OrcaSecurit：公有云安全現狀與解決之道

OrcaSecurit：公有云安全現狀與解決之道




安全419關注到，美國網絡安全公司OrcaSecurity發布了《2022年公有云安全研究報告》（以下簡稱“《報告》”），《報告》對公有云現狀以及如何解決云漏洞發表了獨到見解。
 

 
公有云安全現狀：
 
01、攻擊路徑非常短：攻擊者平均攻擊路徑只需3個步驟，這意味著攻擊者只需在云環境中找到三個可連接可利用的漏洞就可以泄露數據對企業進行勒索。
 
02、漏洞是主要的初始攻擊媒介：78% 的已識別攻擊路徑使用已知漏洞作為初始訪問攻擊媒介，這表示企業需要更加重視漏洞修補。
 
03、存儲資產通常處于不安全狀態：攻擊者可以公開訪問大多數云環境的 S3 存儲桶和 Azure Blob 存儲資產，這是一種高度可利用的錯誤配置，也是眾多數據泄露的原因。
 
04、沒有遵循基本的安全實踐：許多基本的安全措施，如多重身份驗證（MFA），加密，強密碼和端口安全性，仍然沒有相應地應用。
 
05、云原生服務被忽視：盡管云原生服務很容易啟動，但其仍然需要維護和適當的配置： 70%的企業擁有可公開訪問的Kubernetes API服務器。
 
《報告》顯示，企業仍有許多工作要做，從未打補丁的漏洞到過于寬松的身份驗證，再到存儲資產容易暴露。然而，企業無法修復其環境中的所有風險，所以，企業應該戰略性地工作，以確?？偸鞘紫刃扪a危及企業關鍵資產的風險。
 
近日，阿里云也發布了《云上數字政府之數據安全建設指南》（簡稱“《指南》”），《指南》給出了數據安全從規劃到建設到評估再到運營的方法論，為政企數據安全建設提供了參考借鑒?！吨改稀钒〝祿踩L險大圖、“規劃-建設-評估-運營”螺旋上升式建設框架、數據安全能力建設雷達圖、五大典型業務場景建設方案、三大案例直觀呈現最佳實踐等以解決政企單位云上安全。
 
云安全廠商知道創宇創始人兼CEO趙偉提出：讓安全能力長在云上，其構造出一套“云安全治理平臺”，建立小型多層次、獨立、專有的安全云。知道創宇表示，云安全治理需要“以小云護主云，云云協同”。從應用安全防護層、內容安全治理層、業務安全防護層、全球威脅情報協同治理層四個層級保護主云安全，以實現統一安全管理、安全防護、風險監測、安全合規和態勢感知。
 

Orca Security首席執行官Avi Shua也表示:"公共云的安全性不僅取決于提供安全云基礎設施的云平臺，還取決于企業在云中的工作負載、配置和身份狀態，企業需要選擇符合自身的云安全問題解決方案?！?

邊緣計算：突圍商業模式痛點

邊緣計算規?；逃?，痛點不僅在技術更在商業模式。

截至 8 月末，中國 5G 基站總數達 210.2 萬個，中國 5G 發展已經進入下半場。隨著 5G 加速融入千行百業，互動直播、vCDN、安防監控等場景率先大規模落地，車聯網、云游戲、工業互聯網、智慧園區、智慧物流等場景也快速走向成熟，這些更大流量、更低時延、更高性能的場景涌現，對邊緣計算的剛性需求勢必爆發。

Grand View Research 預測，即使在新型冠狀病毒肺炎疫情肆虐全球的背景下，邊緣計算和 5G 網絡市場也將出現顯著增長，到 2027 年，邊緣計算解決方案的市場規模將從 35 億美元增長到 434 億美元。

那么，面對如此大的市場 " 蛋糕 "，產業鏈該如何落袋為安呢？又有哪些規模商用的可行性模式？

中國 MEC 專利申請量穩居世界第一

面向廣闊的 5G 應用市場藍海及邊緣計算市場發展空間，各大廠商已經積極發力。主流的邊緣計算玩家不僅包括三大運營商、網絡設備提供商（中興、華為、諾基亞和愛立信）、中國大型云服務企業（阿里巴巴、騰訊和百度），眾多小型 ICT 公司、云和邊緣計算專業公司、CDN 服務商、垂直行業也紛紛加入，依托自身的資源和能力，尋求邊緣新業務和解決方案的機會。

據韓國知識產權局（KIPO）發布的多接入邊緣計算（MEC）專利統計數據，近五年世界五大專利局（IP5：占全球專利申請 85% 的 5 個國家 / 地區（美 · 歐盟 · 中 · 日 · 韓）專利局）在該領域的專利申請年均增長率達到 58%，從 2016 年的 294 件激增至 2020 年 1848 件，增加了 6 倍以上。

從 IP5 的 MEC 專利申請占比來看，2016 年— 2020 年，中國最高，占全部申請數量的36.2%，其后依次為美國（32.6%）、歐洲（12.9%）、韓國（12.2%）、日本（6.0%）。

其中，中國國內企業的 MEC 專利申請排名前三的依次是華為（548 件）、中國聯通（101 件）、中興通訊（96 件），傳統通信企業相關專利申請較為突出。

目前，電信運營商在邊緣計算產業中處于領先位置。5G 網絡的部署應用，能夠滿足業務終端的移動性需求及業務報文傳輸的低時延需求，使得大部分邊緣應用場景有了實用性。當前，國內三大電信運營商均已商用部署了邊緣計算。其中，中國移動在 2022 年已經商用了 700+ 邊緣節點，覆蓋 15 個細分行業。

三大技術體系

邊緣計算技術作為解決 5G 場景下不同應用帶來的多樣化需求的核心技術，具有低時延、高效率、安全性、智能化的優勢，可以滿足企業和工廠對網絡、計算和數據處理的需求，驅動 5G 應用的創新演進，發揮巨大價值。

《邊緣計算最佳實施白皮書（2021 年）》指出，隨著邊緣計算技術的發展，出現了邊緣計算的三大技術體系，一是以 CT 基礎電信企業（通信運營商、設備商）為主推動的ETSI MEC 技術體系，二是以 IT 互聯網企業（云計算服務商、CDN 廠商等）為主推動的公有云下沉技術體系，三是邊緣混合云技術體系，這三條技術路線正在加速競合。

其中，運營商邊緣計算解決方案極大推動了邊緣計算網絡架構，接口的發展及成熟；云商邊緣計算解決方案極大推動了應用的分布化構架，推動了應用在邊緣計算上的適用性；工業企業邊緣計算方案極大推動了邊緣計算工業生產終端，終端管理（物聯網絡平臺）及行業邊緣計算平臺的發展與成熟。

業內專家認為，運營商、云商、工業企業的不同解決方案結合在一起，推動了邊緣計算在包含架構、應用、終端這幾個重要組成部分的整體解決方案的發展。

未來，邊緣計算技術將向泛在算力智能管理、邊緣云原生和邊緣智能等新的技術框架演進，以及跨邊緣計算節點流量治理、無服務器邊緣計算、算力網絡、基于端邊云等泛在算力的智能互聯網等底層技術演進，孕育著新的技術和產業生態。

規?；虡I推廣可行性模式

隨著邊緣計算技術和業務的持續發展，加強邊緣計算節點之間的協同，提升邊緣計算節點資源的利用率并降低能耗，加快邊緣計算業務應用的研發效率，降低邊緣計算使用者的成本，探索邊緣計算賦能千行百業的新商業模式成為邊緣計算領域需迫切解決的新課題。


更大流量、更低時延、更高性能的場景涌現，對邊緣計算的剛性需求勢必爆發。

有專家表示，對中國運營商來說，提供僅具備連接功能的邊緣計算場景能帶來的收入不高。找到合適的邊緣計算商業模式成為現階段中國運營商面臨的最大挑戰之一。

對于主要云提供商來說，邊緣技術非常適合用于延伸其云能力和產品，以便為一些場景提供服務。從技術角度來看，云 - 邊協同是新挑戰之一。云提供商需要加入去中心化的生態圈，而這種生態圈為分布式存儲 / 處理和更加本地化的數據訪問提供動力。云 - 邊高度協同才能將云處理擴展到不同的邊緣站點，這對云提供商為終端用戶提供無縫體驗的能力提出了挑戰。

SDN/NFV/AI 標準與產業推進委員會建議，運營商應能打通售前 / 售中 / 售后商業閉環，以市場一線需求為導向，政企 BG 與網絡線部門牽頭。售前統籌推進解決方案制定；售中完成交付實施；售后完成運維運營、培訓賦能等工作；推動流程線上化、交付敏捷化、運營集約化。

同時，要在 ICT 融合部署邊緣云模式、公有云下沉模式、混合云模式上實現規?；虡I推廣可行性模式。

首先，ICT 融合部署邊緣云模式。ICT 融合部署模式即 " 網絡 + 平臺 " 模式，網絡側提供分流及分流配置能力、平臺一般采用融合了多種能力的 PaaS 平臺。中國聯通采用此模式部署邊緣計算節點，平臺為中國聯通自研 CUC-MEC 平臺，客戶的自有應用也可基于 CUC-MEC 平臺部署。包括 " 分流共享 + 平臺共享型 "" 分流專享 + 平臺專享型 "" 分流共享 + 平臺專享型 "" 平臺下沉（DP）" 四種部署模式。

其次，公有云下沉模式。公有云下沉模式現在主要分為兩種部署模式，一種是基于當前分布式云架構在邊緣側的基礎設施部署，一種是基于云上應用在邊緣推送的部署模式。

最后，混合云模式。由于國內運營商算力和網絡資源發展均衡，邊緣計算節點可以通過網絡云下沉和公有云下沉兩種模式部署。一是基于網絡邊緣云將算力和虛擬化網絡連接能力下沉到靠近用戶的邊緣側，形成基于網絡邊緣云的邊緣計算資源池；二是基于移動公有云能力將算力下沉到靠近用戶的邊緣側，網絡邊緣云提供虛擬網絡連接能力，兩種模式既可以獨立部署也可以混合部署，形成邊緣混合云部署模式。

隨著 5G 技術的研發和商用部署，邊緣計算一直都是產業界關注的熱點技術。近兩年，邊緣計算技術在標準和產業生態上取得了突破性的進展。未來，上下游企業更要結合自身優勢，發力邊緣計算市場，助力邊緣計算應用快速落地。

采寫：胡媛