云屏科技李旭陽：云服務(wù)給企業(yè)帶來的安全新挑戰(zhàn)

　　當(dāng)下，云市場發(fā)展勢頭越來越猛，許多企業(yè)對上云辦公持有兩種態(tài)度。一是便于企業(yè)管理，節(jié)省辦公成本；二是上云辦公是否存在安全威脅。

　　李旭陽，現(xiàn)任杭州云屏科技有限公司創(chuàng)始人兼CEO，早期在美國一直專研網(wǎng)絡(luò)安全領(lǐng)域新技術(shù)。以下為他在“第五屆中國網(wǎng)絡(luò)安全大會”針對企業(yè)上云后面臨的安全新挑戰(zhàn)演講。

　　大家好！我是云屏科技的李旭陽，今天跟大家分享的主題是：云服務(wù)給企業(yè)帶來的安全新挑戰(zhàn)。

　　隨著SaaS在全球的快速普及，以軟件為基礎(chǔ)的服務(wù)模式正向云上遷移。2016年初，SaaS開始發(fā)展，我們相信國內(nèi)的SaaS發(fā)展勢頭會越來越好。

　　2007年之后，全球基本上沒有一家純粹軟件公司的創(chuàng)投。大部分新項目的啟動都是跟云有關(guān)，包括美國政府、微軟等。大部分歐美企業(yè)都已經(jīng)開始考慮“云優(yōu)先”的策略。

　　目前，中國的SaaS處于初級發(fā)展階段，網(wǎng)絡(luò)安全行業(yè)面臨哪些新的挑戰(zhàn)？

　　傳統(tǒng)的軟件都是部署在企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)是由防火墻保護(hù)。由于防火墻技術(shù)發(fā)展十分成熟，企業(yè)內(nèi)網(wǎng)是相對安全的。當(dāng)然，排除掉最近發(fā)生的勒索病毒�？傮w來說，防火墻起到了比較好的保護(hù)作用。

　　早期，企業(yè)原來的服務(wù)是在內(nèi)網(wǎng)�，F(xiàn)在，越來越多的企業(yè)是在云上。企業(yè)員工可以在任何地方使用這些服務(wù)。員工在內(nèi)網(wǎng)辦公，由防火墻的保護(hù)機(jī)制下相對比較安全；但當(dāng)企業(yè)辦公遷移到了云端之后，企業(yè)數(shù)據(jù)完全失去了安全防護(hù)。我經(jīng)常說，企業(yè)服務(wù)從內(nèi)網(wǎng)到了云上，安全沒有完全跟上。

　　美國某著名分析師的調(diào)查解釋道：“企業(yè)未采用SaaS的首要原因是安全。”McAfee2016年底的調(diào)查顯示，49%的回復(fù)者因缺少安全技能而延緩了云部署，安全成為阻撓SaaS發(fā)展的關(guān)鍵原因。

　　企業(yè)服務(wù)由內(nèi)網(wǎng)遷移到外網(wǎng)以后，是不是要有一個類似于防火墻的保護(hù)機(jī)制？SaaS的云防火墻，應(yīng)該采取哪些保護(hù)措施才能實現(xiàn)SaaS上的數(shù)據(jù)與內(nèi)網(wǎng)數(shù)據(jù)獲得一樣的安全保障呢？

　　企業(yè)服務(wù)從內(nèi)網(wǎng)遷移到外網(wǎng)，數(shù)據(jù)遷移到云上，它存在的安全隱患跟原來的內(nèi)網(wǎng)有哪些不同點和共同點？所有的威脅無非來自于外部和內(nèi)部。

　　外部攻擊。第一，黑客無處不在，瞄準(zhǔn)的是各種網(wǎng)絡(luò)。到了云上，黑客的攻擊只會更頻繁、更明顯，因為你的服務(wù)都暴露在所有人的面前，黑客就更容易找到攻擊目標(biāo)；第二，原來的數(shù)據(jù)，自己買了服務(wù)器，買了各種各樣的安全軟件，在內(nèi)網(wǎng)里使用，沒有第三方獲取你的數(shù)據(jù)。現(xiàn)在數(shù)據(jù)上云了，你的數(shù)據(jù)托管在平臺上，第三方平臺會不會泄露你的數(shù)據(jù)？這是一個關(guān)鍵問題。

　　內(nèi)部攻擊。企業(yè)服務(wù)都在內(nèi)網(wǎng)的時候，是在封閉的網(wǎng)絡(luò)運(yùn)轉(zhuǎn)�，F(xiàn)在使用了SaaS，企業(yè)的IT人員已經(jīng)不知道各個部門都采購了什么。以前，各個部門要安裝軟件，至少要IT人員幫你安裝，需要遵守入網(wǎng)的規(guī)則�，F(xiàn)在各個部門都可以購買自己使用的軟件，自行安裝，并沒有經(jīng)過IT部門。各種各樣的SaaS使用已經(jīng)失去了控制。例如，我用我的手機(jī)到云盤上下載文件，存到手機(jī)，又通過微信傳給另外一個人，企業(yè)根本沒辦法阻斷。很多的服務(wù)和數(shù)據(jù)遷移到云上，數(shù)據(jù)流已經(jīng)失去了防火墻保護(hù)的控制。此外，還有設(shè)備丟失的情況。在企業(yè)內(nèi)網(wǎng)的情況下，比較容易發(fā)現(xiàn)設(shè)備被盜的情況。

　　基于這樣一些新的內(nèi)外威脅，云服務(wù)的防火墻應(yīng)該具備哪些保護(hù)功能？外部的黑客入侵、平臺違規(guī)、人員違法，內(nèi)部的惡意合法訪問、疏忽賬號濫用、意外遺失設(shè)備、哪些數(shù)據(jù)可以上云、哪些數(shù)據(jù)不能上云？這些都是企業(yè)所面臨的新挑戰(zhàn)。

　　對于外來的黑客入侵，需要系統(tǒng)的防護(hù)措施。原來只是保護(hù)企業(yè)的一個內(nèi)網(wǎng)，現(xiàn)在要保護(hù)這么多的SaaS，系統(tǒng)安全保護(hù)的復(fù)雜程度會提高。針對平臺違規(guī)和人員違法，應(yīng)該采取各種各樣的加密措施，你要提供SaaS服務(wù)，但不能讓第三方泄露企業(yè)數(shù)據(jù)。對于內(nèi)部來說，應(yīng)該進(jìn)行各種各樣的行為分析。什么人、什么時間、什么網(wǎng)絡(luò)環(huán)境、什么樣的設(shè)備、使用什么樣的應(yīng)用、有沒有異常行為。對于終端的保護(hù)，一個員工離職了，現(xiàn)在很多企業(yè)允許員工使用自己的電腦，也允許員工手機(jī)連接企業(yè)內(nèi)網(wǎng)。員工離開公司的時候，怎么樣保證他已經(jīng)清除掉公司的數(shù)據(jù)。這也是云屏科技為什么要做這些事情的原因。

　　基于我們自主創(chuàng)新已準(zhǔn)備申請中美專利的技術(shù)，可以保證用戶數(shù)據(jù)的生命周期。數(shù)據(jù)流到哪里，我們一清二楚，員工的設(shè)備里還有沒有企業(yè)的數(shù)據(jù)，可以讓企業(yè)管理人員一目了然，而且可以一鍵清除、一鍵加密。

　　很多中國的SaaS都是放在阿里云和騰訊云上。阿里云的云盾能做什么、不能做什么。整個云的架構(gòu)，從底層的云平臺，到中間和上層的SaaS、PaaS這些具體給用戶提供服務(wù)的服務(wù)提供商，再加上用戶的設(shè)備和數(shù)據(jù)，云盾在哪里？云盾做的事情是保證阿里云平臺運(yùn)營的正常性，防止黑客攻破云平臺，防止DDos破壞SaaS的運(yùn)行機(jī)制。就像一個社區(qū)，它要保證社區(qū)外圍的安全。進(jìn)入小區(qū)以后，每一個不同的應(yīng)用，怎么樣保證每一戶人家的安全呢？

　　云屏要做的是在云盾的底層保護(hù)的基礎(chǔ)上，我們加了真正給企業(yè)用戶解除SaaS使用擔(dān)憂的安全防護(hù)。云盾是在底層系統(tǒng)層保證平臺的穩(wěn)定性。云屏要做的是保證企業(yè)數(shù)據(jù)在第三方平臺上使用的安全性、穩(wěn)定性，以及不被泄露。

　　對于一些沒有系統(tǒng)保護(hù)的云平臺，可以使用云屏的系統(tǒng)保護(hù)。我們提供了世界頂級的防護(hù)措施。除此之外，更重要的是數(shù)據(jù)的加密。你的數(shù)據(jù)放在第三方平臺上，怎么樣解除你的擔(dān)憂。因為結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)加密技術(shù)，可以保證繼續(xù)享受SaaS的便利，又不讓SaaS提供方看到任何關(guān)鍵數(shù)據(jù)；行為分析，當(dāng)這么多的員工使用各種各樣的SaaS，怎么保證企業(yè)有一個統(tǒng)一的界面去進(jìn)行監(jiān)控、管理和跟蹤。我們采用了態(tài)勢感知和大數(shù)據(jù)分析方法，可以查知各種各樣的異常行為。終端管理是整個系統(tǒng)中的一部分，可以幫助企業(yè)監(jiān)控到每一個員工在使用什么樣的SaaS。防數(shù)據(jù)泄露，可以監(jiān)控數(shù)據(jù)的生命周期，這個數(shù)據(jù)到哪里去了、可以讓對方保留多長時間、是否可以轉(zhuǎn)發(fā)、是否可以打印。

　　我在美國工作了二十多年，2000年開始在硅谷創(chuàng)業(yè)。2011年，我開始創(chuàng)業(yè)，做了移動安全公司，百度手機(jī)衛(wèi)士就是我的產(chǎn)品，2013年初被百度收購。2013年初加入百度，任百度的全球安全顧問。2015年5月份離開百度，開始啟動新的云屏項目。我們的目標(biāo)是用硅谷的技術(shù)和理念，在中國創(chuàng)造出世界一流的網(wǎng)絡(luò)安全公司。