作者:马超 中信银行 资深技术经理 阿里云 MVP
十年前,人们讲「互联网的一切源自于代码」,十年后的今天,人们发现云计算正在吞噬整个世界。在目前整个社会全面「云」化的大趋势下,云安全问题受到了人们广泛的关注。
最近,阿里的云栖大会和华为的全连接大会,都将焦点集中在了安全问题上;无论是云栖大会上,阿里安全团队的「云安全终将破题」,还是全连接大会上, 360 集团云安全研究院副院长魏小强的「新一代网络安全框架-连接云平台」主题演讲,均引起了业内的广泛共鸣。
近日,各类安全漏洞频发。先是永恒之黑漏洞,造成全球数百万台 PC 中招,随后 5 月,谷歌旗下 Project Zero 信息安全团队,公布了其在苹果公司的 Image I/O 中发现的一些 bug。Image I/O 库是被 iOS、MacOS、WatchOS 和 TVOS 所共有的多媒体库。因此,谷歌曝光的这一缺陷,几乎影响了苹果的每一个主要平台。
安全事件的频发充分说明了,平衡安全与效率二者之间的关系,对于大型云服务商,是一个不得不面对的难题。在亲历了云栖与全连接两场业内顶会之后,笔者发现身份认证和访问权限管理,已经成为云安全中不可或缺的一环,但目前华为云的 IAM 和阿里云的 IDaaS 产品都还没有很好的解决,而另一家初创企业 Authing 在云身份认证领域的表现却可圈可点。
上云要快,更要安全
自 2006 年「云计算」概念诞生以来,企业上云浪潮席卷全球。由于企业上云后可灵活使用资源,扩展灵活易管理的业务模式,提高资源配置效率,降低信息化建设成本。业界有说法是「系统上云后,硬件投入成本减少近 2/3」。
与此同时,网络安全事件也如幽灵般不断为人们敲响警钟。在 Verizon「2020 数据泄露调查报告」中,对 Web 应用程序的攻击占泄露总数的 43%,是 2019 年的两倍多,其中绝大部分有效攻击都与身份认证问题直接相关。
研究人员表示,由于企业把更多的工作流转移到云服务上,一旦黑客发现了云服务商的安全漏洞,那么其攻击范围与破坏程度较未上云时,将成倍的扩大。所以用户不仅要上云,更需选择安全的上云路径,这也对云厂商的安全能力提出更高的要求。
为应对日益高涨的云安全需求,2009 年,国际云安全联盟(CSA)成立,后来 CSA 发布的「云安全指南」成为云计算领域最权威的安全指南。目前的云安全技术领域,除了微软、亚马逊等传统云服务巨头以外,国内外还涌现出一批云安全的初创公司。
安全带来的价值
云安全技术愈发重要,基于云的身份认证也正在创造着巨大的价值。爱沙尼亚这个东欧波罗的海国家,凭借其信息科技发达的优势,被称作「波罗的海之虎」,成功跻身于高收入国家。其秘决就在于通过「云身份证」,使该国人气迅速增加。
2014 年 10 月爱沙尼亚宣布对全世界所有人开放「电子公民」身份证服务,这也是全世界首例电子公民项目,爱沙尼亚政府旨在将爱沙尼亚优质便捷的网络工商政务服务带给全世界人民,让全世界互联网创业者更加便捷,更加低成本地创业。
截止到目前,已经有超过 50 个国家的公民超 1000 万人申请了爱沙尼亚电子公民,这个数字还在不断上涨中。2015 年 5 月份,爱沙尼亚政府再出新政,无需申请人去爱沙尼亚大使馆申请,可全程网上办理,只需要在官网填写简单的信息,并用信用卡缴纳 50 欧元的申请费即可。
只要有了这个电子身份证,就算不在爱沙尼亚境内的外国人,通过互联网,就能享受爱沙尼亚的工商政务和银行服务。 比如说,你可以在网上分分钟注册一个正规的爱沙尼亚公司(营收税率为 0%),也可以在网上开设爱沙尼亚银行的账户,直接投资炒美股。这些服务对于这个时代的数字居民和互联网创业者来说,都是极为有用的。这也让人们惊呼,原来安全认证还能创造价值。
这样的奇迹也在我国发生,目前在我国云计算行业大幅发展的背后,企业上云还能享受到的一大好处就是基于硬件的数据安全能力。传统的数据安全产品大多基于软件实现的,而目前,阿里云、微软、IBM 三家都已经为客户提供了「可信执行环境」,这是一个基于处理器硬件保护的解决方案,通过软、硬件结合的方式防止数据运行时的泄露。
云厂商具备的计算资源、规模优势等先天条件,使其可以借助加密计算等多种前沿技术,来保证用户数据安全,增强企业上云的安全性。
基于这样的大背景,使云端身份认证等安全项目得以快速发展。也正如我们刚刚所讲,目前如何平衡安全与效率之间的关系,其实是摆在各大云服务商面前的难题。之前由于安全的限制,传统行业,尤其教育行业中的身份认证,效率往往比较低下,主要采用「用户名、口令」的方式来实现对用户的身份认证,各系统身份认证方式也全部采用传统的用户名、口令的鉴别方式。
「用户名、口令」的机制很容易由于用户安全意识不强的问题,而导致人为泄漏或者被别人猜测成功。比如我国的大学生,如果忘记了相关服务用户密码,往往需要提交工单,由出版社手工操作几天后才能找回,而且手机、微信、邮箱等渠道也没有打通,这也给广大学子们带来了诸多不便。
而 Authing 身份云在进入到教育领域后,这一切得到了明显改变。可能现在的大学生们对于查找课后答案,已经基本没有任何不适感了,只要绑定微信、手机号,用户的身份信息就不会再丢失。在提升安全指标的前提下,还能提高效率,这就是身份认证创造的价值。
IDaaS 云身份认证势不可挡
IDaaS 身份即服务,它是云计算时代的 IAM(身份识别和访问管理)服务,也可理解为 SaaS 化的 IAM。它提供了单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。而 IDaaS 相较于传统安全外挂式、成本贵的缺点,优势十分明显,纵观整个信息安全领域的发展形势IDAAS 等云原生安全方案逐渐兴起,主要是因为互联网安全遇到以下三大挑战:
成本高昂、重复造轮子
传统安全方案需要企业需要采购几十甚至上百个安全产品,才能初步建立企业安全体系,成本高昂不说,对于安全体系来说这也是一种重复建设的浪费。
传统安全模型是游离在 IT 体系之外的外挂式安全
企业在使用网络、存储、数据库等 IT 基础设施时,往往采购自不同的厂商,安全产品也有不同的品牌。于是只能在基础设施外部署相关的安全产品,做「外挂式的安全」。
如何能让安全产品与产品间、安全产品与基础设施间做更好地联动?这对于传统安全厂商来说,是个较大的挑战。
传统安全产品使用门槛较高
这让安全产品成了「奢侈品」。企业光购买安全产品没有用,必须还得有专门的安全人员来使用,才能真正发挥效果。于是线下安全厂商大多采用产品加服务的销售方式,由于无法构成相对联动的体系,需要企业招聘更多安全专业人员来专门运营,极大增加了成本。
在企业数字化转型的过程中,IT 基础设施和应用逐渐上云,安全也随之往云化发展。由于在云上,虚拟化环境、业务的流量更复杂,因此云防护的方式,将更加多元化、复杂化。云改变企业底层基础设施架构,传统安全架构不再适用于云上,云安全将重新定义企业的安全架构,而IDaaS 这种天然云原生的解决方案,可以直接与云计算框架融合,从而完美解决云安全领域中,效率与安全两者不可兼得的情况。
IDaaS 重新定义安全
根据 O'ReillyMedia 和 Dynatrace 的研究表示,预计到 2021 年,92% 的企业将实现云原生,而云原生安全,将是安全领域未来的发展方向。在企业数字化转型的过程中,基础设施技术架构将会随之云化,原来企业架构是简单的单点系统架构,而如今均发展为分布式架构,底座是基于云的底层技术。由于企业底层架构技术采用了云原生技术,架设底层架构之上的安全技术架构也必须随之云原生化,而 IDaaS 恰恰是云原生安全技术的典范。
基于 IDaaS 安全能力构建的下一代安全架构,可以实现云的基础设施与安全能力的打通,解决原来传统安全体系成本高昂的困境。同时, IDaaS 与 IT 基础设施的结合也更为紧密。紧耦合的原生安全,从而做到安全管理、安全风险的持续化监控,用一个控制台,实现对所有身份资产的全方面安全管理。
由于 IDaaS 可以天然与云平台的全网威胁情报联动,可以针对身份认证安全风险做全网的自动化响应,由传统的小时级降低到分钟级,大大降低安全事件给企业带来的损失。
放眼全球市场,全球顶级云厂商都在朝着统一化、云原生化的安全管理方向发展。如今云安全已逐渐成为行业共识,国内云厂商联动起来,共同打造云安全生态已成为未来行业的发展趋势。伴随新基建政策,全球数字化转型等趋势,5G、人工智能、云计算、大数据等技术的快速发展,各行业对 IDaaS 的需求必持续增长,相信 IDaaS 的未来大有可为。