騰訊安全董志強：用雲原生安全鑄造產業網際網路時代的堅實底座

12月19日，2020 Techo Park開發者大會在北京舉辦，騰訊雲首席安全官董志強出席並發表了以《用雲原生安全鑄造產業網際網路時代的堅實底座》為主題的演講。他表示，雲端計算已成為產業網際網路和未來數字化變革的主要載體，而云上的安全服務也應該像雲一樣，讓客戶能夠開箱即用、按需索取、按量付費。

雲時代的網路安全將面臨四大挑戰：第一，算力提升和資料量的變化，會導致原有的風險模型和安全機制面臨新的挑戰；第二，原來以硬體為核心的防禦架構，無法應對基於雲端計算出現的新風險；第三，雲端計算環境下，攻防對抗變成了動態且持續變化；第四，由於雲的匯入，企業管理經營上面也會引發安全技術和安全機制的一定變化。未來的安全建設要契合雲端計算的特點，將安全前置，而云原生安全是應對未來安全問題的高效手段。 

騰訊安全基於多年來的研究與實踐經驗，分別從雲原生安全治理、雲原生資料安全、雲原生應用安全、雲原生計算安全、以及雲原生網路安全等層面，全面構建了騰訊雲原生安全防護體系。

未來，騰訊安全將進一步透過雲原生的方式持續開放騰訊級的安全能力，為產業網際網路打造一個堅實的安全底座，讓更多的使用者享受到產業網際網路時代數字化升級帶來的便利，讓安全不再成為數字化經濟發展的掣肘。

以下是董志強演講全文：

大家好，很高興今天能在Techo Park的現場和各位開發者交流關於雲安全相關的技術趨勢和現狀。我想和大家聊一聊騰訊安全關於雲原生安全的一些理解和實踐。

目前基於雲端計算的各種工具、解決方案非常多，迭代速度也相當快。雲和各行各業的連線越來越緊密，成為產業網際網路和未來數字化變革的主要載體。這個行業也已經成長為幾千億美元的規模。這肯定是一個共識，即便是傳統企業，對雲的接受度也非常的高。那麼雲端計算的高速發展，對於IT建設和安全防護帶來了哪些影響呢？

各位都是IT領域、安全行業的從業者，大家都知道，過去進行IT建設週期很長，從選型、測試、採購、上線、交付一系列流程，傳統企業裡面如果要新購一個伺服器一般要一個半月到三個月，再加上裝作業系統，要測試上線、做系統配置，要做聯調等等，週期非常長。而現在，騰訊雲裡面購買新的虛擬主機，五分鐘之內系統就能上線。而使用近兩年大熱的雲原生容器技術，幾秒鐘就能建立上線。Serverless無伺服器化執行，把這個時間縮短到了以百毫秒為單位。這樣的變化對整個安全又帶來什麼影響？

根據騰訊雲和騰訊安全多年的研究與實踐經驗，我們認為第一個挑戰是算力提升和資料量的變化，會導致原有的風險模型和安全機制面臨新的挑戰。這個其實很好理解，大家不妨回憶一下，同樣是破解MD5加密演算法，20年前一臺一萬美元左右的伺服器，每分鐘能破解2000多次，但現在一塊雲上通常使用的GPU晶片，成本也是一萬美元左右，卻能做到每分鐘55億次。也就是說同樣成本下，我們的算力提升了2300萬倍，很多原來安全的演算法在今天已經不再安全。與此同時，儲存成本也在飛速下降，儲存的資料量卻爆炸式的增長，同樣也會對我們原來機制的有效性帶來挑戰。

第二個挑戰是原來以硬體為核心的防禦架構，沒法應對基於雲端計算出現的新風險。在雲上的整個架構變化會非常複雜，比如今天在騰訊雲上面執行了超過100萬臺的物理伺服器，上千萬以上的虛擬機器，這組成了一個非常複雜的系統。導致今天在雲上的攻擊面、風險面比以前任何時候更復雜。原來傳統的IT架構，它的物理架構和邏輯架構是統一的，我們只用考慮在哪裡放個防火牆，在哪插個盒子，但是這種做法在雲上面正在失效。

第三是攻防對抗變成了動態且持續變化的。剛剛其實我就提到過，現在整個IT系統的生命週期發生了很大的變化。相應的，我們進行運維防護的節奏也要進行調整。傳統的以年為週期進行安全規劃，以季度為單位進行漏洞掃描的節奏已經不適用了。因為在雲端計算環境下，攻擊的發生被縮短到秒級，我們處於持續的風險對抗環境中。

第四企業管理經營上面，由於雲的匯入，在資產的所有權、資料的購置權和企業經營的成本模型上發生非常大的變化，也會導致雲上很多的安全技術、安全機制有一定的變化。

聊完雲時代的變化帶來的安全挑戰，我們會發現原來打補丁式的安全思路現在已經不適用了。未來的安全建設要契合雲端計算的特點，應該是具有彈性的，隨時能夠跟著伺服器體量的變化擴容或者收縮；並且要能完成自我迴圈，做到自適應、可迭代，在雲上就能完成升級，而不需要花費大量時間、人力和資金成本去更新硬體裝置。同時，雲上的安全服務也應該像雲端計算一樣，讓客戶能夠開箱即用、按需索取、按量付費。

這就是雲原生安全的價值所在，將安全前置，原生在雲上是應對未來安全問題的高效手段。

針對過去的資料，未來的趨勢，技術發展方向和產業方向進行分析後，我們騰訊安全的雲原生安全建設主要圍繞以下幾個方面展開。

首先是雲原生安全治理，包括對身份治理、風險治理、資料治理幾個方面的研究。整個安全治理體系，分為了風險識別、風險監測與防護、響應及恢復、持續運營幾個重要的部分。

然後是雲原生資料安全，未來資料量越來越大，如果按傳統的方式去構建資料安全，它的鏈條非常長，從前端的資料發現到資料的加密，還涉及到一系列軟體、硬體、網路的加密，到資料的審計以及資料的洩漏監控，整個鏈條裡面可能涉及到二三十種產品。如果在雲上讓一個使用者部署這麼多產品，去管理非常複雜。我們透過打造端到端的雲原生資料安全中臺，逐步把所有資料安全的設施、技術、產品全部納入到雲本身裡面去。從資料的發現和治理、資料的加密和保護，資料的脫敏、資料的審計等等基本的全生命週期的資料安全服務都是以雲原生方式給客戶提供。

接下來是雲原生應用安全，這一層主要包括對安全開發、安全測試和應用安全防護的研究。在開發方面，我們一直致力於推行DevSecOps，將安全貫穿開發生命週期。由於容器的發展，對於API的排程成為了雲原生時代最核心的特徵之一，所以對API的安全防護也是我們研究的重點。

在雲原生計算安全層面，容器的安全是我們最為關注的要點之一，透過硬體虛擬化隔離、容器隔離、加密容器執行環境等辦法，對容器進行安全管理，保障容器在執行時的安全。

最後是雲原生網路安全層面，這裡我們不僅給雲上的客戶提供SAAS化的雲網路安全產品，並且透過雲網路邊界的治理和融合雲原生防火牆等方式來保障雲的網路安全。

目前騰訊安全的雲原生安全研究和建設就是圍繞以上幾個層面展開，並且我們已經取得了一些實踐成果。首先給大家展示一下我們的雲原生安全防護體系。

疫情期間，大量的企業被迫加速數字化升級，全國的用雲量大規模增長，即使對於騰訊這樣生長在網際網路上的企業，也是一次全新的挑戰。

為了儘快復產復工、恢復經濟活力，居家網上辦公、線上展會、直播帶貨等依託網際網路的數字經濟形勢湧現。

作為一款主打線上視訊會議功能的產品，騰訊會議在此期間使用者規模高速增長。產品迅速擴容的同時，也對安全防護提出了更高的要求。如何保障網路服務的穩定、如何確保使用者會議內容的資料安全等等，都需要快速跟進。

如果用傳統的打補丁的安全思路，我們很難跟上產品使用者規模增長的速度，但是在騰訊會議的產品設計階段我們的安全團隊就參與其中，真正將安全體系內建在裡面，讓安全能力能夠跟著產品一起升級，成功的保障了騰訊會議在疫情期間的大規模應用。這就是一種典型的雲原生安全思路的體現。

我們不僅用雲原生的安全體系來防護我們自己的產品，我們也把這樣的能力透過騰訊雲開放給客戶，來保障客戶的安全。

首先是在雲原生安全治理方面，我們進行了從風險識別、到風險監測與防護、再到響應與恢復，以及持續運營一系列的治理體系，將騰訊安全的各種安全能力融入其中，從全域性上提供防護。為了幫助騰訊雲上的使用者快速解決雲伺服器合規的問題，我們今年還推出了一套雲原生的合規映象，並且將它免費提供給騰訊雲上的使用者使用，使用者只需要在官網上進行簡單的操作，就能避免複雜繁瑣的配置過程，獲得一套符合等保要求的雲主機；

其次是在資料安全層面，我們打造了端到端的雲原生資料安全中臺，從最底層符合國家標準的硬體加密機，到中間透明加密的中介軟體，到API，到雲產品層的資料透明加密，都已經具備。

在密碼技術層面，依託雲端計算交付密碼技術在我國仍是新興的密碼服務模式，將密碼技術嵌入雲端計算系統中仍面臨諸多的挑戰，包括雲系統適配問題、硬體密碼模組部署問題等等，近期我們正在聚焦雲安全訪問代理CASB的研究，CASB元件將敏感資料在應用服務內加密，除實現將資料加密後存入資料庫，還能實現資料從應用服務到資料庫之間以密文形式傳輸。

在業內都很關注的容器安全的前沿領域，騰訊雲成為首批透過信通院大規模容器叢集效能測試評估的雲服務商，獲得最高階別“卓越級”認證。並且騰訊雲容器服務憑藉優秀的整體防護能力同時收穫“容器平臺安全能力”的最高階別——先進級認證。

而騰訊雲主機安全服務今年入選了Gartner CWPP全球市場指南，我們正在將雲主機安全、雲防火牆，結合雲SOC一起打造一個更加完善的雲原生安全防護體系，更好的保障雲上使用者的安全。

以上只是簡單列舉了一些我們已經對外開放的安全能力，未來我們將進一步透過雲原生的方式將騰訊級的安全能力對外開放，為產業網際網路打造一個堅實的安全底座，讓更多的使用者享受到產業網際網路時代數字化升級帶來的便利，讓安全不再成為數字化經濟發展的掣肘。

謝謝大家！