威海職業(yè)學(xué)院 趙永華

在過去幾年云服務(wù)獲得了巨大增長，IaaS和PaaS 明顯改變了企業(yè)運(yùn)維模式；僅在過去一年我們看到更多企業(yè)引入了多重身份驗(yàn)證（MFA），電子郵件服務(wù)提供商如Office 365 和G Suite等可以降低實(shí)施MFA 的準(zhǔn)入門檻，這無疑使網(wǎng)絡(luò)罪犯更難以侵入受害者的電子郵件帳戶，因此對企業(yè)來說也是個好消息。

那么，在未來企業(yè)將會遇到哪些問題，面臨哪些挑戰(zhàn)？筆者試做如下粗淺預(yù)測分析。

關(guān)注多云操作

多云環(huán)境成為近來的熱門話題。企業(yè)已意識到與供應(yīng)商無關(guān)的方法的好處，這種方法不僅可以最大程度降低成本，而且可以讓他們自由創(chuàng)新。但是，有幾個方面的操作對于確保多云在企業(yè)中長期保持穩(wěn)定運(yùn)轉(zhuǎn)至關(guān)重要。

盡管供應(yīng)商中立的生態(tài)系統(tǒng)帶來了自由，但云技術(shù)仍未解決云基礎(chǔ)架構(gòu)之間遷移工作負(fù)載相關(guān)的棘手問題。多云生態(tài)系統(tǒng)，通過支持跨公共云和私有云的快速部署、可伸縮性、集成和操作任務(wù)來克服瓶頸。

另一個難題是可觀察性和跨云監(jiān)視。為了確保在整個生態(tài)系統(tǒng)中維護(hù)操作并確保它們能夠滿足工作負(fù)載，必須具有可觀察組件。在多云基礎(chǔ)架構(gòu)中，這變得很復(fù)雜，在該基礎(chǔ)架構(gòu)中，必須在各個實(shí)例之間應(yīng)用相同級別的可見性和治理。2020 將是公共云提供商的關(guān)鍵年。

從云中遣返工作負(fù)載

隨著公有云的增長，到2020 年云原生組織將利用混合環(huán)境更大地節(jié)省成本。對于剛開始或預(yù)算有限的企業(yè)（需要一個環(huán)境來使用最新技術(shù)）來說，公共云是理想的起點(diǎn)。有了公共云，企業(yè)將克服自身局限，立即獲得創(chuàng)新回報(bào)。但是隨著成本增加，需要謹(jǐn)慎考慮如何重新獲得對云經(jīng)濟(jì)的控制權(quán)。

將工作負(fù)載遣返到本地肯定是一個可行的選擇，但這并不意味著我們將開始看到云的減少。隨著組織超越發(fā)展過程中的每個新里程碑，遣返變得越來越具有挑戰(zhàn)性。我們可能會看到，公共云提供商會進(jìn)入數(shù)據(jù)中心以支持這種混合需求。

公共云提供商將受到更高安全標(biāo)準(zhǔn)約束

美國國防部決定將其JEDI 項(xiàng)目的10 年合同授予微軟的決定將是一個分水嶺，這將觸發(fā)更多政府機(jī)構(gòu)轉(zhuǎn)移應(yīng)用程序并統(tǒng)一公共云中的信息。最大的影響之一是需要提高公共云中的端點(diǎn)安全性和合規(guī)性標(biāo)準(zhǔn)。政府機(jī)構(gòu)將這些要求放在云提供商上，將對整個行業(yè)產(chǎn)生溢出效應(yīng)。這將包括有關(guān)如何構(gòu)建混合環(huán)境以及在公共云和本地環(huán)境之間實(shí)現(xiàn)完全數(shù)據(jù)分離的更高標(biāo)準(zhǔn)。

盡管這將主要影響美國云市場，但也會對其他市場產(chǎn)生連鎖反應(yīng)。超大規(guī)模提供商本質(zhì)上是全球性的，因此將需要針對英國脫歐后等轄區(qū)調(diào)整其政策和做法，在英國，將針對數(shù)據(jù)保護(hù)和與非英國實(shí)體的數(shù)據(jù)分離制定新標(biāo)準(zhǔn)。

通過AI/機(jī)器學(xué)習(xí)提高網(wǎng)絡(luò)自動化水平

人工智能和機(jī)器學(xué)習(xí)（AI/ML）的業(yè)務(wù)狀態(tài)已經(jīng)從模糊的愿景發(fā)展為切實(shí)的部署。公司現(xiàn)在將更多精力放在AI/ML 上，并正在重組其IT 服務(wù)管理和業(yè)務(wù)運(yùn)營以適應(yīng)這一趨勢。人工智能已經(jīng)與多家IT 和電信公司合作，這些公司希望建立更好的網(wǎng)絡(luò)并深入了解這些網(wǎng)絡(luò)的使用方式——從優(yōu)化功耗到維護(hù)任務(wù)自動化的所有方面。2020年我們將看到在網(wǎng)絡(luò)空間中圍繞AI/ML 的關(guān)注越來越大。

許多端點(diǎn)安全工具和應(yīng)用程序都真正利用了機(jī)器學(xué)習(xí)和AI，通常是在標(biāo)記異常網(wǎng)絡(luò)流量或用戶行為日志時(shí)使用。2020 年機(jī)器學(xué)習(xí)可能會應(yīng)用到更多新穎的安全用例中。

Kubernetes 將不再被視為銀彈

Kubernetes 已成為現(xiàn)代云基礎(chǔ)架構(gòu)不可或缺的一部分，并且是構(gòu)建和嘗試新技術(shù)的門戶。我們觀察到，許多公司都在加倍使用該應(yīng)用程序，重新定向其DevOps 團(tuán)隊(duì)以探索新事物，例如啟用無服務(wù)器應(yīng)用程序和自動化數(shù)據(jù)編排。筆者認(rèn)為這一趨勢將在2020 年繼續(xù)增強(qiáng)。

也有一些公司質(zhì)疑Kubernetes 是否真的是正確的工具。盡管該技術(shù)可以提供巨大的價(jià)值，但在某些情況下，其管理模式可能很復(fù)雜，并且需要專業(yè)技能。由于Kubernetes 現(xiàn)在通常用于大規(guī)模生產(chǎn)，因此用戶越來越有可能遇到有關(guān)安全性和停機(jī)時(shí)間的問題。

勒索軟件依然難以防范

勒索軟件確實(shí)已成為不良行為者可以部署的最強(qiáng)大和最有效的武器之一。我們看到越來越多的勒索軟件的成功實(shí)例。例如，微軟Remote Desktop Protocol安全漏洞可以使網(wǎng)絡(luò)犯罪分子實(shí)現(xiàn)遠(yuǎn)程執(zhí)行代碼，成為真正破壞性攻擊的起點(diǎn)。我們在2020 年依舊無法回避基于BlueKeep 的惡意軟件活動。

2020年面臨的主要安全挑戰(zhàn)

大中型企業(yè)組織在安全工作中依然需要注意以下三個問題：

1.憑證：隨著前面提到的多因素身份驗(yàn)證使用的增加，對于身份管理似乎正在改善。一個重要的建議是實(shí)施NIST 指南，即放棄數(shù)字、大小寫和符號要求，而采用更大的最小長度來鼓勵使用密碼短語而不是密碼。

2.入站通信：從惡意電子郵件附件和網(wǎng)絡(luò)釣魚嘗試到偽造發(fā)票和CEO 欺詐，這些攻擊的數(shù)量和規(guī)模呈上升趨勢。盡管外圍的新技術(shù)有助于減少最終出現(xiàn)在員工面前的惡意內(nèi)容的數(shù)量，但攻擊者只需要贏得一次即可。預(yù)計(jì)到2020 年，我們將看到電子郵件內(nèi)容生成的自動化程度更高，而不僅僅是發(fā)送，攻擊者的目的是擊敗現(xiàn)有的過濾系統(tǒng)。

3.侵蝕性邊界：多年來，我們的網(wǎng)絡(luò)邊界變得越來越模糊，到2020 年，即使在小型組織中，僅能夠列出所有員工使用的第三方應(yīng)用程序也可能很困難。在許多情況下，我們的信息分布在由不同組織托管的數(shù)十個不同的系統(tǒng)中，例如CRM 和生產(chǎn)力軟件。從Slack 到ZenDesk，從Office 365 到AWS，訪問公司內(nèi)部資源通常不再需要位于公司網(wǎng)絡(luò)內(nèi)部。

企業(yè)如何才能最好地保護(hù)自己？

在憑據(jù)、入站通信和侵蝕性邊界這三個主要挑戰(zhàn)中，密碼分析，網(wǎng)絡(luò)釣魚和遠(yuǎn)程攻擊的混合至關(guān)重要。但是，隨著越來越多的組織將工作負(fù)載遷移到云中，對于這些組織而言，在采購階段討論如何處理包含公司資源和數(shù)據(jù)的云服務(wù)也至關(guān)重要。企業(yè)安全和風(fēng)險(xiǎn)狀況現(xiàn)在已經(jīng)遠(yuǎn)遠(yuǎn)超出了他們自己的場所和網(wǎng)絡(luò)范圍，并延伸到了云中，這需要比以往任何時(shí)候都更加協(xié)作的安全方案。