上云初期,大部分應(yīng)用程序是從本地環(huán)境直接移植到云上的,這些應(yīng)用程序在設(shè)計開發(fā)時并沒有考慮云環(huán)境的特殊問題,很容易出現(xiàn)“水土不服”的情況。
為了讓應(yīng)用程序更好地適應(yīng)云環(huán)境,以云作為最終部署環(huán)境,按照云環(huán)境的要求所開發(fā)的應(yīng)用程序——云原生應(yīng)用被相繼開發(fā)出來,為加速企業(yè)數(shù)字化轉(zhuǎn)型進程提供重要助力。除了應(yīng)用程序適配性的問題外,云原生應(yīng)用的普及在為企業(yè)帶來高效、便捷的使用體驗的同時,也帶來了傳統(tǒng)安全手段無法應(yīng)對的新型攻擊路徑和安全問題。
如何將安全防護能力與云原生的概念相結(jié)合,從而構(gòu)建出以部署在云環(huán)境為基礎(chǔ)、能夠更加貼合云環(huán)境下安全態(tài)勢的云原生安全體系,成為了廣大企業(yè)眼下亟需解決的問題。
記者注意到,近期騰訊安全和CSDN發(fā)起的《產(chǎn)業(yè)安全公開課 · 云原生安全專場》一系列直播課程中,七位安全專家在構(gòu)建云原生安全體系時的實踐經(jīng)驗和心得,嘗試將時下企業(yè)上云所面臨的安全痛點與自身的安全防護服務(wù)相結(jié)合,輸出騰訊安全對于云原生安全的獨特觀點和解決方案。
云上企業(yè)最關(guān)心數(shù)據(jù)安全
數(shù)據(jù)作為新基建時代中重要的生產(chǎn)資料,能夠為企業(yè)在數(shù)字化時代下快速發(fā)展提供重要支撐,但也因此成為了不法分子覬覦的對象,外部攻擊、內(nèi)部泄露均威脅著數(shù)據(jù)的安全。同時,隨著云上環(huán)境中數(shù)據(jù)使用場景持續(xù)擴大,也進一步提升了維護數(shù)據(jù)安全的難度,如何根據(jù)云原生應(yīng)用的特點引入相應(yīng)的安全策略,從而更加高效地為數(shù)據(jù)提供在產(chǎn)生、流動、存儲、使用及銷毀過程中的全程安全防護,成為了企業(yè)關(guān)注的重點。
對此,騰訊安全數(shù)據(jù)安全專家周京川從等保合規(guī)的角度,講述了建設(shè)云原生數(shù)據(jù)安全體系的必要性。“從法規(guī)和監(jiān)管層面來看,我國正在通過發(fā)布相關(guān)法規(guī)和條例加強對于數(shù)據(jù)安全的監(jiān)管力度,迫使企業(yè)數(shù)據(jù)的安全防護和健康穩(wěn)定放在發(fā)展規(guī)劃的首位。”周京川表示,在企業(yè)上云的大潮下,企業(yè)就應(yīng)該從云環(huán)境出發(fā),在滿足企業(yè)數(shù)據(jù)安全防護需求的同時,制定云原生數(shù)據(jù)安全體系的架構(gòu)和策略。
“我們需要根據(jù)云原生應(yīng)用的特點引進數(shù)據(jù)安全的策略。”騰訊安全云鼎實驗室專家姬生利表示,早期大部分服務(wù)商所采用的數(shù)據(jù)安全保護策略是照搬物理機部署的應(yīng)用模式,各個流程中對數(shù)據(jù)的安全防護措施相對分離,無法適用于云上數(shù)據(jù)高速流動的使用場景。
姬生利認(rèn)為,從傳統(tǒng)應(yīng)用到業(yè)務(wù)上云再到云原生應(yīng)用,數(shù)據(jù)的使用場景也在不斷變化。要構(gòu)建云原生數(shù)據(jù)安全防護體系,企業(yè)需要隨著架構(gòu)的演進提出新的數(shù)據(jù)安全保護策略。而云原生數(shù)據(jù)安全防護策略主要可以從3個方面入手。
首先需要進行數(shù)據(jù)的分類治理,針對敏感數(shù)據(jù)和重要數(shù)據(jù)制定相應(yīng)的保護策略;其次,在數(shù)據(jù)傳輸存儲的整個過程中,應(yīng)使用加密技術(shù)對上述數(shù)據(jù)進行加密和脫敏保護,通過密碼技術(shù)保障數(shù)據(jù)的完整性和機密性。最后,針對外部攻擊和內(nèi)部員工誤操作導(dǎo)致數(shù)據(jù)泄露的問題,通過身份認(rèn)證、角色管理等手段對數(shù)據(jù)獲取權(quán)限進行統(tǒng)一管理,完善企業(yè)對數(shù)據(jù)訪問的控制能力,最終形成云原生數(shù)據(jù)全生命周期的安全防護。
傳統(tǒng)安全威脅云上再升級
對于企業(yè)來說,Web攻擊和DDoS攻擊都已是耳熟能詳?shù)陌踩{了,并且大部分企業(yè)已經(jīng)具備了周全的防護能力。但隨著云計算的不斷發(fā)展和普及,這兩種傳統(tǒng)威脅在云環(huán)境中不斷升級進化,再次成為了讓云上企業(yè)頭疼安全問題。 此外,企業(yè)遷徙上云后,也為主機安全和防火墻等傳統(tǒng)安全防護功能帶來更加多元化的安全挑戰(zhàn)。
隨著技術(shù)的升級,DDoS已經(jīng)能通過電腦、移動設(shè)備、IoT設(shè)備對云上企業(yè)發(fā)起攻擊,而攻擊流量也會隨著攻擊面的擴展而逐漸增大,目前TB級攻擊的時代已經(jīng)來臨。“傳統(tǒng)的IP限速和拉黑名單的方式已經(jīng)無法適應(yīng)現(xiàn)在的攻擊手段了。”騰訊安全網(wǎng)絡(luò)安全專家王超力表示,騰訊安全將豐富的抗D經(jīng)驗和云環(huán)境特點相結(jié)合,不僅打造出了云原生防御算法和防護策略,還引入了AI智能引擎和流量行為建模等新興技術(shù)助力抗D。
而在企業(yè)上云的過程中,傳統(tǒng)IDC環(huán)境中部署的硬件防火墻已經(jīng)無法適應(yīng)云端的架構(gòu);但隨著攻擊技術(shù)、漏洞披露等日趨成熟,針對Web漏洞的攻擊愈演愈烈,企業(yè)急需構(gòu)建在云環(huán)境下運行無礙的云原生Web防護體系。“企業(yè)上云后,首先要考慮的就是如何將Web防護功能接入到云原生的環(huán)境之中。”據(jù)騰訊安全WAF負(fù)責(zé)人劉吉赟介紹,在以云原生概念為基礎(chǔ)對產(chǎn)品架構(gòu)進行重新設(shè)計后,云WAF會以旁路引擎作為核心功能,并在接入云環(huán)境之后將產(chǎn)品所具備的Web防護功能與云上基本安全能力相結(jié)合,最終打造出云原生的Web防護體系。
騰訊安全主機安全產(chǎn)品負(fù)責(zé)人謝奕智表示,在云環(huán)境中主機防護的策略需要根據(jù)防護規(guī)模的擴大而進行變更,還要考慮鏡像污染、容器逃逸等云原生安全問題。“要解決云原生安全問題,就要貼合云原生支撐的技術(shù)和服務(wù)去做,從云的角度去思考和部署。”謝奕智認(rèn)為,合格的云原生主機安防體系,不僅需要根據(jù)企業(yè)云上業(yè)務(wù)的規(guī)模對安全防護策略進行靈活調(diào)整,還應(yīng)具備檢測能力、響應(yīng)能力、架構(gòu)適配能力、滿足合規(guī)要求的能力。
“在企業(yè)遷徙上云后,基于云原生的防護墻技術(shù)將取代傳統(tǒng)防火墻,成為守護企業(yè)云端安全的關(guān)鍵基礎(chǔ)設(shè)施。“在講到云防火墻的功能時,騰訊安全云防火墻產(chǎn)品負(fù)責(zé)人周荃表示,盡管在云原生安全的背景下,計算、存儲以及容器serverless等新型的網(wǎng)絡(luò)基礎(chǔ)設(shè)施都具備原生的安全能力,但仍缺少針對網(wǎng)絡(luò)安全和流量的安全檢測能力。云防火墻能夠為用戶提供入侵防護、威脅實時檢測、威脅橫向移動防護等基于云環(huán)境開發(fā)的,云原生安全防護功能。
云環(huán)境下效率與安全問題并存
企業(yè)上云后,在享受DevOps模式、容器、云函數(shù)等云原生服務(wù)所帶來高效、便利體驗的同時,也需要面對云上新生的安全問題。以DevOps模式為例,借助云原生API驅(qū)動的DevOps得到了大規(guī)模的應(yīng)用,企業(yè)可以通過DevOps實現(xiàn)產(chǎn)品的敏捷開發(fā)以增加整體效率。
但在DevOps模式下產(chǎn)生的新生安全威脅,如異常API調(diào)用、SecretKey泄漏則要求企業(yè)具備針對性的檢測手段才能夠發(fā)現(xiàn)。在此背景下,企業(yè)的運維團隊不僅要對云上新型安全威脅和傳統(tǒng)互聯(lián)網(wǎng)攻擊進行檢測和及時響應(yīng),還需要通考慮如何對各個安全產(chǎn)品進行統(tǒng)一管理,從而搭建出真正行之有效的云原生安全體系。
為了解決云上新生安全問題并打通云上各類安全產(chǎn)品間的相關(guān)數(shù)據(jù),騰訊安全高級工程師耿琛在公開課上分享了騰訊安全云原生安全運營體系的構(gòu)建理念。“針對公有云環(huán)境中的安全問題,要以云原生的思路構(gòu)建云的安全體系,而不是將傳統(tǒng)的安全體系搬到云上。”他表示,以云原生為中心,以安全左移、數(shù)據(jù)驅(qū)動及自動化為基本支撐,就是構(gòu)建云原生安全運營體系的“一個中心和三個基本點”。
其中,安全左移指的是云原生安全運營體系首先應(yīng)該具備事前感知安全威脅和配置風(fēng)險檢查能力,既以構(gòu)建安全預(yù)防體系的方式提升整體安全水平;而數(shù)據(jù)驅(qū)動則是云原生安全運營的基本要求,通過建立云上安全數(shù)據(jù)湖對各安全產(chǎn)品上的數(shù)據(jù)進行收集和統(tǒng)一管理,在為整個安全運營體系提供支撐的同時,也打破了各個安全產(chǎn)品間相互孤立的局面,為安全產(chǎn)品相互協(xié)同、形成完整安全閉環(huán)打下了基礎(chǔ);最后,通過云上資產(chǎn)自動化盤點及云上威脅自動化響應(yīng)處置等自動化技術(shù),幫助企業(yè)安全運維團隊實現(xiàn)對云上新型安全問題的自動應(yīng)對。
云計算技術(shù)作為數(shù)字化經(jīng)濟時代的基礎(chǔ)設(shè)施,正逐漸成為支撐各企業(yè)正常運轉(zhuǎn)、開拓業(yè)務(wù)的重要支柱,云原生應(yīng)用的出現(xiàn)將進一步加速云計算技術(shù)的發(fā)展和普及。正因如此,企業(yè)在考慮如何使用更加高效地通過云原生帶來發(fā)展機會時,也要開始重視如何通過云原生來加強安全防護能力的問題。
