云屏科技李旭阳:企业采用云服务后面临的安全新挑战

李旭阳:大家下午好!我是云屏科技的李旭阳。今天跟大家分享的主要内容是在企业服务越来越多的迁移到云上以后,给企业信息安全带来的新挑战。

李旭阳

随着SaaS在全球的普及,以软件为基础的服务模式正在向云上迁移。2016年初,SaaS开始发展,我们相信国内的SaaS发展势头会越来越好。在2007年之后,全球基本上没有一家纯粹软件公司的创投。大部分新项目的启动都是跟云有关的。包括美国政府和微软在内,大部分欧美企业都已经开始考虑“云优先”的策略。

目前,中国的SaaS处于初级发展阶段,网络安全行业面临哪些新的挑战?

传统的软件都是部署在企业内网,内网是由防火墙保护的企业网络。在越来越成熟的防火墙保护机制的保护下,企业内网是相对安全的。当然,排除掉最近发生的勒索病毒。总体来说,防火墙起到了比较好的保护作用。当这些服务迁移到云上以后,从左边到右边,企业原来的服务是在内网,现代化越来越多的是在云上。现在企业员工可以在任何地方使用这些服务。原来在内网比较安全的防火墙保护机制下的数据,到了云上以后,安全的防护措施在哪里?我经常提的一句话,企业服务从内网到了云上,安全没有完全跟上。

美国著名分析师的调查,企业未采用SaaS的首要原因是安全。McAfee2016年底的调查显示,49%的回复者因缺少安全技能而延缓了云部署。安全成为阻挠SaaS发展的关键原因。

企业服务由内网迁移到外网以后,是不是要有一个类似于防火墙的保护机制?SaaS的云的防火墙,应该采取哪些保护措施,才能实现SaaS上的数据与内网数据获得一样的安全保障呢?

企业服务从内网迁移到外网,数据迁移到云上,它存在的安全隐患跟原来的内网有哪些不同点和共同点。所有的威胁无非来自于外部和内部。外部攻击,首先是黑客无处不在,瞄准的是各种网络。到了云上,黑客的攻击只会更频繁、更明显。因为你的服务都暴露在所有人的面前。黑客就更容易找到攻击目标;第二,原来的数据,自己买了服务器,买了各种各样的安全软件,在内网里使用,没有第三方获取你的数据。现在数据上云了,你的数据托管在平台上,第三方平台会不会泄露你的数据?

内部的原因。企业服务都在内网的时候,是在封闭的网络运转。现在使用了SaaS,企业的IT人员已经不知道各个部门都采购了什么。以前各个部门要安装软件,至少要IT人员帮你安装,需要遵守入网的规则。现在各个部门都可以购买自己使用的软件,自行安装,并没有经过IT部门。各种各样的SaaS使用,已经失去了控制。以前你的数据在内网上,现在有各种各样的数据流。我用我的手机到云盘上下载文件,存到手机,又通过微信传给另外一个人,企业根本没办法阻断。很多的服务和数据迁移到云上,数据流已经失去了防火墙保护的控制。还有设备丢失的情况。在企业内网的情况下,比较容易发现设备被盗的情况。

基于这样一些新的内外威胁,云服务的防火墙应该具备哪些保护功能?外部的黑客入侵、平台违规、人员违法,内部的恶意合法访问、疏忽账号滥用、意外遗失设备。以前的数据都在企业内部流转,现在是哪些数据可以上云,哪些数据不能上云。这些都是企业所面临的新挑战。

对于这些安全隐患,应该采取哪些保护措施?对于外来的黑客入侵,需要系统的防护措施。原来只是保护企业的一个内网,现在要保护这么多的SaaS,系统安全保护的复杂程度会提高。针对平台违规和人员违法,应该采取各种各样的加密措施,你要提供SaaS服务,但不能让第三方泄露企业数据。对于内部来说,应该进行各种各样的行为分析,什么人、什么时间、使用什么样的应用、从什么样的设备、什么样的网络环境、有没有异常行为。对于终端的保护,一个员工离职了,现在很多企业允许员工使用自己的电脑,也允许员工手机连接企业内网。员工离开公司的时候,怎么样保证他已经清除掉公司的数据。这也是云屏科技为什么要做这些事情的原因。

基于我们自主创新的准备在申请中美专利的技术,可以保证用户数据的生命周期。数据流到哪里,我们一清二楚,员工的设备里还有没有企业的数据,可以让企业管理人员一目了然的了解,而且可以一键清除、一键加密。

很多中国的SaaS都是放在阿里云和腾讯云上。阿里云的云盾能做什么、不能做什么。整个云的架构,从底层的云平台,到中间和上层的SaaS、PaaS这些具体给用户提供服务的服务提供商,再加上用户的设备和数据,云盾在哪里?云盾做的事情是保证阿里云平台运营的正常性,防止黑客攻破云平台,防止DDos破坏SaaS的运行机制,就像一个社区,它要保证社区外围的安全。进入小区以后,每一个不同的应用,怎么样保证每一户人家的安全呢?

云屏要做的是在云盾的底层保护的基础上,我们加了真正给企业用户解除SaaS使用担忧的安全防护。云盾是在底层系统层保证平台的稳定性。云屏要做的是保证企业数据在第三方平台上使用的安全性、稳定性,以及不被泄露。

对于一些没有系统保护的云平台,可以使用云屏的系统保护。我们提供了世界顶级的防护措施。除此之外,更重要的是数据的加密。你的数据放在第三方平台上,怎么样解除你的担忧。因为结构化和非结构化数据加密技术,可以保证继续享受SaaS的便利,又不让SaaS提供方看到任何关键数据;行为分析,当这么多的员工使用各种各样的SaaS,怎么保证企业有一个统一的界面去进行监控、管理和跟踪。我们采用了态势感知和大数据分析方法,可以查知各种各样的异常行为。终端管理是整个系统中的一部分,可以帮助企业监控到每一个员工在使用什么样的SaaS。防数据泄露,可以监控数据的生命周期,这个数据到哪里去了、可以让对方保留多长时间、是否可以转发、是否可以打印。

我在美国工作了二十多年,2000年开始在硅谷创业。2011年,我开始创业,做了移动安全公司,百度手机卫士就是我的产品,2013年初被百度收购。2013年初加入百度,任百度的全球安全顾问。2015年5月份离开百度,开始启动新的云屏项目。我们的目标是用硅谷的技术和理念,在中国创造出世界一流的网络安全公司。

谢谢大家!

上一篇:张新跃:落实《网络安全法》要求,做好关键信息基础设施安全保护

下一篇:中国联通高枫:电信能力开放安全标准化研究