產業網際網路時代,如何構建雲原生的安全運營中心?

騰訊安全發表於2019-12-17

隨著產業網際網路的快速發展,企業級客戶數字化業務的構建方式也在發生著快速的變化。越來越多的客戶選擇公有云作為承載業務的基礎設施,基於雲原生的方式搭建業務系統已經成為越來越多客戶數字化轉型中的必然選擇。

網路安全技術的發展史也可以說是資訊系統架構的升級史,資訊系統架構的升級變化往往會對網路安全體系帶來新的挑戰,也繼而推動了網路安全技術的升級與發展。隨著公有云越來越多的被使用和雲原生業務搭建方式的快速發展,企業級客戶網路安全體系建設所面臨的問題與挑戰也在發生著快速的變化。✍ 公有云是如何改變數字化業務構建方式的?
公有云不僅幫助企業級客戶擺脫了傳統物理資料中心繁瑣的建設過程,大大提升了IT基礎設施環境的搭建效率,降低了總體擁有成本。同時,公有云提供的技術和服務也讓企業級客戶數字化業務的構建方式發生了快速的變化,具體表現在以下三個方面:

彈性的基礎設施支撐了更加敏捷的業務。IT基礎設施變得靈活和隨需取用,IT基礎設施運維體系中的“資產”無時無刻不在發生著變化。

雲原生正在逐步變成雲上數字化業務構建的基本思路。容器及雲函式等新的基礎設施形態得到越來越多的應用,基礎設施全面服務化、可編排、“用完即走”。

藉助雲原生,不同基礎設施間的協同呼叫機制正在發生巨大的改變。API驅動的DevOps將快速得到大規模的應用。

✍ 這些變化對安全體系的建設帶來了哪些新的挑戰?

傳統安全體系中“資產”的定義發生了變化,雲上影子IT風險大大增加。資產的型別範圍及資產風險管理體系都需要升級。

雲原生基礎設施的配置風險變得至關重要。雲服務商為客戶提供的各類雲原生基礎設施均提供了相應的安全配置項,但由於客戶的配置不當或配置缺失,往往會對雲上業務造成嚴重的安全風險。

傳統安全體系中“威脅”的概念需要升級。公有云採用“責任共擔模型”進行安全體系的構建,傳統安全體系中所面臨的安全威脅中的一部分,雲服務商將幫助客戶進行防護。但同時,雲上客戶也將需要應對雲上特有的新型威脅,例如異常的雲使用者操作及異常的雲API呼叫等。

✍ 傳統的安全運營體系在這些新的挑戰下存在哪些問題?
由於上述數字化業務構建方式的變化和與之而來的安全新挑戰,我們可以看到將傳統的安全理念、管理思路及產品技術“照搬”到雲上並不能真正建立有效的雲上安全運營體系,並且會存在大量的安全風險,例如:

無法實現對各型別雲資產的動態盤點;

無法對雲原生基礎設施的配置風險進行檢測;

無法對合規風險持續的自動化評估;

缺乏對雲上特有的新型威脅的檢測;

缺乏雲上自動化響應處置機制與能力;

缺乏全面的雲上調查溯源能力。

 雲時代安全運營體系建設的一箇中心和三個基本點
面對雲上安全的新挑戰,我們認為雲上安全體系建設的安全理念、產品技術及管理思路都需要升級,需要構建雲原生的安全運營體系。那麼如何構建雲時代的安全運營體系,我們認為應當首先做到“一箇中心、三個基本點”,如下圖:

產業網際網路時代,如何構建雲原生的安全運營中心?

構建雲時代的安全運營體系應當“以雲原生為中心思想,以安全左移為基本前提,以資料驅動為基本要求、以自動化為基本手段”。

✍ 雲原生的安全運營體系如何構建?

結合騰訊自身安全運營經驗及廣泛的雲上客戶調研,騰訊安全總結出以下雲原生安全的IPMDR體系,幫助公有云客戶全面建設雲上安全運營體系,提升雲上安全水平。

產業網際網路時代,如何構建雲原生的安全運營中心?

首先需要構建事前安全預防體系,即在安全事件發生之前提升整體安全水位,防患於未然。例如對雲上各類資產進行自動動態盤點,並對各類雲產品配置風險、漏洞及網際網路攻擊面等進行定期識別與加固。

其次需要構建事中的統一監測和威脅檢測體系,將雲上安全產品的安全事件統一收集實現安全統一監測和全域性管理。同時,針對雲上特有的新型威脅需要搭建檢測機制與手段,例如使用者風險操作、異常API呼叫及SecretKey洩漏監測等。

同時也需要構建完善的事後響應處置體系,在發生安全事件後能夠及時響應阻斷與配置加固,並積極採用自動化的手段提升事件處置效率。同時,也需要構建雲上安全事件的統一調查溯源平臺,將安全各類相關的資料統一採集匯聚,在發生安全事件後做到可溯源。

最後,在事前、事中及事後全程需建立全程的安全可視體系,例如儀表盤監控、大屏監控、安全報表等,以降低安全運營管理難度,提升安全運營效率,讓雲上安全態勢可視可感知。

相關文章