近日,青藤以“云时代,安全变了”为主题的2023年云安全高峰论坛在北京成功举办。会上,青藤首次提出“业安融合”理念,正式发布先进云安全方案CNAPP。
我国全面进入云和数字化时代
(相关资料图)
当前,全球已进入数字经济时代,我国高度重视数字经济发展。“十四五”规划中明确提到“加快推动数字产业化”,培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业。在数字经济重点产业中,云计算更是位列第一,云计算在数字产业化中的重要地位可见一斑。
中国信通院的研究报告显示,城市云服务发展指数与数字经济规模成S型曲线,呈现明显正相关关系。城市云服务指数越高,数字经济规模越大。与此同时,国内各大省市在其各自制定的“十四五”规划中,均明确确定了云计算相关的任务目标,大力推动数字经济发展。总体来讲,我国已经全面进入了云和数字化时代。
云和数字化时代面临更加艰巨的安全挑战
进入云和数字化时代,组织机构面临着更加艰巨的安全挑战。随着企业的数字化转型,其业务也呈现出开放互联、高效运转、结构复杂、快速变化等特点。这些新特点给安全带来更为艰巨的挑战,包括:暴露面增加导致更易遭到攻击,一旦被攻击风险扩散速度加快,边界模糊导致难以防护等问题。
尤其是企业业务上云后,业务发展更加高效,变化也更快,业务之间的关系也更为复杂,而安全改进却进行得比较缓慢,这也就导致安全很难跟上业务的发展步伐。但在数字化转型的深入发展过程中,越来越多的关键基础设施运行在云端,一旦遭到攻击,对企业造成的打击也更为致命。
云计算的动态、分布式和虚拟特性带来了独特的安全挑战,大多数传统安全工具并不能解决这些挑战。78%的组织机构认为,传统安全解决方案在其云环境中根本不起作用或功能有限。
业内人士认为,在新的数字化浪潮下,传统安全方案主要面临着以下困境:一是难以适配云和云原生环境;二是高度碎片化导致效率低下;三是安全能力迭代演进缓慢;四是难以融合到业务全生命周期。
因此,新时代需要新安全。新时代的安全体系应该具备以下四个特征,一是敏捷:能够跟上企业业务和安全威胁的快速变化,具备敏捷发布和部署的能力。二是高效:在爆炸式海量数据和行为中实时发现并根除风险和威胁,而不是月,不是天。三是智能:能够基于AI进行智能化分析,提高更好的安全防护效果。四是连接:能够实现人与人、人与系统、系统与系统的连接。
针对安全与业务发展脱节的这一重大难题,青藤首次提出了“业安融合”理念,将安全与业务深度融合,包括能力的融合、体系的融合、流程的融合,从而实现业务与安全的一体化。首先,在业务方面要做到——风险洞察:将安全洞察融合到风险管理框架和数字发展计划中;业务融合:将业务、IT流程与安全要求、合规要求进行融合;业务弹性:确保组织能够在遭受攻击期间保持运行,并迅速恢复全面运行状态。此外,在安全方面,要实现——安全治理:持续确认、衡量和管理安全态势,以降低风险并确保合规;安全融合:将安全融合到DevSecOps的流程中,拉齐安全、开发和运营实践;安全运营:检测攻击、做出响应并将业务恢复正常运行,对隐藏威胁进行狩猎,并共享威胁情报。
先进云安全方案CNAPP
鉴于传统安全解决方案在云和数字化浪潮下面临的困境,在本次大会上,青藤提出了先进云安全方案CNAPP。具体来看,该方案应该是云原生的、融合化的、服务化的、智能化的。具体表现为——云原生的:云原生安全需要一套集成方法,从开发阶段扩展到运行时阶段,提供完整生命周期的安全保障能力;融合化的:如上文所述,云安全的融合包括能力的融合、体系的融合、流程的融合。为了提高开发运维效率,安全不能作为一个单独的检查项,这会严重降低DevSeOps的交付速度。为此,需要实现安全与人员的融合、与开发工具的融合、以及与流程的融合;服务化的:先进云安全方案的实施需要专业的安全服务人员、标准的服务流程以及云原生架构底层服务平台;智能化的:生成式人工智能 (Generative AI) 可以在网络安全防御领域发挥重要作用,包括在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面。图计算技术与AI高度耦合,可以实现多机信息的关联,也是未来的一个重要发展方向。
X 关闭