天融信张朝潞:私有云数据安全建设的变革与能力重构
日期:2022年03月22日 阅:118
访谈嘉宾:张朝潞
记者:张安媛
分析师:徐晓丽
数据已经成为和水、电一样同等重要的战略物资,是现代企业的核心资产和数字化转型发展的基础性资源。随着云计算应用的发展,技术的创新改变了数据的生产和使用形态,也暴露出更多新型数据安全风险和潜在威胁。
当企业将业务放到云端以后,安全团队需要从技术和业务结合的视角,准确认知私有云数据安全建设需求与挑战,并严格遵守国家相关法律法规政策的管理要求,重新审视云安全防护的构建原则,对云上数据安全进行全面的、体系化的治理与保护。
本期牛人访谈,我们邀请到了天融信科技集团云计算产品研发负责人张朝潞,从他和天融信数据安全团队的防护实践中,探寻私有云环境下,企业数据安全保护的变革、挑战与发展。
张朝潞
天融信科技集团云计算产品研发负责人。拥有丰富的软件开发设计经验,并热衷于多种开源技术的研究。近年来专注于云计算相关领域的研发,已公开云计算方向的发明专利三十余项。
安全牛:保障数据资产安全已经成为行业普遍共识,也是企业数字化发展的基础性要求之一。但是我们看到,目前我国企业的数据安全问题仍然严峻,数据安全事件频繁发生,作为从事多年一线数据安全工作的专家,您认为目前我国企业的数据安全能力建设成熟度整体上处于什么状态或水平?
张朝潞:我们可以从技术、服务和市场发展三个角度来评价数据安全能力建设的成熟度水平:
从产品/技术的角度来看,在基础类数据安全产品方面,如日志审计、数据库审计、数据脱敏,数据防泄漏等都已十分成熟,在各行各业都有广泛应用。而平台级数据安全产品,如数据资产管理、数据分类分级还处于快速发展阶段,没有形成相对统一标准,产品功能各异。创新型数据安全产品,如数据水印、数据溯源、隐私计算处于萌芽阶段,目前行业中成熟落地应用的方案还很少。
从咨询/服务的角度来看,目前的数据安全咨询/服务范围主要包括数据安全合规评估、数据安全治理咨询、数据资产梳理这几个方向,由于数据安全咨询服务偏向于行业化,对于人员的要求高,且国家、行业的相关参照标准、规范较少,导致未形成成熟的数据安全咨询/服务体系,随着法律法规的相继出台,这一领域还有较大的市场空间。
从市场/行业角度来看,数据安全政策合规要求已经进入到各个行业细化落实阶段,这无疑将加快数据安全需求释放,催生出更多行业化的数据安全产品和解决方案,数据安全市场发展将很快进入需求快速爆发的阶段。
安全牛:企业上云已然成为趋势,在企业上云后,安全担忧也随之而来。您认为现有的安全技术手段能否让企业放置在云端的数据资产得到完善的防护?特别是在目前实际应用较多的私有云环境中,数据安全保护应如何开展?
张朝潞:随着云计算与大数据的发展,越来越多数据迁移到云端,新技术的应用改变了数据的使用形态,所以在云上讨论“数据安全”,就不仅要讨论如何对单点数据进行防护,而要根据目前政策的要求以及科技的发展,在“可靠、可信、合规”三大原则的前提下建设安全的云计算环境,从底部处理层的可信计算,到传输的链路加密,再到平台层的安全应用,也就是全面覆盖平台层面、连接层面和处理层面的安全,以顶层设计统筹管理云上数据资产,让数据持续发挥其应有的价值。
根据天融信的应用实践,我们认为企业在进行私有云数据安全能力建设时,应重点关注以下原则:
首先,要遵循对私有云数据全生命周期的统一监管原则,数据作为私有云数据安全建设的核心,其全生命周期包括采集、存储、处理、应用、流动、销毁等过程,在进行安全防护建设时不能仅关注于某一个环节。
其次,私有云数据安全防护要与云平台相融合,以云平台为基石,满足数据在全生命周期监管中的三大需求,具体包括:
1)对于完备数据存储的需求(能够实现副本//纠删码、快照、备份、CDP、容灾等功能);
2)对网络环境的安全需求(通过链路加密、访问控制、数据防泄漏、访问审核与认证等形式保证数据存储环境的安全性);
3)对可信计算环境的需求(通过硬件加密、SGX加密卡等手段,保证数据在运行和计算过程中的安全计算环境)。
最后,私有云数据安全防护要满足合规要求,要以《数据安全法》、《个人信息保护法》等法律法规为依据,以法律法规为衡量标准实现数据的安全防护,满足我国法律法规要求,在必要时配合国家有关部门的依法审查。
安全牛:在这些建设原则的基础上,企业在实际开展私有云上数据防护工作中,有哪些需要重点关注的问题?
张朝潞:私有云数据安全防护能力建设要重点关注对数据资产的分级分类等梳理工作。数据资产梳理是做好数据安全防护的基础,要从企业业务(对现有业务系统间调用关系、现有数据流向、业务资产等内容的梳理)、管理(对现有安全管理制度、管理规章、管理规范、应急响应等内容的梳理)和技术(对现有安全防护技术、现有业务系统使用技术、现有数据库技术等内容的梳理)三个方向入手。而且数据安全建设不是个一蹴而就的事情,而是一个长期的过程,企业数据资产的分级分类需要根据数据资产变动、业务发展的同时进行不断的动态调整。
企业在构建私有云数据安全解决方案时,要考虑到方案第一业务的适配性。在传统的IDC机房中,数据安全解决产品和方案都是围绕着机房中的IT架构进行设计的,能够很好地融入其中。但在云计算架构下,数据安全产品往往是以外挂节点的形式存在的,对云平台的性能考验很大,由于现阶段私有云数据安全多为单点解决方案,因此企业应尽可能的使数据安全解决方案与分布式云平台适配,最大程度的降低数据安全方案对云平台性能的损耗,并尽量选择带有云原生数据安全能力的云平台。
安全牛:在私有云数据安全能力的实际构建中,用户面临的主要挑战有哪些?
张朝潞:根据天融信多年的企业服务经验,云数据安全建设与传统环境下的数据安全建设相比,面向的用户及功能需求基本相同,但所使用的基础设施架构明显改变。从行业整体的实际应用来看,目前云计算架构相对传统IT架构所占比例依然很小,这也导致现在实际应用的云上数据安全产品与方案也基本都是围绕着传统的IT架构进行设计的。随着企业云化程度的不断加深,云上数据安全建设所面临的挑战在于:
首先,在传统IT架构下,数据安全产品能很好地融入IT网络架构,成为其一个节点,而在云计算架构下,需要将云计算架构的数据导出到外挂的数据安全产品上,这必将带来严峻的性能挑战;
其次,云计算架构下计算、存储、网络模块都是以分布式设计的系统,所有模块都能弹性扩展,而数据安全产品以单点设计为主,如何将数据安全技术以分布式的形式在云环境下应用是一个巨大的挑战;
最后,云厂商多提供租赁、共享等服务模式,如何将数据安全产品成功地融入到云安全服务的这种模式中也是一大挑战。
另外,由于云计算环境的不同,私有云和公有云环境下的数据安全建设也会有较大差异。私有云和公有云相比,相同点是基础架构相似,但用户需求不同。私有云面向特殊用户,用户数量可控,对隐私性、灵活性要求更强,而公有云面向的是公众用户,用户数量庞大,每个租户都需要配备单独的管理空间,管控粒度要求比私有云更细。租户一般会将重要的数据资产存储在私有的存储平台上,对敏感数据的安全防护方面要求相对低一些。而私有云在南北方向上对数据脱敏、过滤等需求更多些,同时,因为不同用户的需求不同,私有云在管理和规则配置上的要求也需要更灵活。
安全牛:网络安全行业的发展是由先进技术驱动的,那么用户在开展私有云数据安全建设时,有哪些关键性技术需要特别关注?
张朝潞:我认为关于私有云数据安全能力构建的关键技术主要体现在两方面。
首先,传统的数据安全能力要上云。基础的数据安全技术已十分成熟,在云计算架构下,安全厂商通常以虚拟机、容器等产品形态,来重构传统数据安全防护的硬件产品,进而为用户提供云计算环境的数据安全服务。
其次,云计算平台原生数据安全能力的建设。云原生数据安全能力将主要包括三点:
1)原生数据安全存储能力,并通过数据保护、备份、灾备等防护手段避免造成数据丢失的风险,特殊情况,在遭到网络攻击时,应尽可能迅速地将用户的数据资产恢复到被勒索之前的状态,努力实现数据0丢失;
2)原生的数据防泄漏能力,为企业数据资产提供全链路的加密;
3)云平台要保证企业所存储数据资产的完整性,避免出现由于BUG、静默数据损坏等破坏数据完整的可能性。
通过云原生安全能力能够解决云上很多数据安全防护的瓶颈性问题。上述我们提到私有云数据安全建设的最大难点在于其“单点性”,云原生能力可以更好的解决数据安全产品以“外挂形式”存在于云平台上的问题,可以更好地适应云内部网络,通过内嵌或融合的方式,弱化这种数据安全防护产品的单点性特征,更好地实现云上的数据安全防护。
安全牛:您对企业开展云数据安全能力建设,特别是私有云环境下的数据保护时,有哪些建议?
张朝潞:企业上云后,业务数据流量主要集中在东西方向上,这一特征在私有云平台上尤为明显,因此在防护部署上也应该遵循这一特征,为了让业务数据上云后的安全防护手段更适用于云环境,在南北向上,主要可以采用“点对点”式的防护手段,包括防火墙、WAF、流量审计等常用设备均在考虑范围之内,以保证数据经过某个点上都能得到相应的防护措施。
那么针对东西向的安全防护,因为云环境中东西向流量占比很大,这也导致很多攻击都是内部发起的,东西向网络攻击也成为了云上数据安全威胁的主要攻击手段,因此需要在私有云平台内部增加虚拟防火墙、分布式防火墙以及一些部署在云主机里面的安全软件如EDR等,增加私有云平台的云原生能力和数据安全防护能力,以此来达到企业安全防护的需求。
此外,很多企业可能会担心云上数据安全防护与传统的安全防护相比会出现“牵一发而动全身”的情况,针对这一点私有云数据安全解决方案在设计之初应注重微分段和物理隔离,并在此基础上通过监控机制确保当网络攻击发生时,能够将攻击自动阻断,避免攻击由一个资源池蔓延到更多资源池的情况发生。
安全牛:随着云计算技术和应用的发展,您认为未来云上数据安全防护技术还会有哪些新的突破?会呈现怎样的发展特点?
张朝潞:2021年11月30日,工信部印发“十四五”《软件和信息技术服务业发展规划》中,强调了加快培育云计算、大数据等基础设施软件领域具有国际竞争力的规划,在政策的驱动下,企业数据上云将会出现更加积极的局面。数据安全技术也将迎来以下几大新发展特点:
1)可信计算技术迅速发展
可信计算的实现包括启动阶段和运行阶段。启动阶段主要基于硬件可信根,对操作系统进行完整性度量,确保启动的系统不被篡改,随着TPM标准和TPM安全芯片的迅速发展,启动阶段将会更容易实现;而可信计算的运行阶段,需要一个可信的安全执行环境来确保关键数据的机密性和完整性,目前,常见的可信运行环境包括SGX、TrustZone等,通常集成在CPU中,随着可信运行环境的发展和普及,可信计算技术会获得更广阔的市场需求和创新突破。
2)数据安全能力更加云原生化
未来,数据安全能力将更加云原生化。云计算环境将会集群多个节点,这些节点上将分布着数据防泄漏、数据脱敏等能力,而云计算平台将通过隧道将这些节点连通成网,这张网将与云计算网络深度融合,实现云上数据安全防护的能力线性扩展、性能线性扩展,并通过隔离手段实现云上数据安全防护服务共享和按需订阅。
3)云上数据安全防护更加智能化
人工智能、机器学习将广泛应用到数据安全的各个方面。基于AI/ML可以对更加复杂的数据内容进行分析与挖掘,如Amazon Macie Analytics服务;通过机器学习技术还可以智能识别对敏感数据的访问、拷贝等可疑行为,并针对这类行为采取实时的防护手段、修护措施,降低数据泄漏和业务共享所带来的安全风险。同时,云计算平台将拥有IT架构的业务数据、运行数据、元数据,并提供强大的计算、存储能力,云计算将成为AI/ML的重要基石,三者互相结合会催生出更强大,更智能化的数据安全防护方法。
安全牛评
相对传统网络环境下的数据保护,云平台对数据安全提出了更高的要求。大数据与微服务架构的融合对数据安全无疑是场大考。企业在云上开展数据安全建设时,需要综合考虑合规要求和技术发展,在“可靠、可信、合规”三大原则基础上,形成体系化数据安全能力,从底部处理层的可信计算,到传输的链路加密,再到平台层的安全应用,将云平台的可靠性、安全性和可信能力融会贯通,构建云环境下多维度、深层次的数据安全技术生态。