《德国电信的云安全理念和服务架构对国内运营商的启示.docx》由会员分享,可在线阅读,更多相关《德国电信的云安全理念和服务架构对国内运营商的启示.docx(9页珍藏版)》请在第一文库网上搜索。
1、德国电信的云安全理念和服务架构对国内运营商的启示目录1.引言1?传统安全防护机制在云计算场景存在瓶颈1?原生云安全理念定义2?云时代的安全内功:德电安全理念5?云时代的安全输出:上云中的安全+安全的云化6?对国内运营商启示8?云时代,标准化+整体化的安全概念可从源头降低风险8?大力发展以主权云技术为首的系列云安全技术8?将熟客转化设置为云安全服务拓客的优先思路91.引言本文选取德电为案例标杆,检视其云安全理念和服务架构,为国内运营商提供启示。德国电信(DeutscheTe1ekom,以下简称“德电”)是在全球拥有2.45亿客户、年营收1144亿欧元的电信巨头。由于暴露面庞大,该司的蜜罐系统平均
2、每天被攻击5400万次,承压突出。本文选取德电为案例标杆,检视其云安全理念和服务架构,为国内运营商提供启示。传统安全防护机制在云计算场景存在瓶颈与传统IT系统架构相比,云计算因引入新技术、运营模式变化等原因,面临新的安全风险,传统安全防护机制遭遇挑战。(一)虚拟化、容器等技术打破物理安全边界,云内防护是短板传统安全防护机制侧重在内网边界针对南北向(外部)流量进行检测和防护。但随着虚拟化、容器等技术的发展,资源粒度不断细化,从物理服务器,向虚拟机、容器,以及无服务方向演化,为应用由单体架构向微服务分布式架构升级带来契机。分布式架构中各服务问需进行频繁的交互,导致负载间的东西向(内部)流量大幅度增
3、加,一旦外部威胁突破内网防护边界,将在内部横行无阻,带来不可估量的损失。(二)资源暴露面增大,海量威胁对安全防护性能提出更高要求传统IT架构下,应用、数据、计算资源(物理服务器、虚拟机、容器等)等资源位于企业数据中心内网,仅对互联网开放有限端口,企业对资源安全管理和把控能力强。随着多云、混合云成为企业IT建设的主要选择,资源分布于云端,跨云的连接和数据传输使得暴露面增大,面临更多来自互联网的规模化、多样化威胁,安全防护能力需不断提升。然而,传统安全防护机制以部署各类安全设备为主,防护性能依赖硬件的叠加,扩展性较差。()安全建设滞后,难以适应研发运营迭代速度随着容器、微服务等云原生技术的快速演进
4、,云计算平台的设计开发工作复杂度不断提升,虽然实现了安全的基本功能需求,如身份认证、加解密、日志审计等,但整体防护机制相对滞后,以后期安全防护为主,前期自身安全性同步建设往往被忽视,安全保护措施同步规划、同步建设、同步使用情况仍存在短板。(四)孤岛式安全设备导致海量安全数据利用率低传统安全防护机制中,不同安全域、不同类型的安全设备通常独立部署,彼此之间较少进行数据互通,只着眼于局部数据。随着企业上云用云程度加深,云资源、云上应用以及安全设备等规模不断扩大,沉淀海量网络数据、日志、安全告警等,孤岛式部署模式下安全设备缺乏对全局的掌控与分析,致使对杀伤链离散威胁信号的敏感度低,难以察觉与对抗愈发复
5、杂的攻击手段与高级可持续威胁。?.原生云安全理念定义国内外组织机构纷纷提出原生云安全理念。为缓解传统安全防护建设中存在的痛点,促进上云企业更加安全的使用云计算,原生云安全理念兴起,国内外组织机构纷纷提出以原生为核心构建和发展云安全。Gartner提倡以云原生思维建设云安全体系。基于云原生思维,Gartner提出的云安全体系覆盖八方面,如图1所示。其中,基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供,其他六部分,包括持续的云安全态势管理,全方位的可视化、日志、审计和评估,工作负载安全,应用、PaaS和API安全,扩展的数据保护,云威胁检测,云用户需基于安全产品实现。来源:(ZIOu
6、difascuuva1PhtfonnservicesProteedOnhierarchy图1Gartner云原生安全体系Forrester以37项指标评估公有云平台原生安全能力。Forrester认为公有云平台原生安全(Pub1icc1oudp1atformnativesecurity,PCPNS)应从三大类、37个方面去衡量,如表1所示。从己提供的产品和功能,以及未来战略规划可以看出:一是考察云服务商自身的安全能力和建设情况,如数据中心安全、内部人员等;二是云平台具备的基础安全功能,如帮助和文档、授权和认证等;三是为用户提供的原生安全产品,如容器安全、数据安全等。表1Forrester公有云
7、平台原生安全能力指标物理安全计划数据中心总收入认证计划认证PCPNS收入IAM计划用户管理PCPNS收入增长Hypervisor安全计划授权和认证PCPNS直接的安装基数GuestC)S工作负载安全计划Hypervisor安全PCPNS间接的安装基数网络安全计划操作系统和容器安全北美表现安全日志和审计计划存储和数据安全中南美表现机器学习计划网络安全欧洲、中筋洲橱见客户满意度审计亚太表现供应商RFP响应帮助和文档供应商PoC和展示导航和综合环境服务和合作伙伴研发人员配备销售人员配备支持人员配备供应商透明度价格条款和灵活性战略已提供产品/功能市场表现来源:ForresterWave:Pub1icC
8、1QudPbtfonnNativeSecurity结合我国产业现状与痛点,原生云安全指更安全的云数字基础设施和更适配云数字基础设施的安全防护能力。更安全的云数字基础设施一方面通过云计算特性帮助用户规避部分安全风险,另一方面能够将安全融入从设计到运营的整个过程中,向用户交付更安全的云服务。更适配云数字基础设施的安全防护能力要求安全产品原生化,能够融合于云平台,解决用户云计算环境和传统安全架构割裂的痛点。/优化部箸与使用横式/提升资蹒IJ用能力,增加间疑励,覆盖新安全风险云计好优势分布式存辐资源统一管理网络虚世降低部分安全风贬前安全云平台安全研发运营体系厚生化发展里适配云数字基础设施的安全防护能力
9、更安全的云散字基础设施来源:中国信息通信研究院图2原生云安全理念?.云时代的安全内功:德电安全理念定期或专题汇报全球数据Sa私官I负责砌私事务痢图1德国电信2023年安全架构体系(中国电信研究院整理)在云时代,庞大的云基础架构在攻击面和攻击路径分析上都加大了安全防护的难度。作为一家有近30年历史的欧洲最大电信运营商,德电拥有完备的安全组织体系和实体资源,这些实践于云安全领域,主要表现在三个方面:“流程化评估”、“全网络+终端”和“集成型安全”。它们围绕“以设计促安全”(SecuritybyDesign)的前瞻防护理念,完善安全前置的综合视野,降低措施的滞后性和碎片化。将隐私和安全评估(PSA)
10、作为云体系中保护项目安全和隐私的核心要素具体分三步:一、项目分类并确定安全等级;二、根据法规确定隐私和安全要求;三、实施、测试和记录要求。应用PSA可以降低数据泄露概率,避免因不合规而引发诉讼风险、声誉受损及客户流失。用“以设计促安全”的理念保护云通信终端+网络生态安全是产品和服务网络的嵌入元素,贯穿终端设备、Wi-Fi/移动通信/1AN、公司网络、运输网络和数据中心等整个通信网。新开发的产品和信息系统须进行密集和强制性的安全测试,以符合国际ISO27001标准。此理念的核心是安全防护的全流程监测,而非局部防御。当数据在终端、应用、云服务器和数据中心等各节点流转,可接触人员繁多,导致暴露面复杂
11、,这要求运营商建立具备纵深防御的云安全体系。?用集成型理念优化云安全产品线和研发架构一是技术集成。随着安全在物联网和云领域的渗透,众多安全产品开始融合端到端解决方案,例如德电已将新一代防火墙集成到SD-WAN解决方案中;二是组织集成。22年7月,德电将奥地利、瑞士和斯洛伐克等地分公司安全部门合并到德国总部,从而加强研发、扩大安全市场份额。此理念反应的趋势为,“云化”促进了硬件环境的融合,从前独立的安全产品服务越来越缩小为安全解决方案的一个子模块,定制化渐成行业趋势;其次,“偏科”或成为管道企业的重要短板,开发过程逐渐走向集约+复合化。?.云时代的安全输出:上云中的安全+安全的云化按客户规模分类
12、:1.Magenta安全盾牌为中小型企业提供全方位安全死T-Systems传统型服务:1 .安全培训I模拟攻击问程调直-eugij2 .事件响应攻击分析受损修J1证据保护司法诉讼3.安全咨询身定制方案高安全附加值2.Magenta安全盾牌(专业&高级版)为大型企业提供情报库支以MagentaSecurity1云除私2.主权云.3.云访问安全代理.4.云迁移5.SASE组件网关加生。插件高馀力1JWI规范云资源使用I标准化自动化防火堰.VPN等图2德国电信2023年安全产品&服务体系(中国电信研究院整理)德电在2023年财报中指出,其有能力覆盖的欧洲安全市场份额增长了10.7%o针对此蓝海,德电
13、通过“Systems品牌提供了以下云安全服务:第一大类是针对企业云计算过程提供的安全防护,包括以下4类:1 .T-systems主权云服务主权云是一种运用分布式云技术、在单一地理区域内提供数据本地化存储的云服务。在德电与谷歌云合作的Systems主权云服务中,客户会获得一个全面、可控、灵活的一揽子主权云部署计划,以确保受东道主国法规监管的IT公司从公共云的算力中充分受益,而无须担心合规风险。主权云服务聚焦的是云计算环境的合规与合法性。2 .云隐私服务(CPS)“CPS”云加密解决方案能以SaaS形式在T-Systems数据中心运行。该服务核心组件是一个独立于MicrosoftOffice365
14、运行、无须插件的后台网关,它可以在数据传输到Microsoft云之前进行加密,而密钥只掌握在用户手中,杜绝了未授权的第三方访问。CPS服务主要聚焦云上数据的身份认证和访问安全。3 .云访问安全代理(CASB)服务旨在帮助企业应对云服务中敏感数据泄露的风险,它支持下列功能:检测影子IT;分析、控制和记录匿名用户与云应用程序之间的通信;分析日志文件并识别公司中使用的所有云应用程序,适时阻止有风险的云服务;根据账户行为模式检查其登录次数、异常上传率、下载率或文档类型,从而过滤恶意文件、黑客窃密行为。CASB主要聚焦云上服务的应用安全。4 .云迁移(CM)服务基于最佳实践的云迁移框架(CMF)可帮助客
15、户将复杂的基础设施和应用程序,以安全、标准、自动和模块化的形式迁移到多云中。Systems团队将在迁移前完成云就绪性评估,并对每个业务和目标进行详细分析,从而厘清多云环境中的目标系统,并充分利用各种云服务商的潜力。CM服务主要聚焦上云过程中的数据安全。第二类是以云服务方式提供安全,也称安全即服务(Security-as-a-Service),这种基于云平台的SASE安全组件优势在于运维的自动化,可降低IT团队的工作量与合规成本。各组件可以持续提供基于最新情报和技术的有效保护,让单个用户从所有端点安全访问应用程序和IT服务,并集约化抵御高级威胁、僵尸网络或跨站点脚本等网络风险。此外,德电可为使用AWS或MieroSoft365的PC客户订制以下安全组件:防火墙即服务、远程访问VPN、零信任网络访问、安全Web网关、数据丢失预防和沙箱等。SASE安全组件服务也主要聚焦云服务的应用安全。综上,德电提供的云