力不足等安全方面的擔憂。

　　加強云環(huán)境安全的首選——CWPP（云工作負載保護平臺）

　　由于“云安全”的概念所涉范圍非常廣，目前比較流行的是Gartner公司提出三類云安全產(chǎn)品——CASB（Cloud Access Security Brocker，云訪問安全代理）、CSPM（Cloud Security Posture Management，云安全態(tài)勢管理）和CWPP（Cloud Workload Protection Platform，云工作負載保護平臺）。

　　CASB是Gartner公司在2012年提出的概念，是一種部署在云端和用戶之間以監(jiān)視所有活動并應用安全策略的解決方案。確保云和應用程序的可視性，實現(xiàn)數(shù)據(jù)保護及支配結構來控制用戶訪問，同時保護企業(yè)數(shù)據(jù)資產(chǎn)。

　　CSPM是一種評估及管理云服務配置風險因素的解決方案，能夠自動識別錯誤的安全配置或合規(guī)性問題并進行警告。Gartner將CSPM描述為一種自動化安全并確保合規(guī)性的安全產(chǎn)品。通過這些可以減少數(shù)據(jù)泄露的可能性，保護云環(huán)境。

　　CWPP是一種以服務器工作負載為中心的安全解決方案，其主要目的是確保對工作負載的可視性并防止攻擊。根據(jù)Gartner的說法，CWPP應對物理計算機、虛擬機器、容器、無服務器工作負載等提供統(tǒng)一的控制和可視化服務。此外，它還應該能夠通過保護系統(tǒng)完整性、細化訪問區(qū)域的網(wǎng)絡分段、保護內存、監(jiān)控用戶行為、防止基于主機入侵和阻止惡意軟件等，保護工作負載免受在程序運行區(qū)域發(fā)生的攻擊。

　　一般來說，傳統(tǒng)環(huán)境下使用的技術很難完全應用于云環(huán)境中。在傳統(tǒng)和封閉的企業(yè)環(huán)境下開發(fā)的應用程序及基礎設施無法完全轉移到云端。此外，大部分人不僅使用私人云，還使用多云或混合云環(huán)境，該環(huán)境使用來自多個供應商的云服務。在這種多云環(huán)境下，安全負責人確認和管理組織應用程序和數(shù)據(jù)所在的位置將會變得更加復雜。尤其是最近，越來越多的公司開始采用DevOps文化，通過開發(fā)和運營組織之間的有機協(xié)作來快速解決問題。在這種企業(yè)文化中，軟件和服務的開發(fā)和部署速度比過去更快，安全人員需要管理的點也更多。

　　為了在這樣的環(huán)境中使用企業(yè)服務，必須確保對工作負載保持統(tǒng)一的可視化。為此，應將應用軟件和服務放在安全計劃中心。CWPP支持在日益復雜的云環(huán)境下，在單一控制臺中確保對多個云服務的可視化，并可進行安全控制管理。這完全符合企業(yè)對云環(huán)境安全的需要。

　　全面的 CWPP 解決方案使安全人員能夠發(fā)現(xiàn)部署在私有云和公有云環(huán)境中的工作負載，并對工作負載進行漏洞評估。根據(jù)漏洞評估結果，不僅可以進行完整性保護、白名單、內存保護以及防止基于主機的入侵等安全措施，還可以根據(jù)需要進行勒索軟件檢測。隨著環(huán)境的變化，越來越多的企業(yè)從CWPP入手，它已成為云環(huán)境安全的基礎。

　　Gartner定義的CWPP解決方案的8大主要功能：

　　1、加固、配置和漏洞管理（Hardening, Configuration and Vulnerability Management）：主要以工作負載環(huán)境的系統(tǒng)配置和漏洞分析功能的形式提供，檢查并管理當前工作負載正在使用的應用、操作系統(tǒng)環(huán)境的漏洞。

　　2、網(wǎng)絡防火墻、確?？梢暬拔⒎侄危∟etwork Firewalling, Visibility and Micro segmentation）：提供基于工作負載的防火墻功能，以保護每個工作負載免受外部侵害。

　　3、保障系統(tǒng)完整性（System Integrity Assurance）：檢查工作負載中每個指定環(huán)境設置的完整性或實時監(jiān)控系統(tǒng)文件、配置和權限的完整性。

　　4、應用控制/白名單（Application Control/Whitelisting）：通過控制應用程序運行來增強安全性，通常基于白名單來控制應用程序的運行。

　　5、預防漏洞利用/內存保護（Exploit Prevention/Memory Protection）：防范操作系統(tǒng)及可執(zhí)行應用漏洞，保護服務器工作負載免受惡意代碼驅動內存等文件攻擊等。

　　6、服務器工作負載端點檢測與響應（EDR）、行為監(jiān)控和威脅檢測與響應（Server Workload EDR, Behavioral Monitoring and Threat Detection/Response）：通過監(jiān)控網(wǎng)絡通信、進程啟動等檢測并應對可疑行為。通過基于主機的代理方式檢測或以云服務運營商提供的網(wǎng)絡數(shù)據(jù)等信息為基礎進行檢測和應對。

　　7、基于主機的入侵檢測系統(tǒng)（Host-Based IPS With Vulnerability Shielding）：通過分析流入工作負載環(huán)境的網(wǎng)絡流量來檢測并阻止攻擊，并通過運行基于主機的操作來保護服務器免受虛擬環(huán)境和容器環(huán)境下發(fā)生的網(wǎng)絡攻擊及各種漏洞攻擊。

　　8、反惡意軟件掃描（Anti-malware Scanning）：基于簽名，檢測和阻止惡意軟件并滿足相關合規(guī)要求。

　　Gartner公司簡介

　　Gartner（高德納，又稱為顧能公司，NYSE: IT and ITB）公司是全球最具權威的IT研究與顧問咨詢公司，成立于1979年，總部設在美國康涅狄克州斯坦福+。其研究范圍覆蓋全部IT產(chǎn)業(yè)，就IT的研究、發(fā)展、評估、應用、市場等領域，為客戶提供客觀、公正的論證報告及市場調研報告，協(xié)助客戶進行市場分析、技術選擇、項目論證、投資決策。為決策者在投資風險和管理、營銷策略、發(fā)展方向等重大問題上提供重要咨詢建議，幫助決策者做出正確抉擇。

　　在全球的IT產(chǎn)業(yè)中，Gartner公司以其公認的權威性和擁有包括供應商、生產(chǎn)廠商、系統(tǒng)集成商、咨詢公司、銀行、金融機構、能源交通、政府部門及其它領域等超過11,000個客戶機構而獨占鰲頭。其公司客戶幾乎囊括了絕大部分世界級大公司。