12月19日,2020 Techo Park開發者大會在北京舉辦,騰訊云首席安全官董志強出席并發表了以《用云原生安全鑄造產業互聯網時代的堅實底座》為主題的演講。他表示,云計算已成為產業互聯網和未來數字化變革的主要載體,而云上的安全服務也應該像云一樣,讓客戶能夠開箱即用、按需索取、按量付費。
云時代的網絡安全將面臨四大挑戰:第一,算力提升和數據量的變化,會導致原有的風險模型和安全機制面臨新的挑戰;第二,原來以硬件為核心的防御架構,無法應對基于云計算出現的新風險;第三,云計算環境下,攻防對抗變成了動態且持續變化;第四,由于云的導入,企業管理經營上面也會引發安全技術和安全機制的一定變化。未來的安全建設要契合云計算的特點,將安全前置,而云原生安全是應對未來安全問題的高效手段。
騰訊安全基于多年來的研究與實踐經驗,分別從云原生安全治理、云原生數據安全、云原生應用安全、云原生計算安全、以及云原生網絡安全等層面,全面構建了騰訊云原生安全防護體系。
未來,騰訊安全將進一步通過云原生的方式持續開放騰訊級的安全能力,為產業互聯網打造一個堅實的安全底座,讓更多的用戶享受到產業互聯網時代數字化升級帶來的便利,讓安全不再成為數字化經濟發展的掣肘。
以下是董志強演講全文:
大家好,很高興今天能在Techo Park的現場和各位開發者交流關于云安全相關的技術趨勢和現狀。我想和大家聊一聊騰訊安全關于云原生安全的一些理解和實踐。
目前基于云計算的各種工具、解決方案非常多,迭代速度也相當快。云和各行各業的連接越來越緊密,成為產業互聯網和未來數字化變革的主要載體。這個行業也已經成長為幾千億美元的規模。這肯定是一個共識,即便是傳統企業,對云的接受度也非常的高。那么云計算的高速發展,對于IT建設和安全防護帶來了哪些影響呢?
各位都是IT領域、安全行業的從業者,大家都知道,過去進行IT建設周期很長,從選型、測試、采購、上線、交付一系列流程,傳統企業里面如果要新購一個服務器一般要一個半月到三個月,再加上裝操作系統,要測試上線、做系統配置,要做聯調等等,周期非常長。而現在,騰訊云里面購買新的虛擬主機,五分鐘之內系統就能上線。而使用近兩年大熱的云原生容器技術,幾秒鐘就能創建上線。Serverless無服務器化運行,把這個時間縮短到了以百毫秒為單位。這樣的變化對整個安全又帶來什么影響?
根據騰訊云和騰訊安全多年的研究與實踐經驗,我們認為第一個挑戰是算力提升和數據量的變化,會導致原有的風險模型和安全機制面臨新的挑戰。這個其實很好理解,大家不妨回憶一下,同樣是破解MD5加密算法,20年前一臺一萬美元左右的服務器,每分鐘能破解2000多次,但現在一塊云上通常使用的GPU芯片,成本也是一萬美元左右,卻能做到每分鐘55億次。也就是說同樣成本下,我們的算力提升了2300萬倍,很多原來安全的算法在今天已經不再安全。與此同時,存儲成本也在飛速下降,存儲的數據量卻爆炸式的增長,同樣也會對我們原來機制的有效性帶來挑戰。
第二個挑戰是原來以硬件為核心的防御架構,沒法應對基于云計算出現的新風險。在云上的整個架構變化會非常復雜,比如今天在騰訊云上面運行了超過100萬臺的物理服務器,上千萬以上的虛擬機,這組成了一個非常復雜的系統。導致今天在云上的攻擊面、風險面比以前任何時候更復雜。原來傳統的IT架構,它的物理架構和邏輯架構是統一的,我們只用考慮在哪里放個防火墻,在哪插個盒子,但是這種做法在云上面正在失效。
第三是攻防對抗變成了動態且持續變化的。剛剛其實我就提到過,現在整個IT系統的生命周期發生了很大的變化。相應的,我們進行運維防護的節奏也要進行調整。傳統的以年為周期進行安全規劃,以季度為單位進行漏洞掃描的節奏已經不適用了。因為在云計算環境下,攻擊的發生被縮短到秒級,我們處于持續的風險對抗環境中。
第四企業管理經營上面,由于云的導入,在資產的所有權、數據的購置權和企業經營的成本模型上發生非常大的變化,也會導致云上很多的安全技術、安全機制有一定的變化。
聊完云時代的變化帶來的安全挑戰,我們會發現原來打補丁式的安全思路現在已經不適用了。未來的安全建設要契合云計算的特點,應該是具有彈性的,隨時能夠跟著服務器體量的變化擴容或者收縮;并且要能完成自我循環,做到自適應、可迭代,在云上就能完成升級,而不需要花費大量時間、人力和資金成本去更新硬件設備。同時,云上的安全服務也應該像云計算一樣,讓客戶能夠開箱即用、按需索取、按量付費。
這就是云原生安全的價值所在,將安全前置,原生在云上是應對未來安全問題的高效手段。
針對過去的數據,未來的趨勢,技術發展方向和產業方向進行分析后,我們騰訊安全的云原生安全建設主要圍繞以下幾個方面展開。
首先是云原生安全治理,包括對身份治理、風險治理、數據治理幾個方面的研究。整個安全治理體系,分為了風險識別、風險監測與防護、響應及恢復、持續運營幾個重要的部分。
然后是云原生數據安全,未來數據量越來越大,如果按傳統的方式去構建數據安全,它的鏈條非常長,從前端的數據發現到數據的加密,還涉及到一系列軟件、硬件、網絡的加密,到數據的審計以及數據的泄漏監控,整個鏈條里面可能涉及到二三十種產品。如果在云上讓一個用戶部署這么多產品,去管理非常復雜。我們通過打造端到端的云原生數據安全中臺,逐步把所有數據安全的設施、技術、產品全部納入到云本身里面去。從數據的發現和治理、數據的加密和保護,數據的脫敏、數據的審計等等基本的全生命周期的數據安全服務都是以云原生方式給客戶提供。
接下來是云原生應用安全,這一層主要包括對安全開發、安全測試和應用安全防護的研究。在開發方面,我們一直致力于推行DevSecOps,將安全貫穿開發生命周期。由于容器的發展,對于API的調度成為了云原生時代最核心的特征之一,所以對API的安全防護也是我們研究的重點。
在云原生計算安全層面,容器的安全是我們最為關注的要點之一,通過硬件虛擬化隔離、容器隔離、加密容器運行環境等辦法,對容器進行安全管理,保障容器在運行時的安全。
最后是云原生網絡安全層面,這里我們不僅給云上的客戶提供SAAS化的云網絡安全產品,并且通過云網絡邊界的治理和融合云原生防火墻等方式來保障云的網絡安全。
目前騰訊安全的云原生安全研究和建設就是圍繞以上幾個層面展開,并且我們已經取得了一些實踐成果。首先給大家展示一下我們的云原生安全防護體系。
疫情期間,大量的企業被迫加速數字化升級,全國的用云量大規模增長,即使對于騰訊這樣生長在互聯網上的企業,也是一次全新的挑戰。
為了盡快復產復工、恢復經濟活力,居家網上辦公、線上展會、直播帶貨等依托互聯網的數字經濟形勢涌現。
作為一款主打線上視頻會議功能的產品,騰訊會議在此期間用戶規模高速增長。產品迅速擴容的同時,也對安全防護提出了更高的要求。如何保障網絡服務的穩定、如何確保用戶會議內容的數據安全等等,都需要快速跟進。
如果用傳統的打補丁的安全思路,我們很難跟上產品用戶規模增長的速度,但是在騰訊會議的產品設計階段我們的安全團隊就參與其中,真正將安全體系內置在里面,讓安全能力能夠跟著產品一起升級,成功的保障了騰訊會議在疫情期間的大規模應用。這就是一種典型的云原生安全思路的體現。
我們不僅用云原生的安全體系來防護我們自己的產品,我們也把這樣的能力通過騰訊云開放給客戶,來保障客戶的安全。
首先是在云原生安全治理方面,我們進行了從風險識別、到風險監測與防護、再到響應與恢復,以及持續運營一系列的治理體系,將騰訊安全的各種安全能力融入其中,從全局上提供防護。為了幫助騰訊云上的用戶快速解決云服務器合規的問題,我們今年還推出了一套云原生的合規鏡像,并且將它免費提供給騰訊云上的用戶使用,用戶只需要在官網上進行簡單的操作,就能避免復雜繁瑣的配置過程,獲得一套符合等保要求的云主機;
其次是在數據安全層面,我們打造了端到端的云原生數據安全中臺,從最底層符合國家標準的硬件加密機,到中間透明加密的中間件,到API,到云產品層的數據透明加密,都已經具備。
在密碼技術層面,依托云計算交付密碼技術在我國仍是新興的密碼服務模式,將密碼技術嵌入云計算系統中仍面臨諸多的挑戰,包括云系統適配問題、硬件密碼模塊部署問題等等,近期我們正在聚焦云安全訪問代理CASB的研究,CASB組件將敏感數據在應用服務內加密,除實現將數據加密后存入數據庫,還能實現數據從應用服務到數據庫之間以密文形式傳輸。
在業內都很關注的容器安全的前沿領域,騰訊云成為首批通過信通院大規模容器集群性能測試評估的云服務商,獲得最高級別“卓越級”認證。并且騰訊云容器服務憑借優秀的整體防護能力同時收獲“容器平臺安全能力”的最高級別——先進級認證。
而騰訊云主機安全服務今年入選了Gartner CWPP全球市場指南,我們正在將云主機安全、云防火墻,結合云SOC一起打造一個更加完善的云原生安全防護體系,更好的保障云上用戶的安全。
以上只是簡單列舉了一些我們已經對外開放的安全能力,未來我們將進一步通過云原生的方式將騰訊級的安全能力對外開放,為產業互聯網打造一個堅實的安全底座,讓更多的用戶享受到產業互聯網時代數字化升級帶來的便利,讓安全不再成為數字化經濟發展的掣肘。
謝謝大家!
