行业洞察力：2017年云安全将如何发展？

来年有望为公共云服务提供商和软件即服务（SaaS）解决方案供应商带来显着增长。 首先，诸如微服务部署和区块链之类的新基础级技术正在为创新提供未开发的途径。 但是，也许更为重要的是，最经常被CIO引用的云采用拦截器之一（即安全性和数据安全性）似乎终于向后台移动，特别是对于企业和中型企业。

尽管分析家同意当今的大多数企业（包括企业和中型企业）在不同程度上都有一些云部署，但他们也同意大型组织将主要工作负载迁移到云的速度很慢，主要原因是云安全性和数据安全。 这对这些客户而言很重要，不仅因为这些组织将要迁移大量数据，而且因为通过严格的合规性和法规检查（例如健康保险可移植性和责任法案（HIPAA）和ISO 27001）对于他们至关重要做生意。 对于这些CIO来说，安全性是头等大事，直到最近，安全性还不足以使他们大规模采用云。

但是，根据分析师对2017年的预测，这一切都会改变。 在过去的五年中，云安全已经走了很长一段路，似乎许多IT专业人员和CIO都同意。 这意味着分析师预测，我们将在2017年看到更多来自企业部门的云基础架构和服务。

我对著名的托管云提供商Rackspace的首席安全官Brian Kelly进行了电子邮件采访，以了解来年云安全的变化-并查看他是否同意这些分析师的预测。

PCMag：在数据安全性方面，Rackspace与客户IT员工的角色究竟是如何看待的？

Brian Kelly（BK）：我们看到的直接证据是，客户之所以进入云是因为安全而不是逃避云。 除少数例外，公司根本没有资源和技能来有效地保护组织免受更复杂和持续的威胁。 同样，云提供商认识到我们业务的未来取决于通过有效的安全实践提供信任和信心。 尽管云提供商增加了对安全性的投资，但保护组织资产始终将是共同的责任。 尽管云提供商直接负责设施，数据中心，网络和虚拟基础架构的保护，但消费者也有责任保护操作系统，应用程序，数据，访问和凭据。

Forrester在谈到这种共同责任时创造了“不均匀握手”一词。 在某些方面，消费者认为他们正在承担数据安全性的重担。 几年前可能是这样。 但是，我们正在见证握手的平衡。 也就是说，云提供商可以而且应该为消费者做更多的事情，以共同承担安全责任。 这可以采取以下形式：简单地提供对托管工作负载的更高可见性和透明度，提供对控制平面的访问或提供托管安全服务。 尽管消费者的安全责任永远不会消失，但云提供商将继续承担更多责任，并提供增值的托管安全产品，以建立双方在云中安全运行所必需的信任。

PCMag：除了提供商提供的帮助自己保护基于云的数据之外，您还对IT专业人员和企业客户有什么建议，包括他们可以做什么？

BK：他们必须继续在自己的飞地内实施最佳安全实践。 他们需要负责任地划分飞地中的工作负载，以限制损害范围，确保正确保护和修补工作负载环境（操作系统，容器，虚拟LAN），并利用端点和网络级的感知和响应技术（IDS / IPS，恶意软件检测和遏制），并主动管理帐户和访问。 客户通常可以将这些服务和技术包括在他们的云使用合同中，但是如果没有，则消费者必须确保它在他们这边发生。

PCMag：我们已经看到读者提出的一个关键问题是如何有效防御大规模物联网（IoT）驱动的分布式拒绝服务（DDoS）攻击，类似于去年10月的事件，一家中国物联网供应商无意中对攻击。 这样的攻击是否适用于上游Internet服务提供商（ISP）？ 以及他们如何防止对一个客户的攻击使设施中的每个人瘫痪？

BK： DDoS防御的主要目标是在受到攻击时保持可用性。 IoT的DDoS攻击功能是众所周知的，可以通过实施安全最佳实践并使用智能DDoS缓解系统来成功缓解。 最大的威胁不是物联网的攻击方法，而是数量众多的易受攻击的启用互联网的设备。 需要锁定网络以限制对Internet威胁的暴露。 网络运营商需要积极主动地检测所有可能的威胁，并了解缓解这些威胁的最有效技术，同时保持分析和分类所有网络流量的能力。

强大的DDoS缓解策略需要采取分层的防御方法。 大量的IoT设备使缓解小型网络的IoT攻击变得困难。 IoT攻击的有效性在于它可以灵活地生成不同的攻击媒介并产生大量的大容量DDoS流​​量。 物联网可以在有能力的攻击者的手中产生的巨大流量，即使是最坚固的网络也可能很快不堪重负。 上游ISP通常具有更好的装备和人员来应对可能迅速使小型网络链接饱和的大规模攻击。 此外，网络的运营规模和减轻此类攻击所需的工具使大多数组织无法进行有效的检测和响应。 更好的解决方案是将此类操作外包给已经使用这种规模的网络的云提供商的上游ISP。

上游ISP通过强大的Internet接入点多样性可以转移流量，从而具有许多优势。 它们通常还具有足够大的数据管道，以在开始重新路由流量的响应活动加速时最初吸收大量DDoS流​​量。 “上游”是个好术语，因为它有点类似于沿河的一系列水坝。 在洪水期间，您可以通过使用每个大坝来逐渐捕获每个大坝所形成的湖泊中更多的水并测量流量以防止下游洪水，从而保护下游房屋。 上游ISP的带宽和接入点多样性可提供相同类型的弹性。 他们还通过互联网社区协商了协议，以在他们可以激活的源附近分流DDoS流​​量。

与其他事件响应活动一样，计划，准备和实践也很重要。 没有两次攻击是完全相同的，因此，预见各种选择和情况，然后为它们进行计划和实践至关重要。 对于IoT攻击情形，这包括扫描网络中的易受攻击的设备并采取纠正措施。 您还应该确保禁止从网络外部扫描易受攻击的IoT设备。 为了提供帮助，实施严格的访问控制和操作系统强化，并开发用于修补不同代码版本，联网设备和应用程序的过程。

单击图像的完整图表。 图片来源： Twistlock

PCMag：读者问我们的另一个问题是关于容器安全性。 您是否担心可能包含复杂攻击系统的武器化容器，或者您认为该架构可以防止此类攻击？

BK：任何新强调的技术的安全性始终是人们日益关注的问题–容器在这方面并不是唯一的。 但是，与许多安全挑战一样，也需要权衡取舍。 尽管可能会增加风险，但我们也相信针对我们可以控制的风险，存在有效的缓解策略。

容器本质上是一个高度瞬态，轻量级的虚拟化操作系统环境。 虚拟机是否比单独的物理服务器安全性低？ 在大多数情况下，它们是。 但是，许多企业看到了虚拟化带来的成本优势（花费更少，易于管理，可以轻松地重新利用机器），他们选择在充分利用这些优势的同时最大程度地降低风险。 英特尔甚至意识到，它们可以帮助自己减轻一些风险，而这正是英特尔VT的来历。

容器进一步节省了最初的成本，并进一步提高了虚拟化的灵活性。 由于每个容器和主机操作系统之间的壁很薄，因此它们也更具风险。 我不知道对隔离的任何硬件支持，因此由内核决定每个人的状态。 公司必须权衡这项新技术的成本和灵活性优势以及这些风险。

Linux专家很担心，因为每个容器都共享主机的内核，这使得漏洞利用的表面积比KVM和Xen等传统虚拟化技术要大得多。 因此，可能会发生新的攻击，其中攻击者会入侵一个容器中的特权以访问（或影响另一个容器中的条件）。

我们还没有太多针对特定于集装箱内部的安全传感器的方法。 我认为，该领域必须成熟。 此外，容器不能使用CPU内置的安全功能（如Intel VT），这些功能允许根据其特权级别在不同的环中执行代码。

最后，对物理服务器，虚拟机和容器有大量利用。 新的无时无刻不在出现。 甚至使用气隙分离的机器。 IT专业人员应担心所有这些级别的安全性受到损害。 所有这些部署类型的许多防御措施都是相同的，但是每种防御措施都有其自己的额外安全防御措施，必须加以应用。

托管提供程序必须使用Linux安全模块（例如SELinux或AppArmor）来隔离容器，并且必须严密监视该系统。 保持主机内核更新以避免本地特权升级漏洞也很重要。 唯一ID（UID）隔离也很有帮助，因为它可以防止容器中的root用户实际成为主机的root用户。

PCMag： PCMag.com未能对托管安全服务提供商（MSSP）进行大规模比较的一个原因是，由于该术语的含义以及该提供商可以提供和应该提供的类别，行业存在混乱。 您可以分解Rackspace的托管安全服务吗？ 它的作用，与其他提供者的不同之处以及您的去向，使读者可以很好地了解使用此类服务​​时他们要注册的内容？

BK： MSSP必须接受安全性尚未发挥作用，并调整其策略和运营以在当今的威胁形势下更加有效，因为它包含了更多复杂而持久的对手。 在Rackspace，我们认识到了这种威胁变化，并开发了缓解威胁所需的新功能。 Rackspace管理的安全性是24/7/365的高级检测和响应操作。 它的设计不仅可以保护公司免受攻击，而且即使在成功入侵环境之后，也可以在发生攻击时最大程度地降低业务影响。

为此，我们通过三种方式调整了策略：

我们专注于数据，而不是周边。 为了有效应对攻击，目标必须是最大程度地减少业务影响。 这需要对公司业务以及我们要保护的数据和系统的背景有全面的了解。 只有这样，我们才能了解正常情况，了解攻击并以最小化对业务的影响的方式做出响应。

我们假设攻击者已进入网络，并使用高技能的分析师来追捕他们。 一旦进入网络，攻击就很难用工具来识别，因为在安全工具上，高级攻击者看起来像是执行正常业务功能的管理员。 我们的分析师积极地寻找工具无法警告的活动模式-这些模式是将我们引向攻击者的足迹。

仅仅知道您受到攻击是不够的。 应对攻击发生时的响应至关重要。 我们的客户安全运营中心会使用一系列“预先批准的操作”，以在受到攻击后立即做出响应。 这些本质上是我们尝试过并经过测试以成功应对攻击发生时运行的书籍。 我们的客户会看到这些运行记录，并批准我们的分析师在入职过程中执行它们。 结果，分析人员不再是被动的观察者，他们可以在检测到攻击者之后立即（通常在实现持久性之前和业务受到影响之前）主动关闭攻击者。 这种响应攻击的能力是Rackspace独有的，因为我们还管理着为客户保护的基础架构。

此外，我们发现合规性是安全性做得好的副产品。 我们有一个团队，通过证明和报告我们帮助客户满足的合规性要求，充分利用了作为安全运营的一部分而实施的严格性和最佳实践。

PCMag： Rackspace是OpenStack的坚定支持者，确实是著名的创始人。 我们的一些IT读者曾问过，这种开放平台的安全开发实际上是否比诸如Amazon Web Services（AWS）或Microsoft Azure这样的封闭系统的开发速度慢且效率低，因为困扰着人们的“太多厨师”难题许多大型的开源项目。 您如何回应？

BK：使用开放源代码软件，“错误”可以在开放社区中找到并在开放社区中修复。 无法隐藏安全问题的程度或影响。 使用专有软件，您只能靠软件提供者来修复漏洞。 如果他们六个月不采取任何措施怎么办？ 如果他们错过了研究人员的报告怎么办？ 我们将所有您称为“巨大的软件安全支持者”的“太多厨师”视为“专家”。 数以百计的智能工程师经常查看像OpenStack这样的主要开放源代码软件包的每个部分，这使得缺陷很难从裂缝中溜走。 对漏洞的讨论和修复方案的评估是公开进行的。 专用软件包永远不会收到这种按代码行级别的分析，并且这些修补程序也永远不会得到如此公开的审查。

开源软件还允许在软件堆栈之外进行缓解。 例如，如果出现OpenStack安全问题，但是云提供商无法立即升级或修补漏洞，则可以进行其他更改。 可以暂时禁用该功能，或者可以通过策略文件阻止用户使用该功能。 在应用长期修复之前，可以有效缓解这种攻击。 封闭源软件通常不允许这样做，因为很难看到需要缓解的内容。

此外，开源社区会迅速传播有关这些安全漏洞的知识。 问题“我们如何防止以后发生这种情况？” 很快就会被询问，并以协作的方式进行公开讨论。

PCMag：让我们在本次采访的原始问题上结束：您是​​否同意分析师认为，2017年将是企业采用云技术的“突破年”，主要还是至少部分是由于企业对云提供商安全性的接受？

BK：让我们退一步来讨论不同的云环境。 您的大部分问题都指向公共云市场。 如上所述，Forrester研究人员注意到云提供商与消费者之间的“不均匀握手”，因为云提供商提供了一系列服务，但是云消费者通常认为他们在安全性，备份，弹性，自加入Rackspace以来，我一直主张云提供商必须通过与我们的消费者更加透明来平衡这种握手。 在公共云环境中，握手到今天仍然无处不在。

但是，私有云环境，尤其是由用户自己实现的私有云环境，不会受到这种幻想的影响。 消费者对购买的商品以及提供商所提供的商品更加清楚。 尽管如此，随着消费者对购买过程的期望提高，并且云提供商加强了我们的游戏以提供更完善的服务和透明度，将工作负载从传统数据中心迁移到公共云环境的与情感和风险相关的障碍正在迅速下降。 。

但是我认为这不会在2017年掀起云计算的热潮。移动工作负载和整个数据中心需要进行重大的计划和组织变革。 它与升级数据中心的硬件有很大不同。 我鼓励您的读者学习Netflix过渡； 他们通过迁移到云来改变了他们的业务，但是这花了他们7年的辛苦工作。 首先，他们对大多数应用程序进行了重构和重新编写，以使它们更高效，更好地适应云。

我们还看到许多消费者以混合云架构为起点在数据中心采用私有云。 这些似乎正在加速。 我相信采用曲线在2017年可能会出现弯头，但要真正实现这种增长还需要几年的时间。