云计算和大数据这对好基友,一个在服务商提供的私家密室中“一丝不挂”地畅游,另一个还没有留意到暗藏在云端树梢上监控头正注视着他的一举一动,此时此刻的他们正在面临着一个共同的敌人——数据安全。
——私家侦探的独白
这个敌人真是无处不在,尤其是在云时代,伴随着云服务、云产品的推陈出新,也带来了诸多安全隐患,那些不安分的爪牙就如同“窃贼”一般,潜入云端,无孔不入,挖掘有用信息,捣毁防护措施。而这也引起了安全厂商等一批“私家侦探”的注意。雷锋网雷锋网雷锋网
政府与企业云化转型的加速,让云安全产品和解决方案成为众多安全厂商聚焦的热点。为了更好地了解云时代的安全现状、解决方案,以及人工智能在云安全中探索出的更多可能性,雷锋网编辑就智能云时代的安全态势与志翔科技产品副总裁,联合创始人伍海桑博士聊了聊。
“软装修”的云时代不可忽视“零信任”
云计算推动着整个IT行业的变革,但其在全球范围的发展步伐却不尽相同。2014年,SaaS在美国的销售收入超过IaaS并就此一飞冲天,而中国云计算市场到今天仍处在IaaS阶段。相比于中国和欧洲,美国的发展显然比较迅速。
“打一个比方,我们还处在‘盖房子’的基础设施建设这一块,而美国已经是在做软装修、智能化和住人了。但现在国内从政策导向和企业实际业务发展走向来看,大家都认识到上云是一个不可逆转的趋势。”伍海桑说。
我国的云计算发展相对保守,一个重要原因是对安全的顾虑。目前全球前五的SaaS厂商并无中国本地企业,把数据交给云服务商当然会引来多方顾虑,安全与自主可控成为市场发展的最主要障碍之一。但云的趋势滚滚而来,拥抱机遇、迎接变革、加速布局云业务是政府和企业必然的选择。在伍海桑看来,未来国内云计算有两大发展趋势:
一、从基础建设走向高级应用。从云的应用类型方面来看,分为SaaS、PaaS、IaaS,软件即服务、平台即服务和基础设施即服务,参考国际市场趋势,国内的云市场未来一定会一步一步朝着SaaS方向发展,从“基础设施”走向“软装修”阶段。
二、云安全将会越来越重要。当企业将数据和业务放在云上,数据隐私、业务风险等等各类安全问题会以新的规模和新的形式不断出现。云安全会成为企业最为关注的问题之一。
“但我们不能让安全成为业务发展的障碍。业务向前,同时安全跟上,这样才能相互促进,良性和快速发展。”伍海桑表示。“从整个产业来看,大家都在往好的方向共同发力。”近几年,政府在政策法律、标准、管理和服务这四个方面持续发力,着力改变以往“重合规、轻保护”的状况,引导网络空间与网络通信安全产业的发展。企业越来越重视安全,加大在安全建设上的投入;同时,新的安全创业企业也不断涌现,用新的理念、技术和产品解决更大、更复杂的安全问题,这些都形成合力加速云计算发展。
“我们看好行业整体快速向前的趋势,所以我们会紧跟着企业业务发展的趋势与需求,作为我们安全技术和产品落地的重点方向。”伍海桑表示。
而具体到志翔科技云安全产品和技术的定位,伍海桑告诉雷锋网,云时代企业安全体系构建的核心是“零信任”,“零信任”这一理念也得到了业界的认可。
将零信任翻译成大白话和具体技术,并不是没有信任的意思,相反,应该直观理解为“你是谁,从哪里来,能干什么,最后做了什么,拿了什么,这些环节都安全可信”。具体到技术上,网络通信、云应用访问、业务数据、网络空间的各个环节,都应该安全可信,同时要发挥虚拟空间记录和分析的优势,做到安全和行为可视化,进一步维护好可信任的云空间。具体到应用上,志翔科技基于“零信任”从五个方面设计了其云安全产品至明探针系统:
一、网络的可信,包括网络访问可信和网络本身可信。
二、进程和应用可信,界定哪些程序可以做什么,并做约束管控以防越界。
三、数据的访问可信,即数据被规定只能被谁进行某种操作。
四、记录日志信息、审计记录并且分析行为。
五、可视化,让分析结果直观、安全、可视。
“这些词说起来简单,但最终要实现的是用最小的代价来实现最大的效果,用最小的消耗实现最多的功能,并且满足可扩展性,才能给客户创造更大价值,也让公司自身树立更高的竞争门槛。基于这个大的原则,产品的细节打磨也至关重要。”
这些细节体现在方方面面,比如在分析结果可视化中,展示哪些数据图表,能够给用户看到最关注的知识和情报;在分析上,如何选择数据、怎样分析,能够使情报结果更具准确性;在相同效果下,如何将产品做到轻量级,而系统占用少、效率高,用户无感知、体验好;在部署和管理中,如何做到简捷易用,做得起也要用得起;部署后,如何做到容易维护操作等等这些问题。技术推陈出新越来越快,5G正进入落地应用,又将进一步加剧安全的挑战,同时也将给安全技术和产业的发展带来新的趋势和更广阔的发展空间。网络基础设施升级和其新的接入特性带来云业务和安全业务量级几何级递增,并让云安全开始走向融合,一方面是安全形态本身纵向从物理到虚拟到云的融合,另一方面是技术上更多形态的延伸与融合。
保持敏锐,技术紧跟业务走
数据和业务上云,企业固有的安全边界被打破,不断外延和模糊化。在伍海桑看来,其实是“物理边界”在消失,但边界还是有的,而且变得与每一个用户的行为密切相关。对于一个企业而言,传统安全边界不外乎是物理隔离、防火墙、DMZ等这些概念,而在云上的边界,则是将安全措施和业务流程部署到云端后,利用云的方式让保护墙更加严固。这实际上是形和态的关系——形变而态存。
云的最大优势是灵活、弹性扩展、调度方便,因而微隔离、分布式防火墙,可视化等新的手段就可成为原生态的有效机制。原来固定终端、企业网端的隔离有很多办法,比如虚拟专网、虚拟局域网隔离、终端安全布点等,但是灵活性不高,成本不低,维护不易。在云端,虚拟化和云化实现了应用随需而用、随用而付,弹性扩展,安全也一样,可以适应云的需求,随需而起,保证业务灵活扩展同时安全可控。伍海桑说,这就是我们所说的让云端的安全业务保持敏锐,技术紧跟具体的需求走,跟着业务走。
伍海桑提到一个例子,“志翔在跟国内一个电力传输企业合作过程中,这个企业要将它的巡检业务放在云上,但是我们不可能有那么多工作人员去覆盖到全国电力传输基础设施的频繁巡检中,所以我们把这块外包给各地的第三方人员,在手机上安装APP,对基础设施拍照然后上传照片。其中存在一个问题就是这些手机的安全性,随之带来上传的照片和数据的可靠性。我们的解决办法就是从自己入手,不对第三方人员终端进行管控,而是聚焦巡检云自身,做到云上的严格可信,包括网络、网络接入、进程,以及引进的数据访问权限等。”
那么如何实现这些严格的把控呢?一个重点就是利用微隔离和分布式防火墙的技术。有数据进来的时候首先要清洗,然后检查,保证巡检云自身是安全的。安全机制很多时候就是这样一个基于权限的筛选和过滤过程,而过滤的准确性与业务的复杂程度有关。如果上传到云端的只是图片,那么这些图片会带上地理信息、基站信息、手机IMEI号、手机号等一些辅助的信息,原则上就是图片和其对应元信息(meta-info)。微隔离和分布式过滤基于最小权限原则,让过滤的效率和准确性非常高。
“所以我们总说,黑客、白客都从技术发展中受益。云计算让数据泄露等各种安全风险加剧和放大,但同时也让安全能力变得更强。”伍海桑介绍:
一、云带来海量数据的集中式部署,所以数据泄漏事件到了云里面,每一次都是大规模的,影响范围会变得特别大。
二、备份和加密是数据安全必不可少的环节。到了云上,云的高弹性、灵活性等特点,让备份更容易,提高了冗余性和安全性。同时,云里面的关键性技术之一是加密的提升,使得关键信息和关键流程加密成为标配。
三、成本更低。世界上没有绝对的安全,关键在于道与术的博弈,当破解和攻击的难度和成本大到让黑客不想玩,也就意味着安全了,基本上所有的加密算法都是基于这个原则。所以在成本界定之内,把信任机制建立起来,对最核心的内容进行加密,安全的门槛就能做到足够高。
人工智能是安全领域的一个“框”
云端的安全也离不开人工智能技术的应用。从传统IT到云计算,数据呈几何级增长,大数据的处理需要强大的计算能力和算法来支撑,靠单台机器甚至是服务器都很难搞定,只有在云里面才能承载这么大的处理能力。而人工智能(AI)在更多领域的落地应用,能让算法、算力和数据处理能力互相促进,快速优化迭代,实现更高效、更精准的分析,所以我们认为,人工智能技术与云计算的结合将大大推进云安全的能力。
抛开一些浮夸的形容词,可以说在安全领域,人工智能是一个“框”,很多东西都可以往里装。通过应用和实践并在算法分析和行为分析上不断加强安全的能力。目前人工智能已经开始在安全领域发挥作用。
伍海桑以志翔科技目前在做的一个电力行业项目为例来说明“框”里的一个典型例子。2010年,我国开始启用第一批智能电表,通过自动回传数据,解决了过去机械电表人工查表的低效问题。但智能电表因为外在环境和各种人为因素会发生故障,由于这些电表数量庞大,分布区域极广,难以定位,为避免计量误差带来的经济损失和用户投诉,质监局要求每八年对全国范围的智能电表统一更换。这种“一刀切”的解决办法对电力企业而言同样是极大的成本浪费。所以志翔科技和电力企业合作,采用大数据分析的方式来精准定位计量故障和失准,可以做到有针对性的更换问题电表。通过小范围的数据采集、过滤、分析以及验证,并不断优化算法,现在已经可以通过大数据来准确判断和找出失准表。在整个项目中,涉及到海量数据的采集、清洗、建立模型、比对、计算、复检等等环节,云计算和人工智能技术的应用就发挥了很大的作用,有效的取代了人工劳作,让效率更高、成本更低。
“用AI取代了繁琐的人工手检、复检等很多过程,这是一个典型用AI来指导IOT安全的案例。”伍海桑介绍,不仅在电力行业,AI和大数据还能应用于解决更多国计民生的实际问题。
在谈及大数据分析的应用是否会让用户有隐私安全顾虑时。伍海桑称,这其中并不涉及到用户的隐私。虽然计算模型的构建采用的是真实的用户行为数据,比如具体到这个电力的案例里,就是用户的历史和实时用电行为数据,利用这些行为数据来构建一个规律的安全基线,以此作为风险判断的基线(这些行为数据都是公开的数据,并非用户隐私和敏感信息)。
而落到某些行业,需要搜集一些用户数据来实现用户画像,服务商和安全厂商也都必须在合规条件下经过数据所有者(用户)、数据出版方等多方面的授权后使用。
“这中间当然会有一个界限。对于安全厂商来说,我们通过分析用户授权的行为数据,来锤炼算法和机制,用于保护用户的隐私。整个过程做到合规,就能打消用户的顾虑。当然,某些行业和企业的越界行为也时有发生,这个不需赘言。但这个生态系统,是靠日益完善的法规约束和行业企业的自律来共同维护的,作为安全企业我们一定会严格以身作则。”
在云计算和AI时代,很多问题是在这些新技术出现后产生的,以前没碰到过也无法界定,只有出现之后才能去具体制定措施,推动行业的发展。伍海桑表示,其实无论是人工智能还是云端安全, “饼”足够大才有未来,说明这个行业在蓬勃发展。对于志翔科技而言,只要能一直做到“人无我有,人有我优”,专注于目标领域深入挖掘业务切入点,并快速与行业对接,找到解决方案为客户创造价值,就能保持领先。
谈及接下来的市场发展规划,伍海桑分享道,未来一年,在电力行业,志翔科技将对智能电能表失准项目不断进行迭代和优化升级。在整个公司的产品和技术发展计划原则上,伍海桑总结为两个精准的词语——“敏捷”和“瀑布”。“敏捷”即快速适应市场变化,快速迭代;“瀑布”则是拥有清晰的视野和大方向规划,不随波逐流,抓准业务,一层一层向前走,用创新的技术和产品为企业数据化转型和云时代发展保驾护航。