從無序中尋找蹤迹,從眼前事探索未來。
正值 IT 黃金十年新開端, CSDN 欲以中立技術社群專業、客觀的角度,深度探讨中國前沿 IT 技術演進,現在推出年度重磅企劃——「拟合」,通過對話企業高管大咖,跟蹤報道企業前沿技術資訊,分享真知灼見,以點到面折射出中國 IT 技術最新動态,傳播技術影響力,幫助開發者與企業捋清思路,共創數字經濟新未來。
技術變革機遇和挑戰并存,當下安全漏洞、攻擊事故頻出,如何保障企業的資訊安全?
本期「拟合」将聚焦安全話題,追蹤行業安全知名企業,打響“隐秘的角落”安全之戰。
受訪者 | 張美波
記者 | 伍杏玲
出品 | AI科技大學營(ID:rgznai100)
提到網絡安全,不得不提到科技巨頭微軟。微軟除了作為全球第一大軟體廠商外,自身的業務橫跨多個不同的領域,建立作業系統平台、Office 生産力套件、企業資源管理及資料庫、軟體開發語言、平台及工具、網際網路服務、社交服務、人工智能、大資料分析等在内龐大的生态系統,同時也包含網絡安全。
作為雲廠商,微軟 Azure 平台在全球有 60+個已提供服務或正在建構的雲計算服務區域,向全球使用者提供數百種不同的雲計算服務。
如何確定如此龐大的業務安全和雲計算服務平台安全性,成為了微軟所面臨的巨大挑戰。是以微軟在安全領域“大手筆”投入:每年在網絡安全研發方面的投資超過 10 億美元,彙集全球超 3500 名安全專家。
與此同時,微軟過去一年在安全業務方面的收入超過 100 億美元、位居全球第一,超 90% 全球财富 500 強企業正在使用微軟提供的企業級安全産品與服務。2020 年5月,Gartner 釋出《SolutionComparison for the Native Security Capabilities 》報告,首次全面評估全球 TOP 雲廠商的整體安全能力,其中微軟 Azure 獲得全球雲廠商最多的 High 評分,位列第一。
微軟是如何做到的?對此,CSDN 專訪微軟顧問咨詢服務大中華區 Cybersecurity 首席架構師張美波先生,揭開微軟安全的技術密碼。
張美波認為“實踐是檢驗安全能力的唯一标準”。他雖然屬于架構師,但是喜歡深入企業客戶一線作戰,直面全球安全威脅。是以是不折不扣的“實戰型架構師”,人送外号“微軟中國安全的頭号打手”?。
企業上雲,四大安全痛點
去年微軟 CEO 薩提亞·納德拉曾表示,疫情下,數字技術比以往任何時候都更加重要,企業數字化轉型迫在眉睫。在兩個月内,我們見證了兩年才能實作的數字轉型進展。
擁抱雲計算是企業數字化轉型中的一個重要技術發展趨勢,但是在企業上雲的過程中也存在較多的安全痛點,張美波總結為以下四點:不信任雲計算服務提供商、難以厘清安全責任關系、面臨技術轉型的調整與壓力、以及難以實作有效的安全防護。
1、不信任雲計算服務提供商
- 對于企業使用者而言,以前的資料是放在自己的資料中心裡,無論安全控制措施做的好壞與否,自己可直接控制。但是如果使用雲計算服務,将資料放到公有雲後,那這些資料是否會被雲計算服務提供商通路或竊取?同時位于Internet 上的資料也為外部人員提供了通路途徑。這必然是重要的安全顧慮。
- 雲計算服務商存在系統故障和業務連續性的風險。由于雲計算服務商集中存儲資料、集中提供服務的原因,它的系統故障和業務連續性問題将導緻更大範圍的影響,例如 3 月 10 日,歐洲最大的雲服務和網絡托管服務營運商 OVH 位于法國斯特拉斯堡的一個資料中心發生火災,導緻約 360 萬網站出現故障,近 1.5 萬名使用者的資料受到影響。
- 監管合規問題。一些特定行業的企業存在特殊的監管要求,目前可能還不鼓勵甚至反對使用公有雲的雲計算業務。
談到這,張美波舉了一個例子“錢存銀行”:
為什麼我們能夠放心的把錢存到銀行呢?一是銀行滿足國家監管合規的要求,二是銀行具有完善的安全防護措施,包括實體防護措施、技術防護措施和安保人員等等,進而能夠讓我們充分的信任它。
映射到雲計算平台亦需如此。
2、難以厘清安全責任關系
這和技術轉型有關,也和技術轉型所帶來的思維轉型相關。
在雲計算服務模式下的安全責任劃分上,大家首先了解什麼是“共享責任模型”。由于雲計算服務的核心理念為“租用模式”,基于具體所使用的雲計算服務類型的不同,您所擁有的安全控制和能力也不同,負責的安全責任也不同。
我們必須清楚的意識到,使用者和雲計算服務商是合作關系。是以為了實作有效和高效的安全防護,使用者必須和雲計算服務商進行充分和緊密的合作。所有安全團隊甚至 IT 團隊必須學習和了解這種“共享責任模型”,以适應雲計算時代的新型安全技術和能力組合,進而避免無意中造成企業安全态勢的缺口或重疊,導緻出現安全風險或資源浪費。
3、面臨技術轉型的調整與壓力。
技術轉型是為企業數字化轉型而服務的,安全轉型也是為 IT 轉型而服務的。
從技術層面來看,大多數企業應用系統經過多年積累而建構,遷移到雲計算平台可能存在複雜的技術架構調整,同時在企業數字化轉型和業務轉型中也可能存在複雜的業務架構調整甚至發生颠覆性的重大變化,這将同樣導緻安全轉型層面所面臨的調整與壓力。
如何在此轉型過程中協調不同條線的利益關系,以企業數字化轉型需求為目标,圍繞業務生産力、可靠性和安全性等建立共同目标并制定安全戰略,擁抱雲計算、移動互聯、大資料和人工智能等新技術,進而實作較為平滑和完美的整體轉型,這對于企業而言是一個巨大的挑戰。
4、難以實作有效的安全防護。
和前面三個難題不同的是,這一點主要在于技術與人員方面。雲計算服務是 IT 世界針對傳統企業 IT 場景的一場變革,對于安全而言也是一場變革。技術的變革必然帶來使用場景的變革,以及所面對的安全風險的變革。在這個安全變革過程中,我們需要充分的認識到,我們不能完全使用傳統企業 IT 環境的安全風險去映射到雲計算的安全性,而是要重新整理自己的思維,必須從雲計算自身的技術架構和特性出發去評估潛在的安全風險。
但是這種變革往往是痛苦的,特别是在從傳統企業安全轉變到擁抱雲計算安全的變革初期。這時,安全團隊通常會沿用傳統的企業安全思維去保護雲計算服務和平台,便會遇到以下兩個問題:
- 現有安全團隊人員缺乏針對雲計算安全相關的知識和技能,進而缺乏對于雲計算服務相關的完善支援和防護能力,無法為企業有效的抵禦和防範網絡安全風險,進而無法對企業的業務轉型和數字化轉型提供有力的安全和決策支撐。
- 由于雲計算服務的技術變革,我們所面臨的安全架構也在進行變革。而傳統的企業網絡安全工具,往往缺乏針對雲計算服務和平台的有效或者高效支援,以及針對雲計算平台和服務的有效攻擊防範和威脅檢測,存在技術能力上的缺失。
是以張美波建議道,我們要充分認識到雲計算時代對于安全轉型的需求和要求,安全團隊需充分擁抱雲計算、大資料、機器學習和人工智能等先進技術所提供的安全技術和能力,才能更好應對各種先進的攻擊行為,實作有效的安全防護。
面對安全威脅,Azure 這樣迎戰!
微軟 CEO 薩提亞·納德拉曾表示:“安全是技術的第一優先級,企業和使用者隻會擁抱和使用他們所信任的技術,微軟承諾給客戶提供安全的雲計算服務”。
是以,微軟打造出下圖全面、可實踐并持續更新的整體安全參考架構,進而確定企業客戶雲計算環境、IT 環境和 OT/IoT 環境的安全性。
在近 10 年之前,微軟已提出可信雲四原則:安全性、隐私與管控、合規性和透明性,這诠釋了微軟雲計算服務的核心價值,并逐漸成為業界的事實标準和服務準則。
張美波表示,雖然我們談的是雲計算安全,但是從技術架構層面上來看,雲計算安全隻是一個整體性的名稱代詞而已。
因為雲計算本身的技術架構中包含了多個不同的産品元件,例如身份驗證、網絡、計算節點、存儲、應用和資料等,這些産品元件是緊密結合一起工作,使用者基于具體雲計算業務場景和使用功能的不同而具體使用。
是以我們需要看整體,更要看局部。不同的技術元件之間,從安全的角度來看,有內建耦合,也要考慮解耦合。開發者和企業需要評估在不同層次和不同元件之間的安全控制措施,基于和參考微軟“4S”安全原則(Secure by design, Secure by default, Secure in deployment and Secure in operation),和“假定被攻擊”、“層級隔離保護”、“零信任架構”等安全理念和安全架構,實作完善的縱深防禦和監測體系。
為了更好保護微軟雲計算服務的使用者、應用、服務和資料,基于雲計算的實際應用場景,結合微軟 Azure 雲計算平台的安全能力輸出,以及微軟對于雲計算安全的最佳實踐經驗,微軟特别制定了微軟的雲計算安全架構,針對不同的雲計算服務場景(SaaS、PaaS、IaaS和私有雲/On-premises環境)具有 9 個類别的、超過 102 種安全控制能力,進而完善地保護 Azure 雲計算相關應用、服務和資料的整體安全性:
三步打造雲安全防護體系
上述的雲計算安全架構較複雜,張美波具體舉例道:
在雲計算安全中,目前最常見的兩個安全風險均位于邊界部分。一是 Web 應用層面的漏洞,二是針對虛拟機管理界面(例如遠端桌面和SSH)的暴力破解。
當入侵者通過這兩個攻擊手段打開突破口之後,就可以充分的在租戶的雲計算環境中進行橫向移動、憑據竊取、權限提升和資料洩露等後續攻擊操作等,進而逐漸擴大攻擊的影響範圍,持續維持控制權、指令控制、監控和潛伏等。
面對這些威脅,開發者和企業該如何應對?
張美波分享了三點經驗:
首先,在雲計算服務體系下,安全責任是基于“共享責任模型”的。基于具體所使用的雲計算服務類型的不同,您所擁有的安全控制和能力也不同。
其次,可利用 Azure 平台相關的安全能力,基于自身的具體服務配置和需求,按照最佳安全實踐進行相關的安全加強和防範控制。針對上面這個例子,我們需要通過不同層次的安全控制能力實作縱深防禦安全防護體系,例如包括但不限于:
- 在網絡層面,是否需要對 Internet 開放管理界面的通路?是否可以通過 Just-in-time VM access 來實作按需請求的動态通路許可?是否限定隻允許從特定IP位址來源的通路?是部署 Azure Firewall 實作網絡層面的通路控制?還是通過Network Security Gateway來進行TCP/IP層面的通路控制?雲計算服務内部網絡是否實作微隔離和層級隔離保護?
- 在 Web 應用層面,是否部署了 Azure WAF 來實作針對 Web 應用層通路的安全控制?是否對 Web 應用代碼進行過安全掃描分析或者滲透測試?Web 應用的開發是否遵循 SDL 或者 DevSecOps 的安全标準規範?相關的 API 接口是否通過 Azure API Management 進行統一管理?
- 在資料和存儲方面,相關的密鑰和機密資料是否通過 Azure Key Valut 進行統一管控?資料的分層分級、通路控制和角色管理如何實作?資料存儲和傳輸的安全性如何保障?
- 在身份驗證與憑據層面,VM 相關的使用者身份驗證和通路控制如何實作?是否需要與其他身份驗證系統例如 Azure AD 或者活動目錄做內建?Web 應用相關的身份驗證技術、算法與憑據如何安全控制?是否采用多因素身份驗證方式或者強系統綁定?
- 在高可用性和業務連續性方面,整體的高可用性要求是什麼?需要采用什麼部署架構?資料的高可用性和備份如何實作?是否使用異地容災/多活等高可用性架構?
第三,張美波建議,開發者和企業與 Azure 平台合作,通過利用雲計算平台的安全監測和情報能力,加強針對安全攻擊的監測和響應,實作安全可視化、安全态勢感覺與主動防禦。如可內建 Azure 提供的安全态勢管理平台 Azure Security Center 和 SOC 平台 Azure Sentinel,它們均內建了微軟智能安全圖譜(Microsoft Security Graph)所提供的及時、強大的安全情報,進而實作完善的安全監測與主動防禦。
未來展望
最後,張美波打 call 道,微軟是全球超一流的網絡安全企業,也是全球網絡安全的基石。安全對于微軟而言不僅僅是為使用者提供的産品和服務,也是微軟的社會責任。是以微軟在技術認證、服務可用性上成績斐然:
1、在安全合規、隐私控制、透明性等上,微軟 Azure 平台在全球 50 多個國家及地區擁有超過 90 項的安全控制、安全合規、資料保護和隐私控制認證(如 ISO 27001、ISO 27018、SOC1、SOC 2、SOC3、FedRAMP、HITRUST、MTCS、IRAP 和 ENS等),這是全球雲計算服務平台中最多的。除此之外,微軟 Azure 平台還擁有超過 35 種的全球特定行業的安全合規和認證要求,包括健康、政府、金融、教育、制造和媒體等行業。
2、在高可用性上,基于具體服務、所在區域的不同,Azure 承諾最高達99.99% 的服務可用性,寫入到服務級别協定中。Azure 資料存儲達到業界最高的備份數量名額,可確定安全、可靠、靈活、高效的雲服務。
3、在雲計算平台的安全技術/安全控制能力上,如上文提到,在 2020 年Gartner《Solution Comparison for the Native Security Capabilities 》報告上,微軟 Azure 的安全技術能力評分高居全球雲廠商的榜首。
展望未來,張美波相信微軟會持續地加強與全球政府機構的合作、上司全球網絡行業合作,持續在安全研發方面投入巨資,通過内建的、原生的智能、內建的安全體系和産品技術,守護全球企業與個人使用者網絡安全,護航企業數字化轉型。
更多資料:https://azure.microsoft.com/zh-cn/overview/security/
嘉賓簡介:
張美波先生現任微軟顧問咨詢服務大中華區Cybersecurity首席架構師,具有微軟大師、CISSP、CCSP和PMP等行業相關認證。他主要負責微軟網絡安全服務業務在中國的戰略規劃、技術實施和項目執行,并負責多個全球 500 強客戶的微軟企業服務的技術規劃、服務實施和項目管理。他是微軟全球企業服務體系級别最高的技術專家之一,曾參與過全球最大活動目錄環境的全球優化項目,負責其亞太區的部分;他還是全球最大 Exchange 伺服器企業部署環境的架構師,并在多個具有全球排名前列的 Top 超大規模企業環境客戶擔任微軟方的安全架構師和“紅軍/藍軍”顧問,負責相關的安全架構體系規劃設計部署、 APT 攻擊相關防範、安全營運及安全響應等。
除此之外,張美波先生還擔任(ISC)² 西南分會的會長一職。(ISC)² 西南分會是全球最大的網絡安全/資訊安全領域認證機構、非營利組織 (ISC)² 在中國大陸西南本地的官方分會,主要覆寫四川、重慶、雲南和貴州等西南區域,會員均為網絡安全/資訊安全領域相關的專業人士。