【IT168 资讯】随着云应用的普及,云安全不再是空泛的概念和技术设想,已有众多厂商针对云的安全脆弱点开发出相应的产品并投入市场。产品往往是技术成熟度的非常好的体现,下面启明星辰就围绕2016年RSA大会上的云安全产品,为你解读云安全的发展趋势。
趋势一:云访问安全代理(CASB)成为热点
为了节约成本、提高效率,企业倾向于在业务中使用基于云的应用服务,例如Salesforce、Office365、Box等SaaS服务。但是,如何保证云应用在使用过程中的安全性、合规性成为企业IT部门需要解决的问题,而CASB就是解决方案之一。根据Gartner的定义,CASB是一种本地或基于云的安全策略执行点,位于云服务消费者和云服务提供商之间,在云中资源被访问时,组合并执行企业的安全策略。在本次大会云安上参展的云安全产品中,CASB产品数量占比最大,参展的大小安全厂商有十几家,例如Bitglass、Bluecoat、Skyhigh等等。尽管各家在产品形态、部署模式、分析方法上各有不同,但产品的主要功能是在用户和云应用服务之间提供单点登录、访问控制、行为监控、数据防护、安全合规等。CASB厂商数量的增多与国外云应用市场规模的扩大密不可分,随着国内云应用市场的发展,CASB是值得国内安全企业关注的云安全技术发展趋势之一。
图1 CASB厂商bitglass展台
趋势二:充分利用云的北向接口,加强产品自动化
云平台的API为应用开发提供了丰富接口。本次参展的众多云安全产品,包括CASB类、安全管理类、安全编排类等等都用到云平台的API。例如CASB厂商Clocklock利用云平台的API监控用户对云应用的使用信息;安全管理类厂商AlgoSec利用云平台的API获取云平台安全配置信息并进行策略推送;特别是Cryptzone的Appgate XDP,该产品是一种云接入VPN,除了在部署方式上创新地采用分布式部署之外,该产品的一大特色就是通过调用云平台的API,能够自动识别云中服务的变化,从而自动调整相应的VPN策略。可见,云平台提供的API是获取安全信息、推送安全策略的便捷渠道,安全产品开发要充分挖掘、利用这一资源,将云平台功能与安全功能整合,加强产品的自动化。
图2 Cryptzone Appgate XDP产品架构
趋势三:云安全管理更加注重可视化和联动
对于传统数据中心而言,可视化、联动一直是安全管理类产品的关键属性。而随着云数据中心时代的到来,其规模要远远大于传统数据中心,因此也对安全管理的可视化、联动提出了更高的挑战。本次参展的安全管理类产品中,有特点的可视化展示来自于基于AWS进行安全管理的厂商Demo9。大多数云平台的安全组策略均以表格形式展示,并不直观,而Demo9通过收集AWS上的安全组策略信息,进行分析整理后,将租户的安全信息从安全域的角度用图形加以展示,便于管理员理解并进行后续操作。而联动方面表现突出的是AlgoSec公司产品,其能够对本地防火墙和云中安全组进行统一的策略管理。以业务互联为需求,在网络发生变化时,协助用户对本地的、云中安全策略进行自动化调整。该产品支持的云平台有AWS、Microsoft Azure、vCloud,能够联动的网络安全厂商有CheckPoint、Paloalto、F5、Fortinet、WatchGuard、Hillstone、Juniper等等。大规模的云数据中心需要云安全管理产品更加注重安全状态的细粒度的、可视化的呈现以及策略快速部署能力,进而对不同安全厂商产品之间的联动提出更高需求。
图3 AlgoSec产品架构
趋势四:各种安全功能云服务化
基于云的安全服务是基于构建在云端而非用户本地的安全防护设施,以服务的方式对用户进行防护的技术。之前常见的基于云的安全服务通常是恶意代码检查和DDoS服务,在本次大会上,在此之外又出现了更多基于云的安全服务产品,大多数CASB产品都采用云服务的模式,例如今年10大创新沙盒之一的Menlo Security基于云的终端安全,Trusted Knight基于云的WAF,以及ServiceNow基于云的SoC等等,这种产品的特点是安全功能部署与企业网络松耦合。随着云计算技术的不断成熟,采用云的方式实现各种安全功能并提供服务,能够为企业节约成本、增强管理的灵活性,必将成为云安全部署的发展趋势之一。这种方式不但适合公有云,也适应大型机构的私有云。
图4 云SoC服务厂商ServicceNow展台
从本次大会的云安全产品来看,云安全防护与传统网络安全防护在功能、技术上来讲是一脉相承的。但是由于云计算的虚拟化、数据远程化、大规模等特点,使得云安全在访问控制、部署方式、可视化展示、自动化推送等等方面与传统网络安全有所不同,也呈现出其独特的发展趋势。