德國電信（Deutsche Telekom，以下簡稱“德電”）是在全球擁有2.45億客戶、年營收1144億歐元的電信巨頭。由于暴露面龐大，該司的蜜罐系統(tǒng)平均每天被攻擊5400萬次，承壓突出。本文選取德電為案例標(biāo)桿，檢視其云安全理念和服務(wù)架構(gòu)，為國內(nèi)運營商提供啟示。

云時代的安全內(nèi)功：德電安全理念

【資料圖】

圖1 德國電信2022年安全架構(gòu)體系 （中國電信研究院整理）

在云時代，龐大的云基礎(chǔ)架構(gòu)在攻擊面和攻擊路徑分析上都加大了安全防護的難度。

作為一家有近30年歷史的歐洲最大電信運營商，德電擁有完備的安全組織體系和實體資源，這些實踐于云安全領(lǐng)域，主要表現(xiàn)在三個方面：“流程化評估”、“全網(wǎng)絡(luò)+終端”和“集成型安全”。它們圍繞“以設(shè)計促安全”（Security by Design）的前瞻防護理念，完善安全前置的綜合視野，降低措施的滯后性和碎片化。

1. 將隱私和安全評估（PSA）作為云體系中保護項目安全和隱私的核心要素

具體分三步：一、項目分類并確定安全等級；二、根據(jù)法規(guī)確定隱私和安全要求；三、實施、測試和記錄要求。

應(yīng)用PSA可以降低數(shù)據(jù)泄露概率，避免因不合規(guī)而引發(fā)訴訟風(fēng)險、聲譽受損及客戶流失。

2. 用“以設(shè)計促安全”的理念保護云通信終端+網(wǎng)絡(luò)生態(tài)

安全是產(chǎn)品和服務(wù)網(wǎng)絡(luò)的嵌入元素，貫穿終端設(shè)備、Wi-Fi/移動通信/LAN、公司網(wǎng)絡(luò)、運輸網(wǎng)絡(luò)和數(shù)據(jù)中心等整個通信網(wǎng)。新開發(fā)的產(chǎn)品和信息系統(tǒng)須進行密集和強制性的安全測試，以符合國際ISO 27001標(biāo)準(zhǔn)。

此理念的核心是安全防護的全流程監(jiān)測，而非局部防御。當(dāng)數(shù)據(jù)在終端、應(yīng)用、云服務(wù)器和數(shù)據(jù)中心等各節(jié)點流轉(zhuǎn)，可接觸人員繁多，導(dǎo)致暴露面復(fù)雜，這要求運營商建立具備縱深防御的云安全體系。

3. 用集成型理念優(yōu)化云安全產(chǎn)品線和研發(fā)架構(gòu)

一是技術(shù)集成。隨著安全在物聯(lián)網(wǎng)和云領(lǐng)域的滲透，眾多安全產(chǎn)品開始融合端到端解決方案，例如德電已將新一代防火墻集成到SD-WAN解決方案中；二是組織集成。22年7月，德電將奧地利、瑞士和斯洛伐克等地分公司安全部門合并到德國總部，從而加強研發(fā)、擴大安全市場份額。

此理念反應(yīng)的趨勢為，“云化”促進了硬件環(huán)境的融合，從前獨立的安全產(chǎn)品\\服務(wù)越來越縮小為安全解決方案的一個子模塊，定制化漸成行業(yè)趨勢；其次，“偏科”或成為管道企業(yè)的重要短板，開發(fā)過程逐漸走向集約+復(fù)合化。

云時代的安全輸出：上云中的安全+安全的云化

圖2 德國電信2022年安全產(chǎn)品&服務(wù)體系（中國電信研究院整理）

德電在2022年財報中指出，其有能力覆蓋的歐洲安全市場份額增長了10.7%。針對此藍(lán)海，德電通過 “T?Systems”品牌提供了以下云安全服務(wù)：

第一大類是針對企業(yè)云計算過程提供的安全防護，包括以下4類：

1. T-systems主權(quán)云服務(wù)

主權(quán)云是一種運用分布式云技術(shù)、在單一地理區(qū)域內(nèi)提供數(shù)據(jù)本地化存儲的云服務(wù)。在德電與谷歌云合作的T-Systems主權(quán)云服務(wù)中，客戶會獲得一個全面、可控、靈活的一攬子主權(quán)云部署計劃，以確保受東道主國法規(guī)監(jiān)管的IT公司從公共云的算力中充分受益，而無須擔(dān)心合規(guī)風(fēng)險。主權(quán)云服務(wù)聚焦的是云計算環(huán)境的合規(guī)與合法性。

2. 云隱私服務(wù)（CPS）

“CPS”云加密解決方案能以SaaS形式在T-Systems數(shù)據(jù)中心運行。該服務(wù)核心組件是一個獨立于Microsoft Office 365運行、無須插件的后臺網(wǎng)關(guān)，它可以在數(shù)據(jù)傳輸?shù)組icrosoft云之前進行加密，而密鑰只掌握在用戶手中，杜絕了未授權(quán)的第三方訪問。CPS服務(wù)主要聚焦云上數(shù)據(jù)的身份認(rèn)證和訪問安全。

3. 云訪問安全代理（CASB）服務(wù)

旨在幫助企業(yè)應(yīng)對云服務(wù)中敏感數(shù)據(jù)泄露的風(fēng)險，它支持下列功能：檢測影子IT；分析、控制和記錄匿名用戶與云應(yīng)用程序之間的通信；分析日志文件并識別公司中使用的所有云應(yīng)用程序，適時阻止有風(fēng)險的云服務(wù)；根據(jù)賬戶行為模式檢查其登錄次數(shù)、異常上傳率、下載率或文檔類型，從而過濾惡意文件、黑客竊密行為。CASB主要聚焦云上服務(wù)的應(yīng)用安全。

4. 云遷移（CM）服務(wù)

基于最佳實踐的云遷移框架（CMF）可幫助客戶將復(fù)雜的基礎(chǔ)設(shè)施和應(yīng)用程序，以安全、標(biāo)準(zhǔn)、自動和模塊化的形式遷移到多云中。T-Systems團隊將在遷移前完成云就緒性評估，并對每個業(yè)務(wù)和目標(biāo)進行詳細(xì)分析，從而厘清多云環(huán)境中的目標(biāo)系統(tǒng)，并充分利用各種云服務(wù)商的潛力。CM服務(wù)主要聚焦上云過程中的數(shù)據(jù)安全。

第二類是以云服務(wù)方式提供安全，也稱安全即服務(wù)（Security-as-a-Service），這種基于云平臺的SASE安全組件優(yōu)勢在于運維的自動化，可降低IT團隊的工作量與合規(guī)成本。各組件可以持續(xù)提供基于最新情報和技術(shù)的有效保護，讓單個用戶從所有端點安全訪問應(yīng)用程序和IT服務(wù)，并集約化抵御高級威脅、僵尸網(wǎng)絡(luò)或跨站點腳本等網(wǎng)絡(luò)風(fēng)險。此外，德電可為使用AWS或Microsoft 365的PC客戶訂制以下安全組件：防火墻即服務(wù)、遠(yuǎn)程訪問VPN、零信任網(wǎng)絡(luò)訪問、安全Web網(wǎng)關(guān)、數(shù)據(jù)丟失預(yù)防和沙箱等。SASE安全組件服務(wù)也主要聚焦云服務(wù)的應(yīng)用安全。

綜上，德電提供的云安全服務(wù)主要是針對政企客戶對于云計算環(huán)境的安全保障需求，精準(zhǔn)解決了企業(yè)在數(shù)據(jù)上云過程中的四項痛點，即合規(guī)合法性、身份認(rèn)證與訪問安全、應(yīng)用安全和數(shù)據(jù)安全；此外，也用SaaS安全的模式突破了傳統(tǒng)安全托管業(yè)務(wù)受制于硬件外包規(guī)模的瓶頸，對主體安全服務(wù)形成補充。

對國內(nèi)運營商啟示

1. 云時代，標(biāo)準(zhǔn)化+整體化的安全概念可從源頭降低風(fēng)險

突破碎片化的安全治理是大型電信企業(yè)的必經(jīng)之路，安全并非合規(guī)成本，而是一種綜合視野下的品牌價值支撐。國內(nèi)運營商可從兩方面著手：對內(nèi)，應(yīng)注重對項目隱私風(fēng)控流程的制度化建設(shè)，并加強對暴露面的科學(xué)管理，比如加強對終端設(shè)備、通信網(wǎng)絡(luò)和IDC端的全網(wǎng)絡(luò)安全壓力測試，從源頭消除設(shè)計隱患；在對外的安全產(chǎn)品和服務(wù)領(lǐng)域，應(yīng)對既有云網(wǎng)安全產(chǎn)品進行整合，形成更貼合用戶需求、且溢價更高的端到端安全解決方案，形成良好的品牌效應(yīng)以增強客戶黏性。

2. 大力發(fā)展以主權(quán)云技術(shù)為首的系列云安全技術(shù)

Gartner稱主權(quán)云技術(shù)為“2023年十大政府技術(shù)趨勢之一”，市場研究公司Imarc Group也稱，全球政府云市場的規(guī)模預(yù)計將從2021年的276億美元增至2027年的712億美元。在歐洲，敏感數(shù)據(jù)存儲受到GDPR等東道主國法規(guī)的限制，德電借此與谷歌聯(lián)合推出廣受歡迎的主權(quán)云服務(wù)；而我國已通過《網(wǎng)絡(luò)安全法》、《個人信息保護法》和《數(shù)字中國建設(shè)整體布局規(guī)劃》加強對政企使用公有云存儲敏感數(shù)據(jù)的地緣監(jiān)管，國內(nèi)運營商依托央企聲譽和技術(shù)積淀，應(yīng)適時向公共部門和外資企業(yè)推出具備數(shù)據(jù)本地化存儲、用戶可控以及安全可信特點的主權(quán)云服務(wù)，幫助相關(guān)客戶提升云運營和治理流程的透明度，避免敏感數(shù)據(jù)泄露事件和違規(guī)風(fēng)險；并借助自身算力優(yōu)勢，賦能政企合法、合規(guī)駕馭自身的龐大數(shù)據(jù)集，并實現(xiàn)科學(xué)、循證決策的能力。

3. 將熟客轉(zhuǎn)化設(shè)置為云安全服務(wù)拓客的優(yōu)先思路

電信企業(yè)普遍為大型云服務(wù)提供商，這種既有的云計算市場份額賦予了運營商提供安全服務(wù)的優(yōu)勢：以連帶服務(wù)的形式，向客戶提供云計算的安全防護，而非缺乏壁壘、安全廠商亦可競爭的SaaS類云安全服務(wù)。

根據(jù)Synergy Research Group數(shù)據(jù)，目前德電是在歐洲占有2%以上市場份額的第二大云服務(wù)商，而國內(nèi)運營商也具備區(qū)域內(nèi)的類似地位。作為“場內(nèi)玩家”，應(yīng)首先根據(jù)云計算服務(wù)類型(laaS/SaaS/PaaS)的不同，與客戶合理、靈活地設(shè)置安全責(zé)任分擔(dān)模型：例如數(shù)據(jù)分類與計算、部分訪問管理通常由客戶負(fù)責(zé)，而計算、存儲、網(wǎng)絡(luò)和數(shù)據(jù)庫的物理安全不論在何種服務(wù)模式下，基本都由云服務(wù)提供商負(fù)責(zé)。如遇到缺乏安全治理能力和意愿的政企客戶，運營商可適時針對超出自身安全責(zé)任的部分，提出付費的云安全托管或安全能力解決方案，從而實現(xiàn)安全營收的穩(wěn)健增長。

本文作者

雷東亞

分析師

倫敦政經(jīng)碩士，CISO，就職于中國電信研究院，主要研究方向為運營商極限安全、網(wǎng)絡(luò)戰(zhàn)等領(lǐng)域。

編輯制作

多媒體服務(wù)設(shè)計團隊

制圖：李銀鑫 | 編輯：王凱雯

審校：董智明、劉馨