云屏科技李旭陽:企業采用云服務后面臨的安全新挑戰
責編:mhshi |2017-06-15 15:32:53
隨著SaaS在全球的普及,以軟件為基礎的服務模式正在向云上遷移。2016年初,SaaS開始發展,我們相信國內的SaaS發展勢頭會越來越好。在2007年之后,全球基本上沒有一家純粹軟件公司的創投。大部分新項目的啟動都是跟云有關的。包括美國政府和微軟在內,大部分歐美企業都已經開始考慮“云優先”的策略。
目前,中國的SaaS處于初級發展階段,網絡安全行業面臨哪些新的挑戰?
傳統的軟件都是部署在企業內網,內網是由防火墻保護的企業網絡。在越來越成熟的防火墻保護機制的保護下,企業內網是相對安全的。當然,排除掉最近發生的勒索病毒。總體來說,防火墻起到了比較好的保護作用。當這些服務遷移到云上以后,從左邊到右邊,企業原來的服務是在內網,現代化越來越多的是在云上。現在企業員工可以在任何地方使用這些服務。原來在內網比較安全的防火墻保護機制下的數據,到了云上以后,安全的防護措施在哪里?我經常提的一句話,企業服務從內網到了云上,安全沒有完全跟上。
美國著名分析師的調查,企業未采用SaaS的首要原因是安全。McAfee2016年底的調查顯示,49%的回復者因缺少安全技能而延緩了云部署。安全成為阻撓SaaS發展的關鍵原因。
企業服務由內網遷移到外網以后,是不是要有一個類似于防火墻的保護機制?SaaS的云的防火墻,應該采取哪些保護措施,才能實現SaaS上的數據與內網數據獲得一樣的安全保障呢?
企業服務從內網遷移到外網,數據遷移到云上,它存在的安全隱患跟原來的內網有哪些不同點和共同點。所有的威脅無非來自于外部和內部。外部攻擊,首先是黑客無處不在,瞄準的是各種網絡。到了云上,黑客的攻擊只會更頻繁、更明顯。因為你的服務都暴露在所有人的面前。黑客就更容易找到攻擊目標;第二,原來的數據,自己買了服務器,買了各種各樣的安全軟件,在內網里使用,沒有第三方獲取你的數據。現在數據上云了,你的數據托管在平臺上,第三方平臺會不會泄露你的數據?
內部的原因。企業服務都在內網的時候,是在封閉的網絡運轉。現在使用了SaaS,企業的IT人員已經不知道各個部門都采購了什么。以前各個部門要安裝軟件,至少要IT人員幫你安裝,需要遵守入網的規則。現在各個部門都可以購買自己使用的軟件,自行安裝,并沒有經過IT部門。各種各樣的SaaS使用,已經失去了控制。以前你的數據在內網上,現在有各種各樣的數據流。我用我的手機到云盤上下載文件,存到手機,又通過微信傳給另外一個人,企業根本沒辦法阻斷。很多的服務和數據遷移到云上,數據流已經失去了防火墻保護的控制。還有設備丟失的情況。在企業內網的情況下,比較容易發現設備被盜的情況。
基于這樣一些新的內外威脅,云服務的防火墻應該具備哪些保護功能?外部的黑客入侵、平臺違規、人員違法,內部的惡意合法訪問、疏忽賬號濫用、意外遺失設備。以前的數據都在企業內部流轉,現在是哪些數據可以上云,哪些數據不能上云。這些都是企業所面臨的新挑戰。
對于這些安全隱患,應該采取哪些保護措施?對于外來的黑客入侵,需要系統的防護措施。原來只是保護企業的一個內網,現在要保護這么多的SaaS,系統安全保護的復雜程度會提高。針對平臺違規和人員違法,應該采取各種各樣的加密措施,你要提供SaaS服務,但不能讓第三方泄露企業數據。對于內部來說,應該進行各種各樣的行為分析,什么人、什么時間、使用什么樣的應用、從什么樣的設備、什么樣的網絡環境、有沒有異常行為。對于終端的保護,一個員工離職了,現在很多企業允許員工使用自己的電腦,也允許員工手機連接企業內網。員工離開公司的時候,怎么樣保證他已經清除掉公司的數據。這也是云屏科技為什么要做這些事情的原因。
基于我們自主創新的準備在申請中美專利的技術,可以保證用戶數據的生命周期。數據流到哪里,我們一清二楚,員工的設備里還有沒有企業的數據,可以讓企業管理人員一目了然的了解,而且可以一鍵清除、一鍵加密。
很多中國的SaaS都是放在阿里云和騰訊云上。阿里云的云盾能做什么、不能做什么。整個云的架構,從底層的云平臺,到中間和上層的SaaS、PaaS這些具體給用戶提供服務的服務提供商,再加上用戶的設備和數據,云盾在哪里?云盾做的事情是保證阿里云平臺運營的正常性,防止黑客攻破云平臺,防止DDos破壞SaaS的運行機制,就像一個社區,它要保證社區外圍的安全。進入小區以后,每一個不同的應用,怎么樣保證每一戶人家的安全呢?
云屏要做的是在云盾的底層保護的基礎上,我們加了真正給企業用戶解除SaaS使用擔憂的安全防護。云盾是在底層系統層保證平臺的穩定性。云屏要做的是保證企業數據在第三方平臺上使用的安全性、穩定性,以及不被泄露。
對于一些沒有系統保護的云平臺,可以使用云屏的系統保護。我們提供了世界頂級的防護措施。除此之外,更重要的是數據的加密。你的數據放在第三方平臺上,怎么樣解除你的擔憂。因為結構化和非結構化數據加密技術,可以保證繼續享受SaaS的便利,又不讓SaaS提供方看到任何關鍵數據;行為分析,當這么多的員工使用各種各樣的SaaS,怎么保證企業有一個統一的界面去進行監控、管理和跟蹤。我們采用了態勢感知和大數據分析方法,可以查知各種各樣的異常行為。終端管理是整個系統中的一部分,可以幫助企業監控到每一個員工在使用什么樣的SaaS。防數據泄露,可以監控數據的生命周期,這個數據到哪里去了、可以讓對方保留多長時間、是否可以轉發、是否可以打印。
我在美國工作了二十多年,2000年開始在硅谷創業。2011年,我開始創業,做了移動安全公司,百度手機衛士就是我的產品,2013年初被百度收購。2013年初加入百度,任百度的全球安全顧問。2015年5月份離開百度,開始啟動新的云屏項目。我們的目標是用硅谷的技術和理念,在中國創造出世界一流的網絡安全公司。
