“让安全方案在云中自然生长”，CSA全球云安全联盟峰会召开

8月22日，首次落户中国的CSA 2019峰会，作为2019北京网络安全会议的一大重磅内容，在北京国家会议中心正式举行，来自中国、美国、澳大利亚、马来西亚等全球云安全领域领先的安全专家、权威学者和知名云服务供应商，共同围绕云安全的产业、技术、标准等多个角度，探讨全球云计算行业的最佳安全解决方案。

CSA峰会首次落户中国

云安全联盟（CSA）是国际云计算业界权威组织，在RSA 2009大会上宣布成立。作为代表云安全领域国际高水准的CSA峰会，连续10年与美国信息安全大会RSA同场召开，是每年RAS上最火爆的论坛。

在2019北京网络安全会议上举行CSA全球云安全联盟峰会，是CSA峰会首次在美国以外的地方举行。

今年3月，在美国RSA2019峰会上，CSA与2019北京网络安全大会达成战略合作，通过在2019北京网络安全大会期间举办全球云安全峰会，双方共同推动全球范围内网络安全领域中政、产、学、研、用各界的交流与合作，共同探讨全球网络安全治理、最新技术的趋势、面临的挑战形势、安全创新以及最佳实践，从而帮助组织定义云安全的全新边界。

“云已经成为实现网络安全的平台，因此在未来网络安全会议将成为云安全会议。”8月22日峰会现场，云安全联盟(CSA)首席执行官Jim Reavis表示，2019北京网络安全会议是一个世界级的网络安全产业交流平台，而CSA峰会，将会为世界各地政府、企业和学术界提供最佳实践与全球知识共享平台，同时为网络安全行业探索如何更好的创造安全解决方案的前沿技术。

Jim Reavis表示，云产业发展迅速，尤其是在中国云产业贯穿到各行各业中。因此，在未来CSA将会发布更多的中文研究成果。

图/云安全联盟(CSA)首席执行官Jim Reavis

此外，在峰会现场，美国政府首次在中国介绍美国国家云安全标准认证FedRAMP与CSA STAR的联姻，美国政府确认对CSA标准的官方认可，将成为今年CSA的一大亮点。而CSA美国联邦主任Katie Lewin详细分享了美国云安全标准。

工业云安全，需要“零信任架构”

当前，随着云计算、大数据、物联网等新的IT技术和传统的工业OT技术的深度融合，工业云安全成为与会嘉宾的一大焦点话题。

“现在我们国内有影响力的工业互联网平台已经超过了50万+，连到工业互联网的设备超过了10万台。”国家工业信息安全发展研究中心主任尹丽波认为，工业云集中了大量有价值的数据，也使它成为更容易被攻击的对象。因此要不断提升工业云安全防护能力，从底层一直到上层逐级加强云安全的防护，如边缘终端的安全、传输方面的安全以及接入认证方面的安全等。

针对工业云安全，奇安信集团副总裁左英男提出了需要用“零信任架构”理念来重构工业企业网络安全。

“零信任是一种网络安全策略，是把安全嵌入到了整个信息化系统的架构当中，核心的目标是要防止数据的泄露。零信任的优势是以数据为方式，消除了信任或者不受信任的设备、用户和网络进程，在认证授权上实现最小认证原则。”左英男表示，“零信任架构”有四个重要的特性：以身份为中心，业务安全访问，持续信任评估，动态风险度量，它默认不相信内外网里任何用户、人、设备对应用和数据的访问和调用，而是利用基于风险持续度量的动态认证、访问授权、密钥重新构建信任基础。

5G将对云安全非常有利

“人脸识别、跨境交易数据频繁泄露，预示着下半年的网络安全威胁不容小觑。”赛迪网络安全研究所所长刘权认为，供应链会成为网络攻击新重点，尤其是5G等新技术会进一步放大现有风险。

在CSA2019峰会现场，5G成为云安全专家与安全供应商讨论的热点议题。

“5G的出现，很大程度上改变了企业IT架构，更多的数据上云，云计算和边缘技术将更加协同。”奇安信云安全事业部总经理刘浩也担心，5G对云计算本身会形成很大的负载负担。华云数据CTO持相似的观点，他表示，安全正从物理安全变成逻辑安全，所以5G时代解决安全问题并不是把基础设施和应用分开，而是要通过真正的业务场景和业务需求来管理安全。

“5G的到来对云安全是非常有利的事情。”CSA大中华区主席李雨航建议，5G要求从中央对边远的设备做管控，不仅仅是把安全策略下发，甚至把终端的镜像、系统、应用，都可以下发。因而，可以通过中央模式对各种的端测和边缘计算，做更好的管理。

不过，在马来西亚联昌国际集团控股公司CTORamesh Narayanaswamy看来，严重短缺的安全人才，依旧是5G到来之际云安全整体面临的问题。

云安全也要内生安全

“企业没有固定的物理边界，不会有内网和外网的明显区别，服务器可以在互联网上任何地方，各种各样的设备可以在物联网的任何地方，不再有物理限制，这是我们享受的真正的世界。”云深互联CEO陈本峰如是说。

本次峰会现场，来自全球云安全领域的顶级技术专家、权威学者共同围绕云安全的产业、技术、标准等多个角度，探索全球云计算行业的最佳安全解决方案。

“安全于云，是内生的安全，安全是云的服务属性，因此让安全的解决方案在云里面自然的生长出来，从而提升防护能力。”来自VMware中国卓越中心资深解决方案架构师、全球CTO大使臧铁军提出了“云原生安全”的概念。这一概念，恰是本届BCS2019大会的主题“聚合应变、内生安全”。

澳大利亚昆士兰大学网络安全中心主任Prof.Ryan Ko强调，要把数据控制权返回给用户，这其中包含了认知的能力，行为的能力，保护交易隐私的能力。而美国金佰利CISO Jairo Orea则建议网络安全和不同类型的云技术与商业融合在一起，这样才能给社会带来更高的价值。

中国政法大学副校长、博士生导师时建中从网络空间治理的角度提出，云安全技术在应用的过程中应当基于法律指南和标准形成服务协议，通过政府监管、企业自治以及社会共识等多个维度构建起以生态安全为围墙，以系统安全为保障，以数据安全为核心的安全机制。

此外，世界领先的漏洞管理与合规性解决方案SaaS服务的提供商——Qualys首席产品官Sumedh Thakar，星巴克首席首席安全架构师Shawn Harris，阿里云安全解决方案部总经理冯程等来自多个国家的企业负责人分享了云安全的解决方案。

据了解，CSA全球云安全联盟峰会由美国云安全联盟(CSA)主办，中国云安全与新兴技术安全创新联盟(C-CSA)、奇安信集团、鹏城实验室协办。