德國電信(Deutsche Telekom,以下簡稱“德電”)是在全球擁有2.45億客戶、年營收1144億歐元的電信巨頭。由于暴露面龐大,該司的蜜罐系統平均每天被攻擊5400萬次,承壓突出。本文選取德電為案例標桿,檢視其云安全理念和服務架構,為國內運營商提供啟示。
云時代的安全內功:德電安全理念
【資料圖】
圖1 德國電信2022年安全架構體系 (中國電信研究院整理)
在云時代,龐大的云基礎架構在攻擊面和攻擊路徑分析上都加大了安全防護的難度。
作為一家有近30年歷史的歐洲最大電信運營商,德電擁有完備的安全組織體系和實體資源,這些實踐于云安全領域,主要表現在三個方面:“流程化評估”、“全網絡+終端”和“集成型安全”。它們圍繞“以設計促安全”(Security by Design)的前瞻防護理念,完善安全前置的綜合視野,降低措施的滯后性和碎片化。
1. 將隱私和安全評估(PSA)作為云體系中保護項目安全和隱私的核心要素
具體分三步:一、項目分類并確定安全等級;二、根據法規確定隱私和安全要求;三、實施、測試和記錄要求。
應用PSA可以降低數據泄露概率,避免因不合規而引發訴訟風險、聲譽受損及客戶流失。
2. 用“以設計促安全”的理念保護云通信終端+網絡生態
安全是產品和服務網絡的嵌入元素,貫穿終端設備、Wi-Fi/移動通信/LAN、公司網絡、運輸網絡和數據中心等整個通信網。新開發的產品和信息系統須進行密集和強制性的安全測試,以符合國際ISO 27001標準。
此理念的核心是安全防護的全流程監測,而非局部防御。當數據在終端、應用、云服務器和數據中心等各節點流轉,可接觸人員繁多,導致暴露面復雜,這要求運營商建立具備縱深防御的云安全體系。
3. 用集成型理念優化云安全產品線和研發架構
一是技術集成。隨著安全在物聯網和云領域的滲透,眾多安全產品開始融合端到端解決方案,例如德電已將新一代防火墻集成到SD-WAN解決方案中;二是組織集成。22年7月,德電將奧地利、瑞士和斯洛伐克等地分公司安全部門合并到德國總部,從而加強研發、擴大安全市場份額。
此理念反應的趨勢為,“云化”促進了硬件環境的融合,從前獨立的安全產品\\服務越來越縮小為安全解決方案的一個子模塊,定制化漸成行業趨勢;其次,“偏科”或成為管道企業的重要短板,開發過程逐漸走向集約+復合化。
云時代的安全輸出:上云中的安全+安全的云化
圖2 德國電信2022年安全產品&服務體系(中國電信研究院整理)
德電在2022年財報中指出,其有能力覆蓋的歐洲安全市場份額增長了10.7%。針對此藍海,德電通過 “T?Systems”品牌提供了以下云安全服務:
第一大類是針對企業云計算過程提供的安全防護,包括以下4類:
1. T-systems主權云服務
主權云是一種運用分布式云技術、在單一地理區域內提供數據本地化存儲的云服務。在德電與谷歌云合作的T-Systems主權云服務中,客戶會獲得一個全面、可控、靈活的一攬子主權云部署計劃,以確保受東道主國法規監管的IT公司從公共云的算力中充分受益,而無須擔心合規風險。主權云服務聚焦的是云計算環境的合規與合法性。
2. 云隱私服務(CPS)
“CPS”云加密解決方案能以SaaS形式在T-Systems數據中心運行。該服務核心組件是一個獨立于Microsoft Office 365運行、無須插件的后臺網關,它可以在數據傳輸到Microsoft云之前進行加密,而密鑰只掌握在用戶手中,杜絕了未授權的第三方訪問。CPS服務主要聚焦云上數據的身份認證和訪問安全。
3. 云訪問安全代理(CASB)服務
旨在幫助企業應對云服務中敏感數據泄露的風險,它支持下列功能:檢測影子IT;分析、控制和記錄匿名用戶與云應用程序之間的通信;分析日志文件并識別公司中使用的所有云應用程序,適時阻止有風險的云服務;根據賬戶行為模式檢查其登錄次數、異常上傳率、下載率或文檔類型,從而過濾惡意文件、黑客竊密行為。CASB主要聚焦云上服務的應用安全。
4. 云遷移(CM)服務
基于最佳實踐的云遷移框架(CMF)可幫助客戶將復雜的基礎設施和應用程序,以安全、標準、自動和模塊化的形式遷移到多云中。T-Systems團隊將在遷移前完成云就緒性評估,并對每個業務和目標進行詳細分析,從而厘清多云環境中的目標系統,并充分利用各種云服務商的潛力。CM服務主要聚焦上云過程中的數據安全。
第二類是以云服務方式提供安全,也稱安全即服務(Security-as-a-Service),這種基于云平臺的SASE安全組件優勢在于運維的自動化,可降低IT團隊的工作量與合規成本。各組件可以持續提供基于最新情報和技術的有效保護,讓單個用戶從所有端點安全訪問應用程序和IT服務,并集約化抵御高級威脅、僵尸網絡或跨站點腳本等網絡風險。此外,德電可為使用AWS或Microsoft 365的PC客戶訂制以下安全組件:防火墻即服務、遠程訪問VPN、零信任網絡訪問、安全Web網關、數據丟失預防和沙箱等。SASE安全組件服務也主要聚焦云服務的應用安全。
綜上,德電提供的云安全服務主要是針對政企客戶對于云計算環境的安全保障需求,精準解決了企業在數據上云過程中的四項痛點,即合規合法性、身份認證與訪問安全、應用安全和數據安全;此外,也用SaaS安全的模式突破了傳統安全托管業務受制于硬件外包規模的瓶頸,對主體安全服務形成補充。
對國內運營商啟示
1. 云時代,標準化+整體化的安全概念可從源頭降低風險
突破碎片化的安全治理是大型電信企業的必經之路,安全并非合規成本,而是一種綜合視野下的品牌價值支撐。國內運營商可從兩方面著手:對內,應注重對項目隱私風控流程的制度化建設,并加強對暴露面的科學管理,比如加強對終端設備、通信網絡和IDC端的全網絡安全壓力測試,從源頭消除設計隱患;在對外的安全產品和服務領域,應對既有云網安全產品進行整合,形成更貼合用戶需求、且溢價更高的端到端安全解決方案,形成良好的品牌效應以增強客戶黏性。
2. 大力發展以主權云技術為首的系列云安全技術
Gartner稱主權云技術為“2023年十大政府技術趨勢之一”,市場研究公司Imarc Group也稱,全球政府云市場的規模預計將從2021年的276億美元增至2027年的712億美元。在歐洲,敏感數據存儲受到GDPR等東道主國法規的限制,德電借此與谷歌聯合推出廣受歡迎的主權云服務;而我國已通過《網絡安全法》、《個人信息保護法》和《數字中國建設整體布局規劃》加強對政企使用公有云存儲敏感數據的地緣監管,國內運營商依托央企聲譽和技術積淀,應適時向公共部門和外資企業推出具備數據本地化存儲、用戶可控以及安全可信特點的主權云服務,幫助相關客戶提升云運營和治理流程的透明度,避免敏感數據泄露事件和違規風險;并借助自身算力優勢,賦能政企合法、合規駕馭自身的龐大數據集,并實現科學、循證決策的能力。
3. 將熟客轉化設置為云安全服務拓客的優先思路
電信企業普遍為大型云服務提供商,這種既有的云計算市場份額賦予了運營商提供安全服務的優勢:以連帶服務的形式,向客戶提供云計算的安全防護,而非缺乏壁壘、安全廠商亦可競爭的SaaS類云安全服務。
根據Synergy Research Group數據,目前德電是在歐洲占有2%以上市場份額的第二大云服務商,而國內運營商也具備區域內的類似地位。作為“場內玩家”,應首先根據云計算服務類型(laaS/SaaS/PaaS)的不同,與客戶合理、靈活地設置安全責任分擔模型:例如數據分類與計算、部分訪問管理通常由客戶負責,而計算、存儲、網絡和數據庫的物理安全不論在何種服務模式下,基本都由云服務提供商負責。如遇到缺乏安全治理能力和意愿的政企客戶,運營商可適時針對超出自身安全責任的部分,提出付費的云安全托管或安全能力解決方案,從而實現安全營收的穩健增長。
本文作者
雷東亞
分析師
倫敦政經碩士,CISO,就職于中國電信研究院,主要研究方向為運營商極限安全、網絡戰等領域。
編輯制作
多媒體服務設計團隊
制圖:李銀鑫 | 編輯:王凱雯
審校:董智明、劉馨
