一边是企业上云这一毋庸置疑的发展趋势,但另一边,云数据泄露事件的频繁,却让不少企业谈“云”色变。
2020年2月,万豪酒店520万客人信息被泄露,英国信息专员办公室(ICO)对其进行了1840万英镑(约1.6亿元)的罚款;同样在2月,微盟的“删库”事件,影响业务136小时,拖累微盟业绩,赔付总额达到1.16亿元,微盟股价累计跌幅超20%;
2020年5月,泰国最大的移动运营商泄露83亿条用户数据记录;
2021年3月,欧洲云计算巨头OVH位于法国斯特拉斯堡的机房发生严重火灾,导致350万家网站下线,部分客户数据丢失无法恢复......
根据IDC去年的一份调查报告,在过去的18个月中,近80%的公司至少经历了一次云数据泄露,而43%的公司报告了10次或更多泄露。云安全问题正在急剧恶化。
根据参与调查的300位CISO的反馈,安全相关的配置错误(67%),对访问设置和活动缺乏足够的可见性(64%)以及身份和访问管理(IAM)许可错误(61%)是他们最关注的云生产环境安全问题。
尽管接受调查的大多数公司已在使用IAM、数据防泄漏、数据分类和特权账户管理产品, 但仍有超过一半的公司声称这些产品不足以保护云环境。事实上,三分之二的受访者将云原生授权和许可管理,以及云安全配置列为高度优先事项。
当企业上云之后,一旦黑客发现了云服务商的安全漏洞,那么其攻击范围与破坏程度相比未上云时成倍扩大。但是,基于云服务的巨大优势,如果企业选择不上云则无异于因噎废食。
提供千万云服务用户的云服务厂商更应该认识到,当云计算成为水电一样的基础设施时,一旦出现问题不但会影响云上客户的业务运转,而且还会严重损害普通用户的数据安全和隐私信息。
解决云安全问题不能依赖传统的安全体系。在IT基础设施和应用云化后,安全问题相应地也在云化,这就需要新的云安全技术和体系进行应对。对于传统安全架构,CSDN此前的文章曾指出三大挑战:
成本高昂、重复造轮子:传统安全方案里,企业需要采购几十甚至上百个安全产品才能初步建立企业安全体系,成本高昂不说,对于安全体系来说,这是一种重复建设的浪费。
传统安全模型是游离在IT体系之外的“外挂式安全”:企业在使用网络、存储、数据库等IT基础设施时,往往采购自不同的厂商,安全产品有不同的品牌。于是只能在基础设施外部署相关的安全产品,做“外挂式的安全”。
传统安全产品使用门槛较高:这让安全产品成了“奢侈品”。企业光购买安全产品没有用,必须还得有专门的安全人员来使用才能真正发挥效果,于是线下安全厂商大多采用产品加服务的销售方式进行,由于无法构成相对联动的体系,导致企业需要招聘很多安全专业人员来专门运营,成本增大,导致大多数企业没有足够的专业安全人员来运营。
用户不仅要上云,更需要选择安全的上云路径,这对云厂商的安全能力提出更高的要求,而传统的安全手段已然无法适应云时代。
在此背景下,各大云厂商和第三方云安全企业近年来纷纷推出云安全战略以及相应的云技术架构。云安全问题迫在眉睫,成为云厂商和第三方云服务企业面前的重中之重。随着技术催发,云安全也成为了极具发展前景的细分市场。
根据前瞻产业研究院统计,2019年中国云安全市场规模达到55.1亿元,年增长率为45.8%;预计到2021年中国云安全服务市场规模将达到115亿元左右,未来三年年均增长率为45.2%。云安全服务带来网络安全行业商业模式的变革,给市场注入新的活力和增量。