12月19日,2020 Techo Park開發者大會在北京舉辦,騰訊雲首席安全官董志強出席並發表了以《用雲原生安全鑄造產業網際網路時代的堅實底座》為主題的演講。他表示,雲計算已成為產業網際網路和未來數位化變革的主要載體,而雲上的安全服務也應該像雲一樣,讓客戶能夠開箱即用、按需索取、按量付費。
雲時代的網絡安全將面臨四大挑戰:第一,算力提升和數據量的變化,會導致原有的風險模型和安全機制面臨新的挑戰;第二,原來以硬體為核心的防禦架構,無法應對基於雲計算出現的新風險;第三,雲計算環境下,攻防對抗變成了動態且持續變化;第四,由於雲的導入,企業管理經營上面也會引發安全技術和安全機制的一定變化。未來的安全建設要契合雲計算的特點,將安全前置,而雲原生安全是應對未來安全問題的高效手段。
騰訊安全基於多年來的研究與實踐經驗,分別從雲原生安全治理、雲原生數據安全、雲原生應用安全、雲原生計算安全、以及雲原生網絡安全等層面,全面構建了騰訊雲原生安全防護體系。
未來,騰訊安全將進一步通過雲原生的方式持續開放騰訊級的安全能力,為產業網際網路打造一個堅實的安全底座,讓更多的用戶享受到產業網際網路時代數位化升級帶來的便利,讓安全不再成為數位化經濟發展的掣肘。
以下是董志強演講全文:
大家好,很高興今天能在Techo Park的現場和各位開發者交流關於雲安全相關的技術趨勢和現狀。我想和大家聊一聊騰訊安全關於雲原生安全的一些理解和實踐。
目前基於雲計算的各種工具、解決方案非常多,迭代速度也相當快。雲和各行各業的連接越來越緊密,成為產業網際網路和未來數位化變革的主要載體。這個行業也已經成長為幾千億美元的規模。這肯定是一個共識,即便是傳統企業,對雲的接受度也非常的高。那麼雲計算的高速發展,對於IT建設和安全防護帶來了哪些影響呢?
各位都是IT領域、安全行業的從業者,大家都知道,過去進行IT建設周期很長,從選型、測試、採購、上線、交付一系列流程,傳統企業裡面如果要新購一個伺服器一般要一個半月到三個月,再加上裝作業系統,要測試上線、做系統配置,要做聯調等等,周期非常長。而現在,騰訊雲裡面購買新的虛擬主機,五分鐘之內系統就能上線。而使用近兩年大熱的雲原生容器技術,幾秒鐘就能創建上線。Serverless無伺服器化運行,把這個時間縮短到了以百毫秒為單位。這樣的變化對整個安全又帶來什麼影響?
根據騰訊雲和騰訊安全多年的研究與實踐經驗,我們認為第一個挑戰是算力提升和數據量的變化,會導致原有的風險模型和安全機制面臨新的挑戰。這個其實很好理解,大家不妨回憶一下,同樣是破解MD5加密算法,20年前一臺一萬美元左右的伺服器,每分鐘能破解2000多次,但現在一塊雲上通常使用的GPU晶片,成本也是一萬美元左右,卻能做到每分鐘55億次。也就是說同樣成本下,我們的算力提升了2300萬倍,很多原來安全的算法在今天已經不再安全。與此同時,存儲成本也在飛速下降,存儲的數據量卻爆炸式的增長,同樣也會對我們原來機制的有效性帶來挑戰。
第二個挑戰是原來以硬體為核心的防禦架構,沒法應對基於雲計算出現的新風險。在雲上的整個架構變化會非常複雜,比如今天在騰訊雲上面運行了超過100萬臺的物理伺服器,上千萬以上的虛擬機,這組成了一個非常複雜的系統。導致今天在雲上的攻擊面、風險面比以前任何時候更複雜。原來傳統的IT架構,它的物理架構和邏輯架構是統一的,我們只用考慮在哪裡放個防火牆,在哪插個盒子,但是這種做法在雲上面正在失效。
第三是攻防對抗變成了動態且持續變化的。剛剛其實我就提到過,現在整個IT系統的生命周期發生了很大的變化。相應的,我們進行運維防護的節奏也要進行調整。傳統的以年為周期進行安全規劃,以季度為單位進行漏洞掃描的節奏已經不適用了。因為在雲計算環境下,攻擊的發生被縮短到秒級,我們處於持續的風險對抗環境中。
第四企業管理經營上面,由於雲的導入,在資產的所有權、數據的購置權和企業經營的成本模型上發生非常大的變化,也會導致雲上很多的安全技術、安全機制有一定的變化。
聊完雲時代的變化帶來的安全挑戰,我們會發現原來打補丁式的安全思路現在已經不適用了。未來的安全建設要契合雲計算的特點,應該是具有彈性的,隨時能夠跟著伺服器體量的變化擴容或者收縮;並且要能完成自我循環,做到自適應、可迭代,在雲上就能完成升級,而不需要花費大量時間、人力和資金成本去更新硬體設備。同時,雲上的安全服務也應該像雲計算一樣,讓客戶能夠開箱即用、按需索取、按量付費。
這就是雲原生安全的價值所在,將安全前置,原生在雲上是應對未來安全問題的高效手段。
針對過去的數據,未來的趨勢,技術發展方向和產業方向進行分析後,我們騰訊安全的雲原生安全建設主要圍繞以下幾個方面展開。
首先是雲原生安全治理,包括對身份治理、風險治理、數據治理幾個方面的研究。整個安全治理體系,分為了風險識別、風險監測與防護、響應及恢復、持續運營幾個重要的部分。
然後是雲原生數據安全,未來數據量越來越大,如果按傳統的方式去構建數據安全,它的鏈條非常長,從前端的數據發現到數據的加密,還涉及到一系列軟體、硬體、網絡的加密,到數據的審計以及數據的洩漏監控,整個鏈條裡面可能涉及到二三十種產品。如果在雲上讓一個用戶部署這麼多產品,去管理非常複雜。我們通過打造端到端的雲原生數據安全中臺,逐步把所有數據安全的設施、技術、產品全部納入到雲本身裡面去。從數據的發現和治理、數據的加密和保護,數據的脫敏、數據的審計等等基本的全生命周期的數據安全服務都是以雲原生方式給客戶提供。
接下來是雲原生應用安全,這一層主要包括對安全開發、安全測試和應用安全防護的研究。在開發方面,我們一直致力於推行DevSecOps,將安全貫穿開發生命周期。由於容器的發展,對於API的調度成為了雲原生時代最核心的特徵之一,所以對API的安全防護也是我們研究的重點。
在雲原生計算安全層面,容器的安全是我們最為關注的要點之一,通過硬體虛擬化隔離、容器隔離、加密容器運行環境等辦法,對容器進行安全管理,保障容器在運行時的安全。
最後是雲原生網絡安全層面,這裡我們不僅給雲上的客戶提供SAAS化的雲網絡安全產品,並且通過雲網絡邊界的治理和融合雲原生防火牆等方式來保障雲的網絡安全。
目前騰訊安全的雲原生安全研究和建設就是圍繞以上幾個層面展開,並且我們已經取得了一些實踐成果。首先給大家展示一下我們的雲原生安全防護體系。
疫情期間,大量的企業被迫加速數位化升級,全國的用雲量大規模增長,即使對於騰訊這樣生長在網際網路上的企業,也是一次全新的挑戰。
為了儘快復產復工、恢復經濟活力,居家網上辦公、線上展會、直播帶貨等依託網際網路的數字經濟形勢湧現。
作為一款主打線上視頻會議功能的產品,騰訊會議在此期間用戶規模高速增長。產品迅速擴容的同時,也對安全防護提出了更高的要求。如何保障網絡服務的穩定、如何確保用戶會議內容的數據安全等等,都需要快速跟進。
如果用傳統的打補丁的安全思路,我們很難跟上產品用戶規模增長的速度,但是在騰訊會議的產品設計階段我們的安全團隊就參與其中,真正將安全體系內置在裡面,讓安全能力能夠跟著產品一起升級,成功的保障了騰訊會議在疫情期間的大規模應用。這就是一種典型的雲原生安全思路的體現。
我們不僅用雲原生的安全體系來防護我們自己的產品,我們也把這樣的能力通過騰訊雲開放給客戶,來保障客戶的安全。
首先是在雲原生安全治理方面,我們進行了從風險識別、到風險監測與防護、再到響應與恢復,以及持續運營一系列的治理體系,將騰訊安全的各種安全能力融入其中,從全局上提供防護。為了幫助騰訊雲上的用戶快速解決雲伺服器合規的問題,我們今年還推出了一套雲原生的合規鏡像,並且將它免費提供給騰訊雲上的用戶使用,用戶只需要在官網上進行簡單的操作,就能避免複雜繁瑣的配置過程,獲得一套符合等保要求的雲主機;
其次是在數據安全層面,我們打造了端到端的雲原生數據安全中臺,從最底層符合國家標準的硬體加密機,到中間透明加密的中間件,到API,到雲產品層的數據透明加密,都已經具備。
在密碼技術層面,依託雲計算交付密碼技術在我國仍是新興的密碼服務模式,將密碼技術嵌入雲計算系統中仍面臨諸多的挑戰,包括雲系統適配問題、硬體密碼模塊部署問題等等,近期我們正在聚焦雲安全訪問代理CASB的研究,CASB組件將敏感數據在應用服務內加密,除實現將數據加密後存入資料庫,還能實現數據從應用服務到資料庫之間以密文形式傳輸。
在業內都很關注的容器安全的前沿領域,騰訊雲成為首批通過信通院大規模容器集群性能測試評估的雲服務商,獲得最高級別「卓越級」認證。並且騰訊雲容器服務憑藉優秀的整體防護能力同時收穫「容器平臺安全能力」的最高級別——先進級認證。
而騰訊雲主機安全服務今年入選了Gartner CWPP全球市場指南,我們正在將雲主機安全、雲防火牆,結合雲SOC一起打造一個更加完善的雲原生安全防護體系,更好的保障雲上用戶的安全。
以上只是簡單列舉了一些我們已經對外開放的安全能力,未來我們將進一步通過雲原生的方式將騰訊級的安全能力對外開放,為產業網際網路打造一個堅實的安全底座,讓更多的用戶享受到產業網際網路時代數位化升級帶來的便利,讓安全不再成為數位化經濟發展的掣肘。
謝謝大家!