云計算的出現(xiàn)徹底改變了傳統(tǒng)企業(yè)IT結(jié)構(gòu)和整個IT產(chǎn)業(yè),伴生在其上的云安全也面臨著非常多的新問題,需要用新的安全管理思路和技術(shù)手段來應(yīng)對。但從現(xiàn)實情況來看,大部分企業(yè)的理念和技術(shù)方法還停留在傳統(tǒng)IT時代,很多企業(yè)只是把云當成更大的服務(wù)器集群來用,并沒有認識到云所帶來的從底層技術(shù)上的本質(zhì)性變革。理念的差異最直接的后果就是安全管理水平的滯后,會產(chǎn)生非常多的安全問題。
本文中,我們將根據(jù)自身云平臺安全建設(shè)以及云租戶安全運營實踐出發(fā),圍繞云計算給IT產(chǎn)業(yè)帶來了什么變化、企業(yè)在安全建設(shè)上的新挑戰(zhàn),以及我們有哪些應(yīng)對之道和術(shù),闡述相應(yīng)觀察。
目錄:
一、云計算給IT產(chǎn)業(yè)帶來了哪些本質(zhì)的變化?
二、企業(yè)的安全建設(shè)在這種外部環(huán)境變化的新挑戰(zhàn)
三、當前網(wǎng)絡(luò)安全產(chǎn)業(yè)供需不對等,需要如何解決?
一、云計算到底給IT產(chǎn)業(yè)帶來了哪些本質(zhì)的變化,相應(yīng)的安全變化是什么?
一、安全管理模型的變化。傳統(tǒng)安全領(lǐng)域里,IT資產(chǎn)的所有權(quán)和設(shè)備的控制權(quán)基本是一致的,誰使用誰購買誰擁有誰管理,比如原來一個企業(yè)一年有1億的IT預(yù)算,包含有40多個系統(tǒng),其中有歸屬于財務(wù)部門的ERP,有歸屬于人力資源部門的HRM等等,這些權(quán)責分明的子系統(tǒng)共同構(gòu)建形成企業(yè)內(nèi)部的大的IT網(wǎng)絡(luò),它的成本模型和組織歸屬是一致的,哪個部門采用了什么軟件系統(tǒng)、用什么解決方案、有哪些網(wǎng)絡(luò)支撐這些系統(tǒng)、部署在什么位置,所有權(quán)和使用權(quán)都有明確的歸屬,物理邊界非常清晰,這個時候大家很容易去做安全的解決方案。但是在云計算里面資產(chǎn)大部分時候是“租用”,資產(chǎn)的所有權(quán)、控制權(quán)以及企業(yè)在選擇服務(wù)和產(chǎn)品和技術(shù)模型上面產(chǎn)生了巨大的變化。這雖然不是安全本身的問題,但對安全系數(shù)的選擇以及安全的發(fā)展產(chǎn)生了巨大的影響,這是今天在云時代做安全建設(shè)面臨的最大的問題。
二,計算內(nèi)容和技術(shù)的變化。一方面是算力的變化,一方面是數(shù)據(jù)量的變化,這兩個問題導(dǎo)致傳統(tǒng)的安全機制在云上不適用。算力方面以最簡單的安全技術(shù)——數(shù)據(jù)加密技術(shù),20年前一臺標準的服務(wù)器上面破解MD5的次數(shù)基本是每秒幾千次到萬次左右,所以MD5在20年前算是比較安全的算法,但是今天一臺普通的臺式機通過GPU加速的技術(shù)破解MD5的加密速度已經(jīng)達到每秒鐘55億次以上,算力上面比過去已經(jīng)提高了上千萬倍都不止,導(dǎo)致傳統(tǒng)看似安全的機制由于算力的大幅提升而失效。另外一方面是數(shù)據(jù)量的增大,每年的數(shù)據(jù)量都以倍數(shù)甚至十倍數(shù)的數(shù)量在增長,對安全機制會產(chǎn)生影響,仍然以安全加密技術(shù)為例,加密技術(shù)如果是一個小數(shù)量,加密的時間、成本和性能的影響可以忽略不計,如果到T級、P級,加密時長要達到幾分鐘甚至幾個小時甚至幾天的時候,在實際的業(yè)務(wù)運行環(huán)境中是完全不能接受的。
三,基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)的變化。云時代導(dǎo)入了非常多的新技術(shù),比如扁平化的架構(gòu)、虛擬化技術(shù)的應(yīng)用,以及普遍存在的分布式機構(gòu)、異構(gòu)計算、服務(wù)的抽象化等等,這些技術(shù)都會導(dǎo)致我們在進行安全分析時,不管是在攻擊面還是攻擊路徑的分析上都會呈現(xiàn)更復(fù)雜的狀態(tài)。
傳統(tǒng)的IT建設(shè)周期很長,可能是以半年甚至年為單位,服務(wù)器采購硬件背后到貨的時間是1-3個月,軟件系統(tǒng)建設(shè)周期基本上是半年到幾年時間,系統(tǒng)的整個生命周期是幾年到幾十年的時間。面對5-10年長周期的系統(tǒng),我們的安全建設(shè)可能是按一年的周期來做一次整體的風險評估,評估整個IT系統(tǒng)的風險,然后按月為單位做漏洞掃描,以月或者季度為單位進行系統(tǒng)的補丁管理——有相應(yīng)非常嚴格的流程,可以按部就班進行滾動周期的管理。
但是在今天的計算環(huán)境里面,我們面臨的是一個非常高速、持續(xù)變化的環(huán)境。舉個例子,Serverless技術(shù)的應(yīng)用帶來的結(jié)果是,今天在云上面基本上拉起一個Servesless應(yīng)用的時間是3毫秒,而一個Serverless實例最短生命周期是100毫秒,如果是一個運行這樣的函數(shù)的實例存在漏洞,被攻陷、被入侵,那整個攻擊事件的生命周期是百毫秒的級別,在云上有大量應(yīng)用這樣的技術(shù),每秒都有大量的實例被拉起、迅速消亡,可能惡意代碼攻擊就在其中流轉(zhuǎn)消除;如果沒有新的技術(shù)進行監(jiān)控和防范,可以說傳統(tǒng)的靜態(tài)的或者長周期的機制是完全失效的,所以今天我們面臨的是動態(tài)迅速變化的生命周期模型,面臨著持續(xù)性對抗的環(huán)境。
二、外部環(huán)境變化給企業(yè)安全建設(shè)帶來的新挑戰(zhàn)
全球各地網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)的標準也逐漸趨嚴,以GDPR的發(fā)布為標志性事件,之后的幾年間國際國內(nèi)陸續(xù)出臺了很多重磅的網(wǎng)絡(luò)安全相關(guān)的法律,國內(nèi)的《數(shù)據(jù)安全法》、《個人信息保護法》、《關(guān)鍵基礎(chǔ)設(shè)施保護條例》都是在2021年出臺的。近年來的各種法律,對于網(wǎng)絡(luò)安全責任主體的界定已經(jīng)很明晰,《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》明確規(guī)定企業(yè)需要承擔網(wǎng)絡(luò)安全的主體責任。
這個是法律層面的挑戰(zhàn),就技術(shù)層面本身,云計算導(dǎo)入的新技術(shù)給帶來了新的生產(chǎn)力,不少傳統(tǒng)企業(yè)在云計算時代也實現(xiàn)了快速的發(fā)展。但技術(shù)進步這枚“硬幣”的另一面是新的挑戰(zhàn),從我們安全從業(yè)者視角,云是一個“大蜜罐”,海量的數(shù)據(jù)和業(yè)務(wù)在云上,必然招攬一些黑產(chǎn)和攻擊者。
過去幾年可以看到幾個安全威脅的大趨勢。首先在威脅主體上,專業(yè)化、APT的組織越來越多,2020年美國的一份報告顯示,現(xiàn)在全球范圍內(nèi)具備國家級別攻擊力量的黑客組織大概有40多個,往下還有無政府主義黑客、商業(yè)間諜、有組織犯罪,在國內(nèi),黑灰產(chǎn)是整個商業(yè)攻擊事件的主流。這些威脅主體有更高深的技術(shù)以及武器和組織能力;在受攻擊目標上面,各個層次分布得更廣泛,國家的關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)的商業(yè)數(shù)據(jù)、個人的敏感信息等等,都成為了攻擊的標的。數(shù)實融合潮流勢不可擋,借助數(shù)字化獲得更好的發(fā)展已經(jīng)企業(yè)發(fā)展必由之路,但前提是必須要做好安全體系,其數(shù)字化發(fā)展才穩(wěn)定、可預(yù)期。
我們在云平臺建設(shè)和幫客戶建設(shè)云安全的過程中,都發(fā)現(xiàn)這個行業(yè)面臨非常大的缺口:資源的缺口、人力的缺口——人力的缺口既體現(xiàn)在絕對人數(shù)的缺口,也表現(xiàn)在缺乏有足夠?qū)I(yè)技術(shù)的專家。在近幾年,我國各個領(lǐng)域建立起了數(shù)千朵各種規(guī)模的云,每一朵云常規(guī)的安全運營——比如常規(guī)的風險評估、漏洞掃描、日常監(jiān)控等等——需要的有攻防實戰(zhàn)經(jīng)驗的專業(yè)人力是30人左右,僅在云安全運營領(lǐng)域,這已經(jīng)遠遠超出了目前云安全行業(yè)的服務(wù)供給能力。
三、當前網(wǎng)絡(luò)安全產(chǎn)業(yè)供需不對等,需要如何解決?
面臨云安全領(lǐng)域的若干制約,產(chǎn)品的制約、技術(shù)的制約、人力缺口的制約、思路和架構(gòu)上的制約,怎么解決這個問題?我們認為,在今天的時代,安全一定要有“戰(zhàn)爭思維”,戰(zhàn)爭是動態(tài)變化的,戰(zhàn)爭一定會有損失、一定會有取舍,“萬無一失”是不現(xiàn)實的,所以今天我們的安全思路應(yīng)該是用比較合理的投入取得最大化的效果,把整個水位線提升到一定高度。
戰(zhàn)爭思維下的安全管理的基本原則是兩個:一,要解決的是普遍性問題,不能讓低級漏洞影響安全性,造成企業(yè)的損失;二,不出重大安全事故,保證安全在一個足夠的水平線上。要完成這兩個原則,全靠人驅(qū)動是不現(xiàn)實的,首先是沒有足夠多的人力、沒有足夠多的專業(yè)人士,其次,人都是會懈怠、會疏忽的。
基于上述理解,以及過去幾年騰訊在云平臺上的實踐經(jīng)驗和儲備,今天我們推出了新的理念:基于云原生的安全托管服務(wù)。過去的幾年運營中我們積累了大量的云原生系統(tǒng)自動化工具,保證逐個解決微小的問題,最終把絕大多數(shù)的風險面通過這樣的工具消除,最終通過數(shù)據(jù)驅(qū)動、危險情報的共享、自動化的工作引擎,形成云平臺安全服務(wù)的核心引擎,所以最終在安全服務(wù)上面我們劃分為三個等級:
第一、低級事件的對抗和消減,今天在云上每天會有億級以上的批量漏洞掃描事件,如果是客戶的話,不可能每天去響應(yīng)這么大量的事件,每天去看有多少人在掃描口令,有多少人入侵,但這些都會消耗大量的人力,如果你不管的話,會造成影響足夠影響級別的重要事件,應(yīng)該會更大。這種就通過云平臺層面,第一層的風險消除機制消除掉,就是整個運營平臺的批量機制,這也是免費給所有用戶提供的。
第二、通過自動化引擎、數(shù)據(jù)的分析和情報的驅(qū)動定向消除某一個大類的快速閉環(huán),通過自動化消減大量的人力需求,比如系統(tǒng)加固,風險的評估,常規(guī)安全事件的分析和處置,都通過自動化消減。
第三、把核心的人力集中做安全人員應(yīng)該做的事情上,比如架構(gòu)怎么設(shè)計更合理、代碼怎么開發(fā)、企業(yè)應(yīng)該怎么構(gòu)建流程、怎么應(yīng)對高等級的合規(guī)需求,這才是真正的安全人才發(fā)揮價值的地方。
今天在這三個層面上,我們的能力積累基本成熟,去年開始,我們逐漸把一系列的云平臺內(nèi)生能力以及自動化工具和流程、專家服務(wù)整合起來,推出了云原生的安全托管服務(wù)(MSS),讓我們的云上用戶在業(yè)務(wù)發(fā)展過程中不需要考慮太復(fù)雜的安全技術(shù)問題,不需要太多的人員投入,以相對可控的成本獲得安全價值最大化,這是我們做的云原生安全托管服務(wù)的初衷以及現(xiàn)在正在做的事情。目前,在很多企業(yè)的重保場合和日常安全值守過程中,MSS都發(fā)揮了很大的價值。
對比傳統(tǒng)的服務(wù)模式,安全托管服務(wù)對于需要多少成本、多少人力、多少時間資源是可以看到的,我們最終希望實現(xiàn)安全廠商和客戶雙方的資源和成本優(yōu)化,給企業(yè)的安全建設(shè)“減負”,讓企業(yè)把重心和思考放在業(yè)務(wù)上。
