現在是“數字化轉型”的時代。如果您企業的數字化轉型目前還沒有提上日程,那麼它可能已經在到來的路上了。其實“數字化轉型”並不是一個單純的流程或者結果,從某些方面來看,它是企業轉型過程中的其中一個鏈條,也是一個驅動力,推動我們進行IT轉型,以及相應的安全轉型。
安全是與主體緊密關聯的,它存在的唯一目標就是為了保護主體的安全性。在數字化轉型過程中,安全團隊需要主動與業務團隊和IT團隊密切合作,構建良好的合作伙伴關係,以企業數字化轉型需求為目標,圍繞業務生產力、可靠性和安全性建立共同目標並制定安全戰略,從而通過安全轉型與這些合作伙伴共同實現這些目標。
隨著數字化轉型的逐步推進,我們的企業IT環境也是在不斷進化的。“Cloud First, Mobile First”,我們正在擁抱雲端計算的時代。我們的企業網路範圍越來越龐大,同時也越來越複雜,而網路邊界也隨之越來越模糊。
但是,我們所面臨的最終的安全風險和挑戰,以及我們需要實現的終極安全目標,並不會因為我們使用了雲端計算而發生變化,只是這個目標的具體實現方式發生了變化而已。對於安全團隊而言,我們仍然需要專注於抑制安全攻擊所引入的安全風險和影響,確保我們所有的應用系統、服務和資料滿足“安全三要素“-機密性、完整性和可用性的要求,以及隱私保護和安全合規的要求。與“擁抱雲端計算”一樣的,我們也需要“擁抱雲端計算安全”,並且將“雲端計算安全”作為我們企業現代化安全戰略的重要組成部分。
雲端計算如何改變安全團隊?
“道高一尺,魔高一丈”,隨著IT技術的不斷進化,我們所面臨的安全威脅也是高度進化的。安全團隊也需要具備現代化的安全戰略、戰術策略、安全架構、安全技術以及相應的人員和流程,才能充分的應對高度進化的安全威脅。因此,在雲端計算的時代,安全團隊也需要充分的擁抱雲端計算、大資料、機器學習和人工智慧等現代化的新型技術,才能更好的應對各種攻擊行為。
但是這種變革往往是痛苦的,特別是在從傳統企業安全轉變到擁抱雲端計算安全的變革初期。在這個時候,安全團隊通常仍然會沿用傳統的企業安全思維去保護雲端計算服務和平臺。在這個時候,安全團隊往往會遭遇以下兩個問題:
- 現有安全團隊人員缺乏針對雲端計算安全相關的知識和技能,從而缺乏對於雲端計算服務相關的完善支援和防護能力,無法為企業有效的抵禦和防範網路安全風險,從而無法對企業的業務轉型和數字化轉型提供有力的安全和決策支撐。
- 由於雲端計算服務的技術變革,我們所面臨的安全架構也在進行變革。而傳統的企業網路安全工具,往往缺乏針對雲端計算服務和平臺的有效或者高效支援,以及針對雲端計算平臺和服務的有效攻擊防範和威脅檢測,存在技術能力上的缺失。
但是,“以史為鑑,可以知興替“,我們既然無法阻擋雲端計算所帶來的變革,何不主動擁抱雲端計算安全的變革呢?
在雲端計算的時代,安全團隊的職責,主要是以下兩者之一:
- 保護雲端計算服務、平臺和資料。當企業進行數字化轉型、擁抱雲端計算時,我們需要將安全整合到雲端計算服務的規劃、設計、部署、實施和運營中,確保企業的安全策略和規範標準能夠在所有的雲端計算服務和平臺上得到有效和高效的實現。
- 應用雲端計算所提供的現代化安全技術和能力。“工欲善其事,必先利其器”。我們所面臨的安全威脅是高度進化的,因此安全團隊也需要具有相匹配的現代化的安全技術和能力,才能充分的應對高度進化的安全威脅。因此,在雲端計算的時代,安全團隊也需要充分的擁抱雲端計算以及相應的大資料、機器學習和人工智慧等先進技術所提供的安全技術和能力,才能更好的應對各種先進的攻擊行為,並滿足前面一個職責的需求。
在企業擁抱雲端計算的初期,往往先將雲端計算平臺看作一個額外的“虛擬資料中心”;在這個階段,安全團隊通常只是看到上面兩個職責中的前者 - “保護雲端計算服務、平臺和資料”。但是隨著企業IT採用雲端計算服務的不斷擴大與持續變革,以及現代化企業安全架構與安全技術的不斷應用,安全團隊的重心通常會轉移到上面兩個職責中的後者 - “應用雲端計算所提供的現代化安全技術和能力”。對於企業安全團隊而言, “應用雲端計算所提供的現代化安全技術和能力”通常具有以下收益:
充分的獲得基於雲端計算、大資料、機器學習和人工智慧等先進技術的、近乎無限計算能力和儲存能力的安全“洪荒之力”;
- 始終使用最新的安全情報、分析和防範技術與能力;
- 即插即用,所見即所得,快速啟用和擴充套件安全功能;
- 低人工干預,高自動化的資產識別與持續安全評估;
- 按需使用,低資本性支出(CapEx)。
雲端計算如何改變企業安全?
提及雲端計算相關的安全性,可能大家第一時間腦海裡面出現的,就是“共享責任模型”。這是因為雲端計算服務的核心理念為“租用模式”,基於您具體所使用的雲端計算服務型別的不同,您所擁有的安全控制和能力也不同,同時,您安全的責任也不同。您和雲端計算服務商是合作關係,為了實現有效和高效的安全防護,您必須和您的雲端計算服務商進行充分和緊密的合作。所有安全團隊都必須學習和理解這種“共享責任模型”,以適應雲端計算時代的、這一新世界的安全技術和能力組合,從而避免無意中造成企業安全態勢的缺口或重疊,從而導致安全風險或資源浪費。
在很多安全團隊人員的思想中,雲端計算安全只是一個傳統企業安全的增量,核心是圍繞著雲端計算服務進行安全防護,而不是替代傳統的企業安全。其實我認為,僅有這個思維是遠遠不夠的,雲端計算安全是一個技術的代際更替,類似於從大型機遷移到PC機。我們企業安全發展的未來是充分的“應用雲端計算所提供的現代化安全技術和能力”。我們需要充分的認識到這一變革的重要性和緊迫性,從期望和心態上發生根本性的轉變,從而才能成功的駕馭這一變化,從而減少組織內部的衝突,並提高安全團隊的有效性和高效性。
以下方面在“擁抱雲端計算安全”的安全戰略中具有非常重要的影響和地位,必須優先進行考慮:
- 具有共同目標的夥伴關係。在這個決策節奏快、過程不斷演變的時代,安全團隊不能再“以自我為中心”,而是必須與業務團隊和 IT 團隊密切合作,構建良好的合作伙伴關係,以企業數字化轉型需求為目標,圍繞業務生產力、可靠性和安全性建立共同目標,並與這些合作伙伴共同實現這些目標。
這種夥伴關係是"安全左移"的最終形式,即在業務流程中儘早整合安全,從而使解決安全問題更加容易和有效。這需要組織中的所有參與者(業務、IT和安全等)進行相應文化變革,並構建良好的組織協作氛圍。
就安全團隊自身而言,必須:
(1)瞭解業務目標和 IT 目標,以及為什麼每個目標都很重要,以及他們在轉型時如何考慮實現這些目標。
(2)分享為什麼安全在這些業務目標和風險中很重要,其他團隊可以做些什麼來實現安全目標,以及他們應該如何實現這一點。
- 雖然這不是一項容易的任務,但它對於可持續地保護企業組織及其資產至關重要。在初期,這種合作伙伴關係可能會導致安全的妥協乃至降低,但隨著時間的推移,將逐步穩步改善。
- 安全是一個持續的風險,而不是一個問題。安全性是安全風險的可能性與潛在負面影響的組合。你很難像解決一個問題一樣來解決安全風險,所有的安全風險也不是僅僅靠某個解決方案就能夠完美解決的。針對安全風險的管理是一個持續的過程。安全永遠是一場不完美的旅行,沒有終點,不進則敗。
- 無論業務生產力或安全性的成功都需要兩者兼得。對於企業組織而言,業務生產力和安全性是“魚和熊掌”都要兼得。如果企業組織沒有生產力並推動數字化轉型或創新,它可能會失去在市場上的競爭力,導致其最終失敗。如果企業組織不安全,那極為容易失去對企業資產的控制並且導致業務失敗,從而一樣會失去在市場上的競爭力,並最終導致失敗。
- 沒有完美的事物。我想,沒有哪個企業組織敢說自己是完美地在使用雲端計算,即便我們微軟。Microsoft IT團隊和安全團隊與我們的客戶一樣,在安全轉型過程中應對許多相同的挑戰,例如尋求如何更好的構建專案、平衡支援傳統環境與支援創新挑戰,甚至雲端計算的技術能力差距。隨著這些團隊學習如何更好地操作和保護雲端計算,他們正通過微軟Technet上的相關文件和Microsoft IT Showcase網站積極分享經驗教訓,同時不斷向我們的產品研發和工程團隊以及第三方供應商提供反饋,以持續改進產品和技術。因此,根據我們的經驗,我們建議團隊堅持不斷學習和改進的標準,而不是完美實現的標準。
- 轉型中不僅僅只有風險,也會帶來機會。危機危機,有危必有機,將數字化轉型視為安全的重要積極機會非常重要。雖然很容易看到這種變革的潛在缺點和風險,但是如果不積極參與,則很容易錯過重塑安全形色與定位以及獲取決策席位的巨大機會。安全轉型只有與企業業務轉型與數字化轉型緊密合作,才能使大家的工作都變得更為愉快,並更好的實現企業組織的使命。