德国电信(Deutsche Telekom,以下简称“德电”)是在全球拥有2.45亿客户、年营收1144亿欧元的电信巨头。由于暴露面庞大,该司的蜜罐系统平均每天被攻击5400万次,承压突出。本文选取德电为案例标杆,检视其云安全理念和服务架构,为国内运营商提供启示。

云时代的安全内功:德电安全理念

图1 德国电信2022年安全架构体系 (中国电信研究院整理)

在云时代,庞大的云基础架构在攻击面和攻击路径分析上都加大了安全防护的难度。

作为一家有近30年历史的欧洲最大电信运营商,德电拥有完备的安全组织体系和实体资源,这些实践于云安全领域,主要表现在三个方面:“流程化评估”、“全网络+终端”和“集成型安全”。它们围绕“以设计促安全”(Security by Design)的前瞻防护理念,完善安全前置的综合视野,降低措施的滞后性和碎片化。

1. 将隐私和安全评估(PSA)作为云体系中保护项目安全和隐私的核心要素

具体分三步:一、项目分类并确定安全等级;二、根据法规确定隐私和安全要求;三、实施、测试和记录要求。

应用PSA可以降低数据泄露概率,避免因不合规而引发诉讼风险、声誉受损及客户流失。

2. 用“以设计促安全”的理念保护云通信终端+网络生态

安全是产品和服务网络的嵌入元素,贯穿终端设备、Wi-Fi/移动通信/LAN、公司网络、运输网络和数据中心等整个通信网。新开发的产品和信息系统须进行密集和强制性的安全测试,以符合国际ISO 27001标准。

此理念的核心是安全防护的全流程监测,而非局部防御。当数据在终端、应用、云服务器和数据中心等各节点流转,可接触人员繁多,导致暴露面复杂,这要求运营商建立具备纵深防御的云安全体系。

3. 用集成型理念优化云安全产品线和研发架构

一是技术集成。随着安全在物联网和云领域的渗透,众多安全产品开始融合端到端解决方案,例如德电已将新一代防火墙集成到SD-WAN解决方案中;二是组织集成。22年7月,德电将奥地利、瑞士和斯洛伐克等地分公司安全部门合并到德国总部,从而加强研发、扩大安全市场份额。

此理念反应的趋势为,“云化”促进了硬件环境的融合,从前独立的安全产品\\服务越来越缩小为安全解决方案的一个子模块,定制化渐成行业趋势;其次,“偏科”或成为管道企业的重要短板,开发过程逐渐走向集约+复合化。

云时代的安全输出:上云中的安全+安全的云化

图2 德国电信2022年安全产品&服务体系(中国电信研究院整理)

德电在2022年财报中指出,其有能力覆盖的欧洲安全市场份额增长了10.7%。针对此蓝海,德电通过 “T‑Systems”品牌提供了以下云安全服务:

第一大类是针对企业云计算过程提供的安全防护,包括以下4类:

1. T-systems主权云服务

主权云是一种运用分布式云技术、在单一地理区域内提供数据本地化存储的云服务。在德电与谷歌云合作的T-Systems主权云服务中,客户会获得一个全面、可控、灵活的一揽子主权云部署计划,以确保受东道主国法规监管的IT公司从公共云的算力中充分受益,而无须担心合规风险。主权云服务聚焦的是云计算环境的合规与合法性。

2. 云隐私服务(CPS)

“CPS”云加密解决方案能以SaaS形式在T-Systems数据中心运行。该服务核心组件是一个独立于Microsoft Office 365运行、无须插件的后台网关,它可以在数据传输到Microsoft云之前进行加密,而密钥只掌握在用户手中,杜绝了未授权的第三方访问。CPS服务主要聚焦云上数据的身份认证和访问安全。

3. 云访问安全代理(CASB)服务

旨在帮助企业应对云服务中敏感数据泄露的风险,它支持下列功能:检测影子IT;分析、控制和记录匿名用户与云应用程序之间的通信;分析日志文件并识别公司中使用的所有云应用程序,适时阻止有风险的云服务;根据账户行为模式检查其登录次数、异常上传率、下载率或文档类型,从而过滤恶意文件、黑客窃密行为。CASB主要聚焦云上服务的应用安全。

4. 云迁移(CM)服务

基于最佳实践的云迁移框架(CMF)可帮助客户将复杂的基础设施和应用程序,以安全、标准、自动和模块化的形式迁移到多云中。T-Systems团队将在迁移前完成云就绪性评估,并对每个业务和目标进行详细分析,从而厘清多云环境中的目标系统,并充分利用各种云服务商的潜力。CM服务主要聚焦上云过程中的数据安全。

第二类是以云服务方式提供安全,也称安全即服务(Security-as-a-Service),这种基于云平台的SASE安全组件优势在于运维的自动化,可降低IT团队的工作量与合规成本。各组件可以持续提供基于最新情报和技术的有效保护,让单个用户从所有端点安全访问应用程序和IT服务,并集约化抵御高级威胁、僵尸网络或跨站点脚本等网络风险。此外,德电可为使用AWS或Microsoft 365的PC客户订制以下安全组件:防火墙即服务、远程访问VPN、零信任网络访问、安全Web网关、数据丢失预防和沙箱等。SASE安全组件服务也主要聚焦云服务的应用安全。

综上,德电提供的云安全服务主要是针对政企客户对于云计算环境的安全保障需求,精准解决了企业在数据上云过程中的四项痛点,即合规合法性、身份认证与访问安全、应用安全和数据安全;此外,也用SaaS安全的模式突破了传统安全托管业务受制于硬件外包规模的瓶颈,对主体安全服务形成补充。

对国内运营商启示

1. 云时代,标准化+整体化的安全概念可从源头降低风险

突破碎片化的安全治理是大型电信企业的必经之路,安全并非合规成本,而是一种综合视野下的品牌价值支撑。国内运营商可从两方面着手:对内,应注重对项目隐私风控流程的制度化建设,并加强对暴露面的科学管理,比如加强对终端设备、通信网络和IDC端的全网络安全压力测试,从源头消除设计隐患;在对外的安全产品和服务领域,应对既有云网安全产品进行整合,形成更贴合用户需求、且溢价更高的端到端安全解决方案,形成良好的品牌效应以增强客户黏性。

2. 大力发展以主权云技术为首的系列云安全技术

Gartner称主权云技术为“2023年十大政府技术趋势之一”,市场研究公司Imarc Group也称,全球政府云市场的规模预计将从2021年的276亿美元增至2027年的712亿美元。在欧洲,敏感数据存储受到GDPR等东道主国法规的限制,德电借此与谷歌联合推出广受欢迎的主权云服务;而我国已通过《网络安全法》、《个人信息保护法》和《数字中国建设整体布局规划》加强对政企使用公有云存储敏感数据的地缘监管,国内运营商依托央企声誉和技术积淀,应适时向公共部门和外资企业推出具备数据本地化存储、用户可控以及安全可信特点的主权云服务,帮助相关客户提升云运营和治理流程的透明度,避免敏感数据泄露事件和违规风险;并借助自身算力优势,赋能政企合法、合规驾驭自身的庞大数据集,并实现科学、循证决策的能力。

3. 将熟客转化设置为云安全服务拓客的优先思路

电信企业普遍为大型云服务提供商,这种既有的云计算市场份额赋予了运营商提供安全服务的优势:以连带服务的形式,向客户提供云计算的安全防护,而非缺乏壁垒、安全厂商亦可竞争的SaaS类云安全服务。

根据Synergy Research Group数据,目前德电是在欧洲占有2%以上市场份额的第二大云服务商,而国内运营商也具备区域内的类似地位。作为“场内玩家”,应首先根据云计算服务类型(laaS/SaaS/PaaS)的不同,与客户合理、灵活地设置安全责任分担模型:例如数据分类与计算、部分访问管理通常由客户负责,而计算、存储、网络和数据库的物理安全不论在何种服务模式下,基本都由云服务提供商负责。如遇到缺乏安全治理能力和意愿的政企客户,运营商可适时针对超出自身安全责任的部分,提出付费的云安全托管或安全能力解决方案,从而实现安全营收的稳健增长。

本文作者

雷东亚

分析师

伦敦政经硕士,CISO,就职于中国电信研究院,主要研究方向为运营商极限安全、网络战等领域。

编辑制作

多媒体服务设计团队

制图:李银鑫 | 编辑:王凯雯

审校:董智明、刘馨

声明:本文来自天翼智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。