无为有处有还无,旁观阿里云无影的新进展
迈出了走向未来的第一步
Even though the adoption is still in early stage, it is getting clear that “Zero Trust” is the next big thing in security.
由于缺乏足够的资源且专业技能不足,安全设备的部署、管理和维护一直是企业IT工作中的难点。在设备管理和服务外包的基础上,代替传统安全设备和方案的云服务技术和产品(“云化”)真正将企业管理员从繁琐的日常维护中解放了出来,从而能够真正专注于核心的安全管理。
在软件开发中,通过调用各种库函数,工程师能够专注于实现核心业务,而不用去重复开发已经非常成熟的功能模块,更重要的是,不需要深入了解被调用函数的具体实现方式和相关专业知识。类似的,企业可以选择集成以云服务方式提供的安全功能和产品,解决业务中的各种安全挑战。
对于云计算未来的发展,公有云和混合云的争论一直非常激烈。在欧美市场,部分研究数据显示混合云市场的增长近年超过了公有云,并且不断有案例显示企业在选择公有云后继续建设和部署私有云设施;在国内,公有云和私有云市场的发展更加接近,从部分云计算相关的提供商和服务商看,私有云在近期对于业绩增长的贡献甚至已经超过了公有云。因此,尽管普遍认可未来最终将以公有云为主的说法,很多人相信混合云将在相当长的一段时间内是市场主流,但我们认为,欧美市场的争论可能会继续持续一段时间,但国内企业市场中,公有云在起步阶段之后将迅速成为主流。
除了使用云上的虚拟硬件资源,越来越多的企业选择直接使用云应用替代本地应用软件或基于PaaS搭建内部应用。PaaS或SaaS服务模式下企业的安全责任范围较小,但由于是直接通过公共网络访问,且对应用软件、业务系统和基础设施都没有控制,企业需要利用新技术才能对用户和数据进行妥善保护和管理。
根据企业对云计算服务的使用情况,云安全相关的主要场景可分为5大类:
租用虚拟硬件资源(IaaS),提供对外业务或内部应用
使用云服务(PaaS或SaaS)构建内部应用
私有云
集成云服务解决业务和应用中的安全挑战
使用云服务替代传统安全设备和方案
说明:前年底到去年初集中梳理了一下,供大家参考。
主要内容包括:
从发展的脉络分析,“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类;
介绍5大类24种云安全相关技术及其客户收益和使用建议,并从技术成熟度和市场成熟度两方面进行了评估;
分析企业使用云服务的场景,指出了国内云安全技术和市场的现状和差异及其原因;并对未来的发展进行了推测和预判;
集中介绍云安全相关的各种法规、标准和认证。
While there have been many “Zero Trust” products and solutions in the market, I would like to say that the evolution is still in early stage, and I personally believe the security world would be significantly different in 5-10 years, with “Zero Trust” solutions finally dominating the market.
很高兴看到前几天360主办的互联网安全大会(ISC2018)有单独的分论坛关注“零信任”,也有点吃惊,毕竟几个月前认真谈这个的还挺少。不过,我觉得只从“身份”的角度谈“零信任”过于局限,甚至可以说“零信任”相关理念和实现框架的核心恰恰在于超越“身份”。