雲安全市場現狀與需求調研 | 給AWS雲找找“茬”(上)
CybersecurityResearch發佈《AWS雲安全報告2019》,統計了AWS一年來雲上安全現狀以及用戶對這個領域的需求和看法等。報告通過與400,000網絡安全業內人士(包括技術人員、專家、管理者)探討AWS雲上用戶如何應對雲上安全威脅、採用何種工具和最佳實踐。
同時本文還會結合國內外機構如中國信通院、CybersecurityResearch、IDC、PaloAltoNetworks等雲安全相關報告的研究分析,藉此,可以預測國內雲計算市場所面臨的同類問題和潛在需求。爲企業,尤其是雲服務商、雲承建商提供參考和指引。
主要發現
人們對於雲安全的認識有明顯差異
通過對亞太地區的調查顯示,近九成專業人員對公有云安全持懷疑態度,這與非安全專業人員看法存在較大差異。
對雲上安全問題關注的重點發生變化
數據安全(68%)、隱私安全(61%)成爲雲上最受關注的問題,一些傳統安全問題在雲環境下依然存在,且備受關注,雲上排名前三的安全問題:錯誤配置(62%)、未授權訪問(55%)、不安全的API(52%)。
AWS最受歡迎服務不同於國內市場
最受歡迎、部署最多的服務是:數據加密(62%)、網絡加密(51%)、IAM(71%)和可視化監控(65%)。而對於雲防火牆、雲WAF以及抗D的部署率遠遠低於國內。
企業上雲最關心的是遺留系統及工具的集成問題
除了用戶對雲原生安全需求越加明晰外,遺留系統和工具在雲環境缺少可適應的解決方案成爲企業遷移上雲最頭痛的問題。此外,人員和流程管理在雲環境中依然是主要問題之一。
建立用戶信任與雲服務商信心至關重要
43%的企業選擇混合雲部署,33%的企業選擇非集成的多雲解決方案,其他爲單雲(24%)。企業依舊重視雲上合規,但這已經是一種基本需求,而不再是額外需求。在建立用戶對雲服務商的信任方面,其主要關注靜態數據加密(52%)、API安全審計與報警(49%)和跨雲安全策略實施(47%)的解決能力,如果可以幫助客戶在這些方面解決企業痛點,這對提升雲供應商信心的將會起到促進作用。
概述
隨着兩會閉幕,“新基建”、“5G”等熱詞開始刷屏各大媒體,而這些都離不開雲計算,彼此間相輔相成。那麼,作爲業界“一哥”的AWS雲則是我們在這個領域最應去關注的,包括技術、服務、運營、戰略等各個方面。有關AWS的“前世今生”網上有很多詳細介紹和業績報告,本文不再重述。
國家對於新基建的提出了明確政策,2020年兩會政府工作報告關於這方面包括:
推動製造業升級和新興產業發展;
提高科技創新支撐能力;
深入推進大衆創業萬衆創新;
重點支持既促消費惠民生又調結構增後勁的“兩新一重”建設。
“兩新一重”,即新型基礎設施建設,新型城鎮化建設,交通、水利等重大工程建設。報告中指出:“加強新型基礎設施建設,發展新一代信息網絡,拓展5G應用,建設充電樁,推廣新能源汽車,激發新消費需求、助力產業升級。”
我們的目標也是以此爲基礎:
發展產業互聯和產業數字化,推進產業互聯網發展,重點研究推動新基建、企業數字化轉型、智慧城市、科研創新、網絡信息安全等方面的工作,以產業互聯網爲突破口和着力點,打造具有國際水準的產業互聯網平臺,推進國民經濟各行業的互聯網化和數字化進程;
科技向善,運用數字技術、創新應用模式助力中小微企業紓困;做強雲平臺,推動傳統中小微企業進行全面化數字化升級。
這些新型基礎設施,即5G架構網絡、IoT網絡、超大型數據中心、雲計算平臺以及邊緣計算網絡等等。未來我們可能面對的應用場景將包括:
5G VR/AR虛擬購物
5G直播
5G電競
5G + AIoT
車聯網
雲控平臺(邊緣雲、區域雲與中心雲三級架構)
全IPv6政務專網
而這些場景都需要強大的算力、算量以及AI算法的支撐,以此來確保未來5G生態下的高帶寬、超低延時、強大邊緣計算等特性。在滿足底層技術支撐的同時,對於網絡安全的需求同等重要,也將是安全團隊將要面臨的新挑戰。
如何給AWS雲找“茬”
根據上述介紹,雲是支撐這些的基礎設施,也是爲什麼我們要針對AWS雲去做分析。
本文根據全球不同區域的客戶的反饋,從雲安全關注點、雲安全挑戰、雲原生安全、最受歡迎的雲服務、雲上數據保護、雲合規、雲部署阻礙等16個方面進行了分析(結合國外機構安全調研和報告):
報告基於對網絡安全專業人員的全面在線調查結果,旨在更深入地瞭解AWS雲安全的最新趨勢、主要挑戰和解決方案。受訪者範圍從技術主管到經理和IT安全從業人員,代表了跨多個行業的不同規模的組織。
下邊將列出每一方面的分析結果,這些結果是基於調研的反饋,具有較強的市場代表性,也可以理解爲是全球雲市場的需求導向和現狀。希望大家可以帶着問題去閱讀,例如:
這個問題我們之前有考慮過麼?
這是不是我們應該關注的點?
我們在這方面現在做得怎麼樣?
爲什麼我們沒有想過這些問題?
接下來我們要做些什麼?
從AWS看雲安全市場現狀
01 雲安全關注點
公有云應用持續激增,但安全問題依然嚴重。近九成(91%)的網絡安全專業人士對公有云安全極爲擔憂。
圖1雲安全事件關注度(來源:CybersecurityResearch)
雲安全事件
在過去1年裏,23%的企業經歷了雲安全事件,比前一年(2018)有顯著的增長。觀察到雲安全事件的增長進一步促進了與採用雲計算相關安全問題的增加。
圖2 雲安全事件關注度(來源:CybersecurityResearch)
雲安全關注的重點
雖然AWS等雲提供商提供多種安全措施,但客戶最終要負責保護自己在雲中的工作負載。在調查中,網絡安全專業人士強調的前三大雲安全挑戰是:
數據防泄漏/丟失(68%)
數據隱私威脅(61%)
違反保密性(52%)
其他方面包括:
合規性(50%)|意外暴露(47%)|數據權限/控制(47%)|事件響應(39%)
Gartner公司副總裁兼雲安全主管Jay Heiser表示:“公有云的使用量正在快速增長,因此不可避免地會導致大量敏感內容暴露在潛在風險當中。”
雲計算正在逐漸改變我們數據、應用程序和工作負載的使用方式。這也帶來了一系列新的安全威脅和挑戰。隨着大量數據進入雲中——特別是公有云服務,加之百億級IoT設備和終端都可以作爲攻擊的入口,這些資源都可能成爲攻擊者的目標。
當前雲上面臨的較嚴重的安全事件包括(排名由高到低):
| 排名 | 威脅 |
|---|---|
| 數據泄露 | |
| 身份、憑據和訪問管理不當 | |
| 不安全接口和應用程序接口(API) | |
| 系統漏洞 | |
| 賬戶劫持 | |
| 惡意內部人員 | |
| 高級持續威脅(APTs) | |
| 數據丟失 | |
| 盡職調查不徹底 | |
| 濫用和惡意使用雲服務 | |
| DoS | |
| 共享技術漏洞 |
表1雲計算威脅(來源:CSA 《雲計算十二大頂級威脅:行業洞察報告》 )
02 運維安全痛點
企業仍然認爲公有云比傳統的本地環境面臨更高的安全漏洞風險(44%)。認爲公有云對安全漏洞風險較小的受訪者比例下降(由去年的23%下降到19%),進一步支持了使用公有云會增加成爲網絡攻擊目標可能性的觀點。
SaaS方面,人們對SaaS安全性的看法仍然相對不變。大多數人(58%)認爲雲應用程序與本地應用程序一樣安全,甚至更安全。
隨着越來越多的工作負載轉移到雲端,網絡安全專業人士開始意識到保護這些工作負載的複雜性。企業面臨的最大安全操作挑戰是:
基礎設施安全的可見性(44%)
跨雲和內部環境設置一致的安全策略(42%)
策略的合規性(42%)
其他方面包括:
安全性無法跟上應用變化速度(39%)|缺乏與本地化安全技術的集成(37%)|無法快速識別錯誤配置(35%)|複雜的雲到本地雲安全規則匹配(33%)
圖3 雲運維痛點(來源:CybersecurityResearch)
在跟隨時代進步遷移上雲的過程中,企業往往存在一些誤區,包括:
上雲後相比本地環境更安全
雲安全應由服務商負責
不過是遷移到雲上,我們已準備好了
Palo Alto Networks就亞太區大型企業雲安全現狀進行了調研分析報告(Asia-PacificCloudSecurityStudy)發現,企業管理者對雲安全的認知與一線專業技術人員的看法存在明顯差異。
很多企業其實並未做好應對雲上威脅的準備,而且其中大部分人認爲公有云是安全的,上雲後就不用再關心安全問題。特別是在我國,高級管理者對雲提供商的安全服務更爲信任:78%的決策者認爲雲供應商提供的安全足以保護其免受雲上威脅,這高於亞太地區70%的平均水平。同時,82%的中國企業認爲SaaS環境高度安全,其中認爲IaaS環境和PaaS安全的企業佔比分別爲67%和61%,這一數值也高於亞太地區的平均數。
企業需要認識到雲安全是一種共同的責任,正如國內各大雲服務商聲明的一樣——責任共擔原則。雲服務商負責其基礎設施的安全,而確保存儲在基礎設施之上的數據與應用安全,則是企業自身的責任,這也在《網絡安全法》中有明確指出,國內企業應該對此加深認識。
03 雲安全挑戰
在調查中,AWS雲平臺的配置錯誤排在第一位,是雲安全的最大單一漏洞(62%)。其次是通過誤用員工憑證和不適當的訪問控制(55%)和不安全的接口/API(52%)進行未經授權的訪問。
圖4 雲安全挑戰(來源:CybersecurityResearch)
這與前面CSA給出的雲上十二大威脅基本相匹配。除此之外,雲上黑灰產開始顯現蹤跡。當黑灰產利用雲資源發起各種惡意行爲時,往往導致雲廠商爲其“背鍋”。因此,加強情報和分析能力,及時識別雲上的惡意用戶和惡意主機,將是雲安全領域一項長期的較量。
2019年騰訊聯合Freebuf發表《雲趨勢安全報告》,統計了十大最具影響漏洞:
| 排名 | 漏洞 | 描述 |
|---|---|---|
| Linux TCP “SACK PANIC”遠程拒絕服務漏洞(CVE-2019-11477,CVE-2019-11478,CVE-2019-11479) | 近10年的Linux內核均在受影響範圍,涉及Redhat、CentOS、Debian、Ubuntu、FreeBSD等發行系統,涉及全球數百萬主機。 | |
| Windows RDP 服務遠程代碼執行漏洞預警(CVE-2019-0708) | 企業操作系統方面雖然隻影響Server 2003和Server 2008/2008 R2操作系統,但漏洞可被遠程直接控制,且漏洞一旦被利用,具備類似Wannacry的感染力,故排名第二。 | |
| Intel 處理器微體系架構數據採樣(MDS)漏洞風險預警 | 雖然屬於信息泄露漏洞,危害較低,但由於是硬件類漏洞,總會引起行業高度關注,因爲本身利用難度較高也開始逐步被大衆遺忘。 | |
| Intel SPOILER信息泄露漏洞 | 借Spectre(“幽靈”)漏洞之勢,再次進入大衆視野,同上面的MDS漏洞,幾乎所有現代英特爾處理器都存在該漏洞,但由於利用難度、修復複雜度等原因,最終也沒有掀起大的波瀾。 | |
| 容器運行環境runC逃逸漏洞(CVE-2019-5736) | runc是一款廣泛用於生成及運行容器的CLI工具,Kubernetes、Docker、containerd或者其他基於runC的容器技術在運行時層均存在漏洞,該漏洞允許惡意攻擊者對主機系統進行root訪問,被稱爲多年以來容器領域曝出的最爲嚴重的問題。 | |
| Oracle WebLogic組件遠程代碼執行漏洞預警(CVE-2019-2725,CVE-2019-2729) | 頻繁而危險,可以說這五個字形容再貼切不過,屬於比較危險(可導致遠程代碼執行)的漏洞,同時也是頻繁出現的漏洞,歷史上Weblogic的RCE不在少數,每次也是縫縫補補的。 | |
| Docker cp命令容器權限逃逸安全漏洞(CVE-2018-15664、CVE-2019-11246、CVE-2019-1002101) | 容器安全在2019年上半年開始被各行各業重點關注,尤其是這次的權限逃逸,讓大家對容器安全開始更加重視,此次的漏洞影響雖然集中在本地,但容器的使用不當(如運行不信任的容易,在節點執行 docker cp),卻也會放大該漏洞的危害。 | |
| ThinkPHP 多個版本遠程代碼執行漏洞(5.0、5.1、5.2等多個版本) | 由於ThinPHP在國內的廣泛使用,導致ThinkPHP的每次漏洞爆發,都會引起較大關注,2019年伊始爆發的2次多個版本的RCE漏洞影響讓很多人記憶猶新。 | |
| 知名郵件代理程序 Exim 遠程代碼執行漏洞(CVE-2019-10149) | 該漏洞各大外媒報道受影響量達數百萬主機,而國內討論聲寥寥,可說是“雷聲大,雨點小的漏洞。 | |
| Ubuntu Snap本地提權漏洞(CVE-2019-7304) | 本地提權可能影響有限,但由於默認安裝到了Ubuntu18.04,且漏洞PoC很快公佈,在一小段時間裏卻也引起了大家較大關注。 |
表2 2019年最具影響雲安全漏洞Top10(來源:騰訊+Freebuf)
04 雲原生安全
在雲平臺的原生安全控制評估中,AWS排在第一位(83%)。
圖5 雲原生安全廠商排名(來源:CybersecurityResearch)
在國內市場,從綜合實力、獲客能力、產品能力、技術能力、生態與服務能力等五個維度對雲計算廠商進行綜合評價,排名結果如下(Top10):
圖6 國內雲廠商排名Top10(來源:愛分析《中國雲計算廠商30強》)
05 安全效能
AWS用戶對AWS身份和訪問控制的有效性評分最高(44%),其次是基礎設施安全性(33%)和資產與配置管理(28%)。
圖7 雲上產品/服務安全效能(來源:CybersecurityResearch)
06 最受歡迎服務
AWS IAM(71%,管理用戶訪問和密鑰)和Amazon CloudWatch(65%,監控和跟蹤AWS應用以及系統利用率的可視化)是AWS雲部署中使用最廣泛的安全服務,緊隨其後的是:
AWS CloudTrail(45%,跟蹤用戶活動和API使用情況) AWS目錄託管服務(42%)和AWS Trusted Advisor(35%,性能與安全優化)
其他安全服務包括:
AWS Trusted Advisor登錄(35%)|AWS認證管理(Provision, Manage, and Deploy SSL/TLS Certificates,32%)|AWS配置(Create Automated Rules to Check the Configuration of AWS Resources,29%)|AWS密鑰管理(Managed Creation and Control of Encryption Keys,26%)|AWS盾(DDoS Protection,26%)|Amazon雲目錄(Create Flexible Cloud-native Directories,26%)|Amazon GuardDuty (智能威脅檢測和持續監控,22%)
07 部署最多的安全服務
最常用的雲安全控制是:
數據加密(62%)
網絡加密(51%)
SIEM綁定(51%)
雲訪問控制(50%)
圖8 雲上部署最多的安全服務(來源:CybersecurityResearch)
其他部署包括:
日誌管理分析(46%)|配置管理(46%)|DLP (45%)|特權訪問(44%)|SSO/用戶認證(43%)|Firewalls/NAC(NetworkAccessControl,42%)|終端安全控制(41%)|補丁管理(41%)|反病毒/反惡意軟件(39%)|網絡監控(37%)|應用防護(35%)
國內對於這部分的統計數據較少,結合國家統計數據,可以看到一些目前比較熱門的雲上安全領域。(統計來源:中國信通院《中國網絡安全產業白皮書(2019)》)
公有云方面,風險監測防禦、應對多雲環境、敏感數據保護等是雲安全熱點領域,其他比較受客戶關注的有:雲工作負載保護平臺(CWPP)、沙箱和蜜罐(主要是HW行動)、雲訪問安全代理(CASB)、持續集成與持續交付(CI/CD)、數據防泄漏(DLP)。
私有云方面,聚焦防火牆、WAF、IDS、IPS、堡壘機、數據庫審計等安全產品,企業如今所關注的不是單個產品或能力,而是更期望看到整體雲安全解決方案。
08 雲上數據保護
隨着雲的使用逐年增加,更多的數據存儲在雲環境中。網絡安全專業人員連續第二年表示,訪問控制(72%)是保護雲數據的主要方法,其次是加密或令牌化(64%)。
今年,雲服務商提供的安全服務使用率(58%)從第4位躍升至第3位,這表明企業希望他們的服務提供商幫助提供額外的數據保護並降低風險,這是他們服務組合的一部分。
雲上數據保護使用的常見方法:
圖9 雲上數據保護服務(來源:CybersecurityResearch)
其他保護方式包括:
訪問雲上被保護網絡(50%)|部署雲安全監控工具(43%)|採用第三方供應商的額外安全服務(37%)
根據IDC的調查統計,雲安全問題正在急劇惡化,在過去的18個月中,近80%的公司至少經歷了一次雲數據泄露,而43%的公司報告了10次以上的泄露事件。全球企業面臨的雲上數據安全問題不盡相同,即安全相關的配置錯誤(67%),對訪問設置和活動缺乏足夠的可見性(64%)以及身份和訪問管理(IAM)許可錯誤(61%)是他們最關注的雲生產環境安全問題。有80%的企業報告他們無法識別IaaS/PaaS環境中對敏感數據的過度訪問。根據2020年Verizon數據泄露報告,在數據泄露的根源方面,只有黑客攻擊排名高於配置錯誤。儘管接受調查的大多數公司已經在使用IAM、數據防泄漏、數據分類和特權賬戶管理產品,但仍有超過一半的公司聲稱這些產品不足以保護雲環境。
如今訪問授權最容易被忽視,國內大多數中小微企業上雲後處於一種雲上“裸奔”的狀態,不採用或很少採用安全產品或服務。這些雲上系統都是攻擊者的主要目標,因爲它們容易被可用於惡意活動,例如竊取敏感數據、傳播惡意軟件或蓄意破壞等行爲。
*本文作者:宇宸,轉載請註明來自FreeBuf.COM
