德國電信(Deutsche Telekom,以下簡(jiǎn)稱“德電”)是在全球擁有2.45億客戶、年?duì)I收1144億歐元的電信巨頭。由于暴露面龐大,該司的蜜罐系統(tǒng)平均每天被攻擊5400萬次,承壓突出。本文選取德電為案例標(biāo)桿,檢視其云安全理念和服務(wù)架構(gòu),為國內(nèi)運(yùn)營商提供啟示。
云時(shí)代的安全內(nèi)功:德電安全理念
【資料圖】
圖1 德國電信2022年安全架構(gòu)體系 (中國電信研究院整理)
在云時(shí)代,龐大的云基礎(chǔ)架構(gòu)在攻擊面和攻擊路徑分析上都加大了安全防護(hù)的難度。
作為一家有近30年歷史的歐洲最大電信運(yùn)營商,德電擁有完備的安全組織體系和實(shí)體資源,這些實(shí)踐于云安全領(lǐng)域,主要表現(xiàn)在三個(gè)方面:“流程化評(píng)估”、“全網(wǎng)絡(luò)+終端”和“集成型安全”。它們圍繞“以設(shè)計(jì)促安全”(Security by Design)的前瞻防護(hù)理念,完善安全前置的綜合視野,降低措施的滯后性和碎片化。
1. 將隱私和安全評(píng)估(PSA)作為云體系中保護(hù)項(xiàng)目安全和隱私的核心要素
具體分三步:一、項(xiàng)目分類并確定安全等級(jí);二、根據(jù)法規(guī)確定隱私和安全要求;三、實(shí)施、測(cè)試和記錄要求。
應(yīng)用PSA可以降低數(shù)據(jù)泄露概率,避免因不合規(guī)而引發(fā)訴訟風(fēng)險(xiǎn)、聲譽(yù)受損及客戶流失。
2. 用“以設(shè)計(jì)促安全”的理念保護(hù)云通信終端+網(wǎng)絡(luò)生態(tài)
安全是產(chǎn)品和服務(wù)網(wǎng)絡(luò)的嵌入元素,貫穿終端設(shè)備、Wi-Fi/移動(dòng)通信/LAN、公司網(wǎng)絡(luò)、運(yùn)輸網(wǎng)絡(luò)和數(shù)據(jù)中心等整個(gè)通信網(wǎng)。新開發(fā)的產(chǎn)品和信息系統(tǒng)須進(jìn)行密集和強(qiáng)制性的安全測(cè)試,以符合國際ISO 27001標(biāo)準(zhǔn)。
此理念的核心是安全防護(hù)的全流程監(jiān)測(cè),而非局部防御。當(dāng)數(shù)據(jù)在終端、應(yīng)用、云服務(wù)器和數(shù)據(jù)中心等各節(jié)點(diǎn)流轉(zhuǎn),可接觸人員繁多,導(dǎo)致暴露面復(fù)雜,這要求運(yùn)營商建立具備縱深防御的云安全體系。
3. 用集成型理念優(yōu)化云安全產(chǎn)品線和研發(fā)架構(gòu)
一是技術(shù)集成。隨著安全在物聯(lián)網(wǎng)和云領(lǐng)域的滲透,眾多安全產(chǎn)品開始融合端到端解決方案,例如德電已將新一代防火墻集成到SD-WAN解決方案中;二是組織集成。22年7月,德電將奧地利、瑞士和斯洛伐克等地分公司安全部門合并到德國總部,從而加強(qiáng)研發(fā)、擴(kuò)大安全市場(chǎng)份額。
此理念反應(yīng)的趨勢(shì)為,“云化”促進(jìn)了硬件環(huán)境的融合,從前獨(dú)立的安全產(chǎn)品\\服務(wù)越來越縮小為安全解決方案的一個(gè)子模塊,定制化漸成行業(yè)趨勢(shì);其次,“偏科”或成為管道企業(yè)的重要短板,開發(fā)過程逐漸走向集約+復(fù)合化。
云時(shí)代的安全輸出:上云中的安全+安全的云化
圖2 德國電信2022年安全產(chǎn)品&服務(wù)體系(中國電信研究院整理)
德電在2022年財(cái)報(bào)中指出,其有能力覆蓋的歐洲安全市場(chǎng)份額增長(zhǎng)了10.7%。針對(duì)此藍(lán)海,德電通過 “T?Systems”品牌提供了以下云安全服務(wù):
第一大類是針對(duì)企業(yè)云計(jì)算過程提供的安全防護(hù),包括以下4類:
1. T-systems主權(quán)云服務(wù)
主權(quán)云是一種運(yùn)用分布式云技術(shù)、在單一地理區(qū)域內(nèi)提供數(shù)據(jù)本地化存儲(chǔ)的云服務(wù)。在德電與谷歌云合作的T-Systems主權(quán)云服務(wù)中,客戶會(huì)獲得一個(gè)全面、可控、靈活的一攬子主權(quán)云部署計(jì)劃,以確保受東道主國法規(guī)監(jiān)管的IT公司從公共云的算力中充分受益,而無須擔(dān)心合規(guī)風(fēng)險(xiǎn)。主權(quán)云服務(wù)聚焦的是云計(jì)算環(huán)境的合規(guī)與合法性。
2. 云隱私服務(wù)(CPS)
“CPS”云加密解決方案能以SaaS形式在T-Systems數(shù)據(jù)中心運(yùn)行。該服務(wù)核心組件是一個(gè)獨(dú)立于Microsoft Office 365運(yùn)行、無須插件的后臺(tái)網(wǎng)關(guān),它可以在數(shù)據(jù)傳輸?shù)組icrosoft云之前進(jìn)行加密,而密鑰只掌握在用戶手中,杜絕了未授權(quán)的第三方訪問。CPS服務(wù)主要聚焦云上數(shù)據(jù)的身份認(rèn)證和訪問安全。
3. 云訪問安全代理(CASB)服務(wù)
旨在幫助企業(yè)應(yīng)對(duì)云服務(wù)中敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn),它支持下列功能:檢測(cè)影子IT;分析、控制和記錄匿名用戶與云應(yīng)用程序之間的通信;分析日志文件并識(shí)別公司中使用的所有云應(yīng)用程序,適時(shí)阻止有風(fēng)險(xiǎn)的云服務(wù);根據(jù)賬戶行為模式檢查其登錄次數(shù)、異常上傳率、下載率或文檔類型,從而過濾惡意文件、黑客竊密行為。CASB主要聚焦云上服務(wù)的應(yīng)用安全。
4. 云遷移(CM)服務(wù)
基于最佳實(shí)踐的云遷移框架(CMF)可幫助客戶將復(fù)雜的基礎(chǔ)設(shè)施和應(yīng)用程序,以安全、標(biāo)準(zhǔn)、自動(dòng)和模塊化的形式遷移到多云中。T-Systems團(tuán)隊(duì)將在遷移前完成云就緒性評(píng)估,并對(duì)每個(gè)業(yè)務(wù)和目標(biāo)進(jìn)行詳細(xì)分析,從而厘清多云環(huán)境中的目標(biāo)系統(tǒng),并充分利用各種云服務(wù)商的潛力。CM服務(wù)主要聚焦上云過程中的數(shù)據(jù)安全。
第二類是以云服務(wù)方式提供安全,也稱安全即服務(wù)(Security-as-a-Service),這種基于云平臺(tái)的SASE安全組件優(yōu)勢(shì)在于運(yùn)維的自動(dòng)化,可降低IT團(tuán)隊(duì)的工作量與合規(guī)成本。各組件可以持續(xù)提供基于最新情報(bào)和技術(shù)的有效保護(hù),讓單個(gè)用戶從所有端點(diǎn)安全訪問應(yīng)用程序和IT服務(wù),并集約化抵御高級(jí)威脅、僵尸網(wǎng)絡(luò)或跨站點(diǎn)腳本等網(wǎng)絡(luò)風(fēng)險(xiǎn)。此外,德電可為使用AWS或Microsoft 365的PC客戶訂制以下安全組件:防火墻即服務(wù)、遠(yuǎn)程訪問VPN、零信任網(wǎng)絡(luò)訪問、安全Web網(wǎng)關(guān)、數(shù)據(jù)丟失預(yù)防和沙箱等。SASE安全組件服務(wù)也主要聚焦云服務(wù)的應(yīng)用安全。
綜上,德電提供的云安全服務(wù)主要是針對(duì)政企客戶對(duì)于云計(jì)算環(huán)境的安全保障需求,精準(zhǔn)解決了企業(yè)在數(shù)據(jù)上云過程中的四項(xiàng)痛點(diǎn),即合規(guī)合法性、身份認(rèn)證與訪問安全、應(yīng)用安全和數(shù)據(jù)安全;此外,也用SaaS安全的模式突破了傳統(tǒng)安全托管業(yè)務(wù)受制于硬件外包規(guī)模的瓶頸,對(duì)主體安全服務(wù)形成補(bǔ)充。
對(duì)國內(nèi)運(yùn)營商啟示
1. 云時(shí)代,標(biāo)準(zhǔn)化+整體化的安全概念可從源頭降低風(fēng)險(xiǎn)
突破碎片化的安全治理是大型電信企業(yè)的必經(jīng)之路,安全并非合規(guī)成本,而是一種綜合視野下的品牌價(jià)值支撐。國內(nèi)運(yùn)營商可從兩方面著手:對(duì)內(nèi),應(yīng)注重對(duì)項(xiàng)目隱私風(fēng)控流程的制度化建設(shè),并加強(qiáng)對(duì)暴露面的科學(xué)管理,比如加強(qiáng)對(duì)終端設(shè)備、通信網(wǎng)絡(luò)和IDC端的全網(wǎng)絡(luò)安全壓力測(cè)試,從源頭消除設(shè)計(jì)隱患;在對(duì)外的安全產(chǎn)品和服務(wù)領(lǐng)域,應(yīng)對(duì)既有云網(wǎng)安全產(chǎn)品進(jìn)行整合,形成更貼合用戶需求、且溢價(jià)更高的端到端安全解決方案,形成良好的品牌效應(yīng)以增強(qiáng)客戶黏性。
2. 大力發(fā)展以主權(quán)云技術(shù)為首的系列云安全技術(shù)
Gartner稱主權(quán)云技術(shù)為“2023年十大政府技術(shù)趨勢(shì)之一”,市場(chǎng)研究公司Imarc Group也稱,全球政府云市場(chǎng)的規(guī)模預(yù)計(jì)將從2021年的276億美元增至2027年的712億美元。在歐洲,敏感數(shù)據(jù)存儲(chǔ)受到GDPR等東道主國法規(guī)的限制,德電借此與谷歌聯(lián)合推出廣受歡迎的主權(quán)云服務(wù);而我國已通過《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》和《數(shù)字中國建設(shè)整體布局規(guī)劃》加強(qiáng)對(duì)政企使用公有云存儲(chǔ)敏感數(shù)據(jù)的地緣監(jiān)管,國內(nèi)運(yùn)營商依托央企聲譽(yù)和技術(shù)積淀,應(yīng)適時(shí)向公共部門和外資企業(yè)推出具備數(shù)據(jù)本地化存儲(chǔ)、用戶可控以及安全可信特點(diǎn)的主權(quán)云服務(wù),幫助相關(guān)客戶提升云運(yùn)營和治理流程的透明度,避免敏感數(shù)據(jù)泄露事件和違規(guī)風(fēng)險(xiǎn);并借助自身算力優(yōu)勢(shì),賦能政企合法、合規(guī)駕馭自身的龐大數(shù)據(jù)集,并實(shí)現(xiàn)科學(xué)、循證決策的能力。
3. 將熟客轉(zhuǎn)化設(shè)置為云安全服務(wù)拓客的優(yōu)先思路
電信企業(yè)普遍為大型云服務(wù)提供商,這種既有的云計(jì)算市場(chǎng)份額賦予了運(yùn)營商提供安全服務(wù)的優(yōu)勢(shì):以連帶服務(wù)的形式,向客戶提供云計(jì)算的安全防護(hù),而非缺乏壁壘、安全廠商亦可競(jìng)爭(zhēng)的SaaS類云安全服務(wù)。
根據(jù)Synergy Research Group數(shù)據(jù),目前德電是在歐洲占有2%以上市場(chǎng)份額的第二大云服務(wù)商,而國內(nèi)運(yùn)營商也具備區(qū)域內(nèi)的類似地位。作為“場(chǎng)內(nèi)玩家”,應(yīng)首先根據(jù)云計(jì)算服務(wù)類型(laaS/SaaS/PaaS)的不同,與客戶合理、靈活地設(shè)置安全責(zé)任分擔(dān)模型:例如數(shù)據(jù)分類與計(jì)算、部分訪問管理通常由客戶負(fù)責(zé),而計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫的物理安全不論在何種服務(wù)模式下,基本都由云服務(wù)提供商負(fù)責(zé)。如遇到缺乏安全治理能力和意愿的政企客戶,運(yùn)營商可適時(shí)針對(duì)超出自身安全責(zé)任的部分,提出付費(fèi)的云安全托管或安全能力解決方案,從而實(shí)現(xiàn)安全營收的穩(wěn)健增長(zhǎng)。
本文作者
雷東亞
分析師
倫敦政經(jīng)碩士,CISO,就職于中國電信研究院,主要研究方向?yàn)檫\(yùn)營商極限安全、網(wǎng)絡(luò)戰(zhàn)等領(lǐng)域。
編輯制作
多媒體服務(wù)設(shè)計(jì)團(tuán)隊(duì)
制圖:李銀鑫 | 編輯:王凱雯
審校:董智明、劉馨
