科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全云安全多维关系剖析之产业篇——云计算安全产业观察与思考

云安全多维关系剖析之产业篇——云计算安全产业观察与思考

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

又值岁末年初之际,一直打算撰写一系列文章来梳理云安全产业发展、技术发展的脉络,以期能通过洞察过去,来重塑现在以及展望未来,本文从产业和技术生态环境的角度来探讨云计算及安全产业的现状成因及发展趋势。

来源:至顶网安全频道2018-01-15 15:19:53

关键字: 阿里云 AWS 产业观察 云安全

  • 评论
  • 分享微博
  • 分享邮件

又值岁末年初之际,一直打算撰写一系列文章来梳理云安全产业发展、技术发展的脉络,以期能通过洞察过去,来重塑现在以及展望未来,本文从产业和技术生态环境的角度来探讨云计算及安全产业的现状成因及发展趋势。

从群体与个人的关系视角来看,正如每个人有自己的个性和共性,而每个群体也有群体的个性和共性,本文希望能从生态体系的宏观格局出发,剖解每一个生态上下游的微观视图,千人千面、千面一人以及千人一面都是这个丰富产业的多彩特性。

生态体系的形成又可分为多个层面,下面我们从产业生态和技术生态的关系来切入主题。

1.产业生态视角

从用户使用场景来看,云计算服务分为公有云、私有云、混合云、社区云等多种业态,每个业态的生态环境各有不同。由于云计算服务集成了服务器、存储、网络等基础设施,因此传统的IT上下游产业围绕云计算服务提供能力被重新集成与整合,在这里笔者将公有云产业生态构成划分如下图所示。

云安全多维关系剖析之产业篇——云计算安全产业观察与思考

图1 公有云生态图

在云业务实际运行汇总,图中的很多角色不一定单独存在,一角多职是常态。云服务运营商作为面向最终用户的入口和平台,经常会一家独大、赢者通吃,除了作为软件服务提供商外,还兼具云服务集成商等多个角色,而安全作为是其业务能力输出与保障的一部分,通常是被云服务集成商集成为一部分能力,即为云市场中的ISV。

2.技术生态视角

也许在很多人眼中,还在把云计算和虚拟化、虚拟机等底层技术划等号,而这只是IaaS发展的早期阶段。殊不知发展至今时今日,云计算已经成为了重要基础设施,其上承载了几大基础能力包括大数据处理框架、AI运算框架、物联网云中心等热点领域方向,而大数据、AI(机器学习)也已和云计算形成了融合的技术生态,可以说未来AI应该的发展离不开云计算提供的弹性按需异构硬件算力及通用框架。云计算的上层服务也朝着微服务、无服务器代码框架的方向发展和演进。

现在我们仍以公有云为例,下面通过AI技术热点方向及安全产品能力两个维度看一下当前国内外的云服务提供商自身在新技术能力支撑、安全产品方案方面布局与积累。以下两个表格分别对比列举了国外的亚马逊AWS云及国内的阿里云的相关情况。

 

AI能力

AWS

  1. Amazon SageMaker 是一项完全托管的服务,使开发人员和数据科学家能够快速轻松地以任何规模构建、训练和部署机器学习模型。
  2. Amazon Comprehend 是一项自然语言处理 (NLP) 服务,可利用机器学习发现文本中的含义和关系。
  3. Amazon Lex 提供高级的自动语音识别 (ASR) 深度学习功能,可以将语音转换为文本,还提供自然语言理解 (NLU) 功能,可以识别文本的意图。
  4. Amazon Polly 是一种文本转语音服务,它使用高级深度学习技术来合成很像人声的语音。
  5. Amazon Rekognition 使用深层神经网络模型来检测和标记图像中的数千个对象和场景。
  6. Amazon Machine Learning 提供可视化的工具和向导,使用户按部就班地创建机器学习模型,而无需学习复杂的机器学习算法和技术。
  7. Amazon Translate 是一项神经网络机器翻译服务,可提供快速、高质量且经济实惠的语言翻译。
  8. Amazon Transcribe 是一种自动语音识别 (ASR) 服务,让开发人员能够轻松地为其应用程序添加语音转文本功能。
  9. AWS DeepLens 是面向开发人员的全球首个支持深度学习的摄像机,可通过完全可编程的摄像机、教程、代码拓展深度学习技能的预受训模型。
  10. AWS Deep Learning AMIs提供了预安装热门机器学习框架的EC2实例,可以加速用户在云中的深度学习进程。
  11. Apache MXNet是一种快速并且可扩展的训练与推理框架,附带简单易用的机器学习 API,让各种技能水平的开发人员都可以在云、边缘设备和移动应用程序上开始进行机器学习。
  12. TensorFlow on AWS:用户可以启动与 TensorFlow 绑定的AWS Deep Learning AMI,以及其他热门的深度学习框架来使用该服务。

阿里云

  1. 机器学习PAI是一款一站式的机器学习平台,包含数据预处理、特征工程、常规机器学习算法、深度学习框架、模型的评估以及预测这一整套机器学习相关服务。
  2. 人脸识别(Face Recognition)实现了图像或视频中人脸的检测、分析和比对,包括人脸检测定位、人脸属性识别和人脸比对等独立服务模块,可为开发者和企业提供高性能的在线API服务。
  3. 图像识别服务(Image Recognition)基于大数据和深度学习实现,可精准识别图像中的视觉内容,包括上千种物体标签、数十种常见场景等,包含场景分类、图像打标、鉴黄等在线API服务模块。
  4. 智能语音交互(Intelligent Speech Interaction),是基于语音识别、语音合成、自然语言理解等技术,为企业在多种实际应用场景下,赋予产品“能听、会说、懂你”式的智能人机交互体验。
  5. 自然语言处理旨在帮助用户更好的处理文本分析需求。
  6. 印刷文字识别(OCR)将图片中的文字识别出来,具体服务包括身份证文字识别、门店招牌识别、名片识别等证件类文字识别场景。

表1AWS & 阿里云AI能力表

目前行业专家的共识是,人工智能将在未来的几年到几十年内彻底改变各个行业的格局和市场,因此国内外的云计算巨头更是不遗余力的投入,以期抢占战略制高点。从表1中可以看到,AWS及阿里云在AI技术上的投入都很大,目前AWS上线的AI相关服务多达12项,阿里云上也有6项AI服务。作为公有云的第一巨头,亚马逊从人工智能的开发者和使用者两个维度提供了丰富的产品线,用户在搭建架构的时候可以像拼图一样从AWS的产品列表中找到合适的产品。现状是AWS按照数据管理和处理、训练、边缘设备预测三个环节提供了从人工智能基础设施到API的产业链布局。阿里云也在今年10月份的云栖大会上推出了全新一代异构加速平台,提供了底层基础设施到制造业、交通、医疗、环境等领域的全套解决方案,通过全链路的人工智能生态建设,使开发者和使用者都能从阿里云的产品中赋能。总结一下,亚马逊从产品技术层面切入AI产业,而阿里云则是从应用生态布局AI。

 

安全能力

AWS

  1. AWS Identity and Access Management (IAM) 能够安全地控制用户对 AWS 服务和资源的访问权限,用户可以使用 IAM 创建和管理 AWS 用户和群组,并使用各种权限来允许或拒绝他们对 AWS 资源的访问。
  2. Amazon Cloud Directory 能够构建灵活的原生云目录,以便沿多个维度组织数据层次结构。传统的目录解决方案,如 Active Directory 轻型目录服务 (AD LDS) 和其他基于 LDAP 的目录均限于单个层次结构,Cloud Directory 却能灵活地使用跨多个维度的层次结构创建目录,并提供可与多个应用程序共享的可扩展架构。
  3. Amazon Cognito 用户池提供一个可将用户规模扩展到数亿的安全用户目录。借助 Amazon Cognito可以快速轻松地为 Web 和移动应用程序添加用户注册/登录和访问控制功能,并支持通过 SAML 2.0 使用社交身份提供商 (如 Facebook、Google 和 Amazon) 以及企业身份提供商进行登录。
  4. Amazon GuardDuty 是一种托管的威胁检测服务,可持续监控恶意或未经授权的行为,从而帮助保护AWS 账户和工作负载。该服务会监控表明账户可能被盗用的活动,如异常 API 调用或潜在未授权部署。GuardDuty 还能检测到各种威胁,例如实例可能被盗用或者遭到攻击者监视。
  5. Amazon Inspector 是一项主机安全服务,有助于提高在 AWS 上部署的应用程序的安全性与合规性。Amazon Inspector 会自动评估应用程序的漏洞以及相较于最佳实践的偏差。
  6. Amazon Macie可通过机器学习自动发现、分类和保护 AWS 中的敏感数据。Macie 可识别个人身份信息 (PII) 或知识产权等敏感数据,并为用户提供控制面板和警报,使用户可以看到这些数据是如何被访问或移动的,Macie 现在可用于保护 Amazon S3 中存储的数据。
  7. AWS Certificate Manager可帮助用户轻松地预置、管理和部署用于 AWS 服务的安全套接字层/传输层安全性 (SSL/TLS) 证书。
  8. AWS CloudHSM 是基于云的硬件安全模块 (HSM),让用户能够在 AWS 云上轻松生成和使用自己的加密密钥。借助 CloudHSM,可以使用经过 FIPS 140-2 第 3 级验证的 HSM 管理自己的加密密钥。
  9. AWS Directory Service 又称为 AWS Microsoft AD,可以支持目录感知型工作负载和各种 AWS 资源,让用户可以在 AWS 云中使用托管的 Active Directory。
  10. AWS Key Management Service (KMS) 是一项使用硬件安全模块 (HSM) 保护密钥安全的托管服务,可帮助用户轻松创建和控制用于加密数据的加密密钥。该服务可与许多其他 AWS 服务集成,以帮助您保护用这些服务存储的数据,还能与 AWS CloudTrail 集成,从而为用提供所有密钥的使用记录,满足监督和合规性要求。
  11. AWS Organizations 可为多个 AWS 账户提供基于策略的管理。借助 AWS Organizations可以创建账户组,然后将策略应用于这些组。Organizations 支持针对多个账户集中管理策略,无需使用自定义脚本和手动操作流程。
  12. AWS Single Sign-On (SSO) 是一项云 SSO 服务,可以轻松地集中管理对多个 AWS 账户和业务应用程序的 SSO 访问。用户可以利用现有的企业凭证登录用户门户,并从同一位置访问所有已分配的账户和应用程序。
  13. AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的 Web 应用程序。
  14. AWS WAF 是一款 Web 应用程序防火墙,帮助保护Web 应用程序免受常见 Web 漏洞的攻击。可以将 AWS WAF 作为 CDN 解决方案的一部分部署到 Amazon CloudFront 上,也可以将其部署到位于 Web 服务器或来源服务器 (运行于 EC2 上) 之前的 Application Load Balancer (ALB) 上。
  15. AWS Artifact是一个审计与合规门户,允许按需访问以下载 AWS 合规性报告和管理选择协议。

阿里云

  1. DDoS高防IP可以提供1000G+的DDoS清洗能力,完美防御SYN/ACK/DNS/HTTP/CC攻击,可以提供实时应用层抗DDoS攻击的能力。
  2. Web应用防火墙是网站必备的一款安全防护产品。 通过分析网站的访问请求、过滤异常攻击,保护网站业务可用及资产数据安全。
  3. 云防火墙是一款云计算环境下的防火墙产品。云防火墙基于业务可视化、实现业务分区分组,可以清晰的甄别合法访问和非法访问,从而执行安全隔离策略。
  4. 安骑士是轻量级的主机安全产品,集安全配置核查、漏洞管理、入侵防护于一体,让攻击无“门”,服务器稳定运转。
  5. CA证书服务可以提供云上签发Symantec、CFCA、GeoTrust SSL数字证书,部署简单,实现全站HTTPS化,防监听、防劫持,呈现给用户可信的网站访问。
  6. 移动安全为移动APP提供安全漏洞、恶意代码、仿冒应用等检测服务,并可对应用进行安全增强,提高反破解和反逆向能力。
  7. 数据库审计服务可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。支持RDS云数据库、ECS自建数据库,为云上数据库提供安全诊断、维护、管理能力。
  8. 加密服务满足云上数据加密,密钥管理、加解密运算需求的数据安全解决方案。
  9. 数据风控凝聚阿里多年业务风控经验,专业、实时对抗垃圾注册、刷库撞库、活动作弊、论坛灌水等严重威胁互联网业务安全的风险。
  10. 内容安全可以智能识别文本、图片、视频等多媒体的内容违规风险,如涉黄,暴恐,涉政等,省去90%人力成本。
  11. 态势感知是安全大数据分析平台,通过机器学习和结合全网威胁情报,发现传统防御软件无法覆盖的网络威胁,溯源攻击手段、并且提供可行动的解决方案。
  12. 堡垒机基于协议正向代理实现,对SSH、Windows远程桌面、SFTP等常见运维协议的 数据流进行全程记录,再通过协议数据流重组的方式进行录像回放,达到运维审计的目的。
  13. 阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,保障用户业务安全。
  14. 混合云为在用户自有IDC、专有云、公共云、混合云等多种业务环境为用户建设涵盖网络安全、应用安全、主机安全、安全态势感知的全方位互联网安全攻防体系。
  15. 先知平台提供私密的安全众测服务,可帮助企业全面发现业务漏洞及风险,按效果付费。

表2AWS & 阿里云安全能力表

无论从云计算的采用之初到现在大规模的替代传统IT基础设施,安全一直是不变的话题和用户最主要的关注点。通过表2的对比分析,我们可以看到AWS和阿里云在安全的投入之多,两家公司自研提供的云安全服务均达到15项,AWS和阿里云都提供相应的安全功能有以下方面:基础安全防护、网络安全防护、传输安全防护、管理运维安全(日志分析等)。但二者的侧重点有所不同,AWS更注重用户服务及安全的管理,让用户和本地应用策略对接的更方便平滑,而阿里云则是从立体的维度提供了多层安全防御措施,从整体看目前缺乏和云服务系统业务整合的安全能力。

目前公有云安全的共识是云平台和云租户共担责任、安全共治,不同云公司落实到具体的安全战略和策略不一。AWS和阿里云的安全思路和实践代表了业内的两种路线,即管家式安全和保姆式安全。笔者近期统计了AWS和阿里云各自的云安全市场产品数量,AWS安全市场目前有1331个安全产品,其中防火墙有221个,IDS有30个,IPS有128个,WAF有85个,其他占867个;阿里云市场中有307款安全产品,其中防火墙有28个,UTM有2个,IPS有13个,WAF有11个。可以看出AWS的安全战略是走安全伙伴的生态合作路线,主要通过云市场的ISV来提供服务,给用户更多的安全选择权,其近年也做了一些商业安全产品,而阿里云则从成立之初就确立了对云租户安全能力的输出与覆盖。应该说对不同需求和能力的用户,这两种路线各有优劣。关于云平台可以介入多深的安全范围也一直是业内的讨论热点,本文就不做更多讨论了。

3.合纵发展

很多新技术会伴随着产业发展的不同阶段更新迭代,出现消亡。很多情况下,技术对产业的发展起到的作用是支持性的、跟随性的。而颠覆产业的新技术往往是跨界的,因此在产业群体的共生进化发展中,各产业之间是合纵融合的,这扩展了我们的观察思考维度。在信息化时代飞速发展的今天,网络安全是一切产业发展的必备因素和基本需求,共生与独立将是两种长期存在形态。

以上仅代表个人的一些思考观点,如有疏漏偏颇,敬请指正。

科技行者:每条内容都是头条的新闻客户端 扫码立即下载

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    相关文章
    最新文章