2016年如何应对云安全风险?京东这些方法可以借鉴
自谷歌2006年率先提出“云计算”概念以来,云计算在飞速发展。近年来,国内随着政府及公司的持续高速增长和大力推动,云服务迎来信息技术发展的新一级增长模式。当云计算加速推动变革,越来越多的业务也开始在云端开展,更多的应用、更多的数据被部署在云端,云计算面临的安全问题也随之更严峻。
基于漏洞、病毒、未知威胁的攻击逐渐频繁且智能化,根据之前云安全联盟(CSA)的报告指出,云服务天生就能使用户绕过公司范围内的安全策略,建立起自己的影子IT项目服务账户。面临种种情况,新的安全控制策略必须被引入,加促云安全成为企业防护的重中之重。
打造完整生态圈
当云安全做为下一阶段“云”分支的爆发点和各个巨头互联网公司下一阶段的投资主线时,如何将资源整合,共谋技术发展,打造生态圈或许是一个新的趋势。
国内的云计算服务商,阿里面向开发者推出了阿里聚安全,为开发者提供互联网安全解决方案,并收购了号称“中国火眼”的瀚海源;腾讯云率先拉拢赛门铁克、绿盟、北信源等安全厂商发起了云安全产业联盟;华为安全也在全球大量流量清洗中心合作,成立云清联盟,采取近源清洗的方式,有效抵抗DDOS攻击。
事实上,安全领域的收购与结盟正变得愈加频繁,英特尔收购迈克菲更是成就了信息安全史上最大的收购案。与此同时,外众多大型IT公司也在向云计算转型,IBM、微软等都在不遗余力地发展其云计算,他们所收购的对象也逐渐从传统厂商变成了安全厂商。
不难发现,构筑一个强大的生态联盟成为众多厂商都在致力的事情。京东作为一家受益于云计算,依靠云计算信息去支撑系统,利用数据引导电商精细化运作的零售企业,对于云安全生态圈这个趋势也有着自己独到的看法。
“云安全不是靠单一某一企业就能全部完成,云安全需要有云服务供应商、安全合作伙伴与用户的共同打造。”因此,京东云希望通过构建云服务安全生态与云服务安全大数据共享平台来提升整个中国云计算安全服务能力,让京东云的安全合作伙伴从单一安全产品功能和性能的比拼升级到云计算安全数据运营能力竞争,从业务角度洞悉安全问题,做到全面覆盖、合作共赢。
随着更多的企业通过聚合第三方安全厂商,为企业提供一站式的安全服务平台,去构建融合、开放、安全、共赢的云安全生态圈,云安全的生态圈发展进步指日可待。
打破发展困境
当各主流厂商云安全事故频频发,给人们再次敲响警钟。云计算行业的发展困境和瓶颈究竟在哪?业界有人谈到,技术框架还是性能等新功能都可以复制,唯独安全不可以。当越来越多的服务商将精力放在性能提升、架构等技术创新时,切不可忘了安全的保障,不谈安全一切都是浮云。
面对各厂商资源共享、抱团取暖、协同作战的必然趋势,京东指出,不开放、不透明仍让是云安全所面临的发展困境。
在共同合作的过程中,京东认为一定要对安全合作伙伴需要开放。单个企业必定解决不了所有的问题,云安全的发展离不开整个信息安全产业的支持。封闭的云平台,不能真正实现安全大数据的共享,就不能有效发挥信息安全产业各厂商的整体能力。与其他友商一样,京东云将以开放的姿态欢迎各信息安全厂商合作共建云安全。
目前,越来越多的企业选择将他们的业务迁移到云端,但仍有一大部分企业很难相信云服务提供商能够保护公司最敏感的数据,而对于对安全级别要求较高的公司而言,数据在不知情的情况下发生泄漏是非常危险的事情。这其中很大一部分的原因就是因为云服务提供商的保护措施不够透明。
京东认为,客户对于云安全的疑虑,一个重要的原因是客户不信任云服务供应商,未来京东云安全的一个重点就是对客户透明,让客户了解京东云的安全风险控制技术措施,运维流程和管理方式,并针对重点客户开放安全数据接口,提供用户审计API,让客户真正了解京东云,信任京东云安全运营保障能力,让用户能真切感受的云服务供应商的运维操作合规性与安全保障工作的到位情况。
基于大数据的安全分析
在RSA2014安全大会上,RedOwl Analytics获得了“最具创新力公司”大奖,该公司主要是以基于大数据分析和调查的新思路,提供主动智能安全分析解决方案以减少企业的业务风险。
基于大数据的安全分析技术,通过搜集来自多种数据源的信息安全数据,深入分析挖掘有价值的信息,对未知安全威胁能做到提前响应,降低风险,实现最佳的安全防护。作为安全领域的一种发展趋势,老牌的安全厂商如果还抱着陈旧的思路和产品技术,满足于修修补补而不是预先防范,或许会在技术变革中败下阵来。
安全数据的数量、速度、种类的迅速膨胀,不仅带来了海量异构数据的融合、存储和管理的问题,也会颠覆传统的安全分析方法。京东认为大数据精准分析是未来的趋势,要从业务层深入分析安全入侵行为,更加有效的防范APT攻击。京东具有最佳的业务数据分析实践能力,结合信息安全行业特点,与第三方安全合作伙伴打造云平台上的安全大数据分享平台,包括安全运营数据的分享、与安全大数据分析平台的共享,目标是实现智能化的安全大数据分析,和业务层面的用户安全态势感知。
此外,保障云平台的安全,京东也是从最底层的基础架构安全性入手,结合京东云大数据处理的能力,以及业界最优秀的第三方安全厂商打造完整的生态圈,实现从云平台、网络、系统、数据和应用系统安全的全面覆盖。
应对云安全威胁
现下云数据泄露似乎都快成为一种常态,隔三差五就曝出重大泄漏事故,而云服务商监守自盗,读取、利用数据又让人防不胜防,各种安全事件让用户对云是又爱又恨。2016年,云计算到底面临哪些安全风险?近日,云安全联盟列出了2016年“十二大云安全威胁”,包括包括数据泄密、凭据或身份验证遭到攻击或破坏、接口和API被黑客攻击、利用系统漏洞等、账户被劫持等。
相信各大厂商对于此都有自己的应对方法,当然京东对此也非常关注,在安全能力规划和产品设计上都有相应部署。例如,针对数据泄密,京东数据云会提供业界领先的数据匿名和变形加密技术,真正从数据层面实现对客户敏感数据的保护;针对凭证被盗和身份验证如同虚设的问题,京东云不仅可以实现异地登录通知和验证,还支持SSH证书登录方式(无密码验证登录),彻底解决弱密码问题;有关界面和API被黑问题,京东云对外开放的API都经具有丰富互联网安全实战经验的京东集团安全部的严格审核,任何对外开放的API存在安全性问题,京东安全部都有一票否决权。
由上述种种发现,云计算实际上已经打破了传统的信息安全保障体系设计、实现方法和运维管理体系,当今的网络安全变得越发无界,难以防护;同时,云计算的按需调配、资源弹性等特性,也会给安全措施的改进升级、安全运维管理带来问题和挑战。
2016年,企业面临的安全问题将更加严峻,一些都在不断推动安全服务内容、实现机制的创新和发展。如何应对云计算带来的安全风险?
加大与第三方优秀安全厂商的合作力度,打造完整生态圈;从底层基础架构入手,结合大数据处理能力,实现云平台、网络、系统、数据和应用系统安全的全面覆盖;时时保持对云计算安全风险的敏锐关注,进一步清晰云安全相关的安全技术服务内容和范围,并根据相关风险做出针对性策略部署。京东与各大厂商的这些做法,或许能成为2016年值得借鉴的方法。
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码
