2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“網(wǎng)安法”)正式開始實(shí)施�,而網(wǎng)絡(luò)又是云計(jì)算的重要組成部分。現(xiàn)如今��,云計(jì)算已經(jīng)深深的融入到了人們的生產(chǎn)與生活之中���,云安全的相關(guān)問題也越發(fā)受到大家的重視�����。用戶在云端的信息與數(shù)據(jù)安全如何進(jìn)行保障��?當(dāng)威脅發(fā)生后�,云廠商如何進(jìn)行處理?網(wǎng)安法在云安全中如何進(jìn)行體現(xiàn)���?為了對各大云計(jì)算廠商安全���、管理、運(yùn)維能力進(jìn)行了解����,至頂網(wǎng)計(jì)劃于2018年3-6月份間開展本次2018年度云安全技術(shù)橫向?qū)Ρ然顒?dòng)?��;顒?dòng)規(guī)劃如下:
一�����、對比目標(biāo)
在歷次新技術(shù)浪潮中��,往往會(huì)出現(xiàn)這樣的發(fā)展規(guī)律:當(dāng)傳統(tǒng)產(chǎn)品及服務(wù)與用戶應(yīng)用矛盾積累到一定程度之后����,催生出全新的、具有顛覆性的新理論����、新概念。隨著對新理論���、新概念的逐步完善����,進(jìn)而產(chǎn)生出全新的顛覆性的新產(chǎn)品���、新應(yīng)用�����。隨后人們又會(huì)對這些新產(chǎn)品、新應(yīng)用的質(zhì)量及性價(jià)比提出更高要求��。當(dāng)性價(jià)比達(dá)到平衡后又會(huì)要求有更好服務(wù)�����。而廠商也會(huì)在服務(wù)用戶的同時(shí)��,更進(jìn)一步的對產(chǎn)品、技術(shù)���、質(zhì)量����、服務(wù)進(jìn)行完善���,形成一個(gè)產(chǎn)品研發(fā)�����、生產(chǎn)���、服務(wù)的循環(huán),直到新的產(chǎn)品及服務(wù)與用戶應(yīng)用之間的矛盾再度積累到無法調(diào)和的程度之后����,又一個(gè)顛覆性的新理念將會(huì)再次出現(xiàn)……
當(dāng)前云計(jì)算技術(shù)的發(fā)展,也在遵循著這樣的規(guī)律進(jìn)行�,并且已經(jīng)基本度過了理論與概念的顛覆階段,正在向著新產(chǎn)品�、新應(yīng)用的方向前進(jìn)。云上的新應(yīng)用���、新功能(比如大數(shù)據(jù)分析以及人工智能等)正在不斷出現(xiàn)���,在極大方便用戶的同時(shí)���,云計(jì)算的安全問題也在逐步顯現(xiàn)。屢破紀(jì)錄的網(wǎng)絡(luò)攻擊流量����、物聯(lián)網(wǎng)安全威脅的出現(xiàn)、還有層出不窮的各類安全漏洞……由此可知云計(jì)算的安全問題�,也需要有顛覆性的技術(shù)才可以得到解決。
在兩年前我們也曾呼吁過網(wǎng)絡(luò)安全要由“防”向“查”的方向進(jìn)行轉(zhuǎn)變���。網(wǎng)安法的正式推出��,又為全新安全技術(shù)的出現(xiàn)提供了法律上的保障�����。那么云安全廠商為之提供出了什么有特色的新功能或產(chǎn)品呢?因此本次在“至頂網(wǎng)2018云安全橫向?qū)Ρ?rdquo;活動(dòng)中��,將對比目標(biāo)定位在各大云計(jì)算(云安全)廠商為用戶提供應(yīng)用安全功能之上��。將從“用戶登錄”、“ 用戶行為”�、“安全隔離”、“防攻擊”�、“防病毒”、“防泄漏”����、“監(jiān)測統(tǒng)計(jì)”、“管理控制”這八個(gè)應(yīng)用功能項(xiàng)上對廠商提供的安全功能進(jìn)行對比分析�����。
二����、對比項(xiàng)目介紹
用戶登錄
在新的云安全形式下,用戶登錄也不僅僅是對用戶身份的一個(gè)簡單的人機(jī)判定�,在不同應(yīng)用場景中,需要有不同安全級別的用戶登錄認(rèn)證方式��,來對用戶的真實(shí)身份進(jìn)行有效判定��,如此才能對用戶的個(gè)人信息����、網(wǎng)上財(cái)產(chǎn)進(jìn)行有效的防護(hù)��。
基于上述原因��,在本次云安全橫向?qū)Ρ戎?��,將首先對各大云廠商所提供的用戶認(rèn)證功能進(jìn)行功能性對比分析。
用戶行為
任何人都要對自己的行為負(fù)責(zé)�����,在互聯(lián)網(wǎng)乃至于“云”上也不應(yīng)例外���。云安全與傳統(tǒng)網(wǎng)絡(luò)安全的最大差異也應(yīng)當(dāng)是可以對用戶應(yīng)用行為進(jìn)行分析及監(jiān)督管理�。
因此在本次云安全橫向?qū)Ρ戎?,將重點(diǎn)對各大云廠商的用戶應(yīng)用行為分析能力進(jìn)行了解,并進(jìn)行對比分析�。
安全隔離
云計(jì)算不僅是互聯(lián)互通,在云上的海量用戶信息與數(shù)據(jù)還需要通過有效的安全隔離手段進(jìn)行保障�����。
因此本次對比活動(dòng)中���,同樣會(huì)對云計(jì)算系統(tǒng)在不同應(yīng)用時(shí)可以提供的安全隔離能力進(jìn)行了解��。
防攻擊
攻擊防御是網(wǎng)絡(luò)安全的一項(xiàng)老問題���,在云安全時(shí)代,廠商是否還是在被動(dòng)的對攻擊進(jìn)行防御���,是否具被攻擊溯源手段����,讓進(jìn)攻方發(fā)起一次攻擊就損失一批肉雞���,或存在攻擊方自身被反向定位的風(fēng)險(xiǎn)��,從而有效提向攻擊成本�����,是考核云安全廠商攻擊防護(hù)能力的最新要求���。
因此本次對比活動(dòng)中,防攻擊功能也不僅是對云安全廠商攻擊清洗能力的分析�,還需要對廠商攻擊溯源能力進(jìn)行了解。
防病毒(漏洞)
在前兩年的安全分析文章里曾經(jīng)提到過,網(wǎng)絡(luò)攻擊只是流氓般的打砸搶�����,影響惡劣但對用戶而言損失并不一定很大��。但是通過網(wǎng)絡(luò)漏洞傳播的網(wǎng)絡(luò)病毒��,往往會(huì)對用戶系統(tǒng)和數(shù)據(jù)起到破壞乃至于毀滅性的效果�����。
因此云安全廠商所提供的防病毒���、堵漏洞的及時(shí)響應(yīng)能力�,也會(huì)成為我們需要了解的方向���。
防泄漏
木馬病毒也好�,被收買的臨時(shí)工也罷����,用戶數(shù)據(jù)泄漏的風(fēng)險(xiǎn)時(shí)時(shí)存在。在“網(wǎng)安法”第四章��、第四十條中也有明確的規(guī)定“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度��。”同時(shí)也對網(wǎng)絡(luò)運(yùn)營者收集�、使用個(gè)人信息和保存?zhèn)€人信息有著明確的要求�。
如何防護(hù)用戶信息泄漏已經(jīng)提升到了法律的高度,因此云安全廠商的信息防泄漏能力也成為了我們關(guān)注的重點(diǎn)功能��。
監(jiān)測統(tǒng)計(jì) *
從PC機(jī)時(shí)代發(fā)展至今��,信息安全的單點(diǎn)監(jiān)控問題基本上已經(jīng)有比較妥善的解決方案��。但是云安全廠商對系統(tǒng)中海量用戶的監(jiān)測統(tǒng)計(jì)能力還值得我們?nèi)ド钊肓私庖幌?��,只有確保在整個(gè)云計(jì)算系統(tǒng)中不冤枉一個(gè)好用戶�����,也不漏掉一個(gè)惡意使用者���,才能真正保障云安全的存在。
管理控制 *
對用戶行為和網(wǎng)絡(luò)應(yīng)用的管理控制是云安全與傳統(tǒng)網(wǎng)絡(luò)安全的最大差異所在�����。云安全廠商提供了哪些管理控制能力,可以對多大規(guī)模的云計(jì)算網(wǎng)絡(luò)進(jìn)行管理和控制是更加需要深入了解的一個(gè)問題�。況且只有將安全與網(wǎng)絡(luò)運(yùn)營、管理����、維護(hù)合為一體,才可以使安全不會(huì)僅流于形式����,讓安全真正的融入到日常的管理運(yùn)維中去。因此云安全與云計(jì)算系統(tǒng)管理控制的結(jié)合是否緊密�,也將會(huì)成為云安全技術(shù)實(shí)用化的最實(shí)際的檢驗(yàn)。
*有鑒于監(jiān)測統(tǒng)計(jì)和管理控制的評估也許會(huì)需要云安全廠商提供更多的管理控制權(quán)限才可以進(jìn)行實(shí)施���。因此我們會(huì)在與參與橫向?qū)Ρ鹊膹S商進(jìn)行更進(jìn)一步溝通后�,再考慮如何對云安全的管理控制功能同樣進(jìn)行評估��。
三���、對比廠商
本次橫向?qū)Ρ然顒?dòng)��,可以說是去年至頂網(wǎng)進(jìn)行的公有云應(yīng)用性能橫向?qū)Ρ鹊囊粋€(gè)延伸��,因此在對云計(jì)算廠商選擇中����,也會(huì)優(yōu)先對目前主流的公有云廠商的云安全功能進(jìn)行對比分析。如果條件允許的情況下���,也可以酌情加入一些私有云廠商的安全功能進(jìn)行分析�。
希望通過本次對比�,可以對當(dāng)前廠商的云安全防護(hù)及管理能力有個(gè)較清晰的了解�����。也希望本次活動(dòng)可以獲得更多云計(jì)算廠商的參與和支持��。
會(huì)員中心
