問道|哪些才是2021年雲安全的重點?

騰訊安全發表於2020-10-28
新基建快速發展之下,越來越多企業選擇上雲,雲已然成為安全的主戰場。繼騰訊安全雲鼎實驗室釋出“2021雲安全九大趨勢”(之後,10月26日,騰訊安全聯合InfoQ共同舉辦的雲安全趨勢研討會,匯聚中國資訊通訊研究院雲大所云計算部副主任陳屹力、騰訊雲安全總經理董志強、騰訊雲安全副總經理李濱、普華永道中國區資訊保安與隱私保護合夥人萬彬、數世諮詢創始人李少鵬等來自科研院所、評測機構和一線廠商的專家,圍繞“新基建快速發展,將面臨哪些新的安全挑戰”為主題,共話雲上安全未來趨勢。

問道|哪些才是2021年雲安全的重點?


01
一萬個企業對上雲有一萬種擔憂嗎?


新基建的浪潮下,包括雲端計算、物聯網、5G的新技術已經對我們的生產和生活帶來了非常多的影響,觀察使用者上雲過程當中,有什麼心得體會?

陳屹力:企業上雲歸根到底是一個信任的問題,上雲會不會帶來很大的風險? 伴隨著企業上雲的步伐加深,企業對於上雲的態度也隨之改變。從被動變為主動上雲,隨著企業上雲逐步加深,怎麼用好雲,其實是使用者面臨的核心的一些問題。

董志強:客戶上雲的顧慮由初期的“財務”導向已經演變成了現在的“所有權”問題。初期客戶上雲會擔心上雲有多少預算、多少投資,決定過去的基礎設施建設是不是浪費了;現在更多會考慮所有權的問題,就是資產所有權,包括資料所有權等。

從客戶型別上說,頭部客戶已經有比較好的雲應用經驗了,包括對雲原生的應用。對於腰部客戶而言,他們更關注雲端計算以及雲上的工具能不能帶來更好的效率提升。

李少鵬:企業上雲首先應該把企業分層,不同的企業對於上雲態度是不一樣的,上雲的顧慮主要集中在錢、業務、安全三個方面。

萬彬:普華永道透過全球3000多位CSO的調研發現,整個亞太區,預計接下來的三到五年之內,每家企業每年或以25%左右的支出增長,分別投入在雲的基礎設施,雲的安全、雲的生態等等;50%的CSO覺得在雲上使用最關注的問題是隱私保護和合規。

02
在探索雲原生安全的路上
中國走在前列


雲原生概念逐漸成熟,以容器、微服務、API等技術為代表的應用逐步落地,生態開始健全,亟需構建雲原生安全的標準、規範、最佳實踐。但從全球視野的探索步伐來看,中國的廠商已然走在前列。

陳屹力:雲原生領域,目前相對來說比較成熟和完善的標準體系已經建立起來了,未來的安全可能是一個非常重要的問題,隨著容器大規模的採納率逐步提升,安全問題需要被重視起來,如果沒有安全,那麼人們的應用也難以得到保障,創新更無從談起。

董志強:當問題暴露的足夠多的時候,我們發現有一些問題其實是有共性的,今天之所以強調雲原生安全,就是希望把安全前置,從根源上解決一些風險和問題。對於騰訊雲來說,首先在雲基礎設施層面上做了一些安全研究,其次在雲原生作業系統安全層面上做了一些工作,接著在資料安全、雲原生的網路安全等層面都分別做了一些嘗試和探索,這些都非常有利於解決一些行業裡常見的安全問題。

萬彬:目前在全球範圍內,雲原生安全以及安全前置這些理念在其實都還在探索階段,如何形成一些標準化的內容,從而為整個行業提供參考,並且起到帶頭作用。從國內形勢看來,優勢還是較為突出的,這也是趨勢向好的體現之一。

李少鵬:雲原生這個詞,從虛擬化到容器、serverless,再到現在關注的DevSecOps,本質上都是服務和應用的顆粒化,甚至連計算儲存都是越來越顆粒化的。而未來的服務一定是輕量化的,用完即走。在安全這個領域,網路廠商有自己的基礎設施,安全廠商也有自己的先天優勢,但云廠商一定是雲原生的最佳路線。因為硬體的東西是靠後的,軟體的、細化的東西才是未來。

03
做好資料安全有哪些新思路?


資料成為新經濟核心驅動力,資料的廣泛流動和資料價值的增長,做好資料安全也有了全新的抓手。

萬彬:在數字化的浪潮之下,資料將成為今後的重中之重。目前看來,多數企業已經站在一個高屋建瓴的角度去看待資料安全。在《網路安全法》推出以後,國內在陸續出臺相關的配套法案,這就是一個趨勢,國家對於個人資訊的保護,國家對業務資料安全的重視度越來越高。另外,企業需要對資料進行比較細緻的分類和篩選,之所以很多企業會有上雲的顧慮,就是因為他們不清楚哪些資料能夠上雲,放在什麼雲上,用什麼雲產品。未來,當安全發展到一定程度,能夠保證資料滿足不同企業的不同加密需求,相信應用的寬泛度和應用範圍就會越來越廣。

陳屹力:企業資料安全方面,第一還是要提高安全意識,從根上來講,就是安全意識警鐘長鳴,可能對你真正做安全相關的一些是有很大幫助的,包括從技術上投入、流程投入、人員規範投入都是有所幫助的。

我們也要培養、建立相應的資料安全治理能力和體系,引導企業逐步在資料安全治理上投入足夠的精力,從而構建起企業真正的資料安全體系。

還有一個方面,要從技術積累上構建自身的安全能力,要真正把資料安全治理進行量化或可操作化,這對於企業來說會有很大幫助。

董志強:不管是合規的角度還是從行業的角度來看,未來很可能會從以網路安全為中心轉變成以資料安全為中心。如果要面向以資料安全為中心的話,那麼為使用者提供一套簡單、易用的雲原生資料安全中臺就會變得至關重要,需要從資料的產生、儲存、應用、銷燬這樣一個流程當中培養和建立全程應用加密能力,保證企業的資料安全。

04
軟硬體供應鏈安全如何做起?
先從安全意識提升開始


雲時代,開源元件得到廣泛應用,分散式異構計算也普遍存在,這就分別帶來軟、硬體層面的供應鏈安全風險。雲原生安全標準當中非常重要的一個環節就是軟硬體供應鏈的安全,在國際和區域形勢變化加劇、網路空間安全對抗劇烈的形勢下,底層基礎元件的軟硬體供應鏈安全風險問題浮出水面。

李少鵬:未來網路安全建設的基本前提之一就是意識上的轉變,目前供應鏈安全方面還未受到足夠的重視。事實上,任何的安全問題都分為兩個層面,一個基於網路安全的攻防層面,另一個是業務安全的發展層面。從國家角度來看,供應鏈安全代表著經濟的發展,無供應,不發展。而站在企業的角度,他們更多關注的是誰來保障供應鏈的安全,不論是在攻防層面還是發展層面,都沒有樹立一個牢固的意識。對於雲上的使用者來說,一定要為自身的未來負責。

董志強:業務和安全不一定是齊頭並進的,但對於雲廠商而言,供應鏈安全還是非常重要的。騰訊雲在這方面做的主要工作就是加強審計,由於在這裡進行了持續的投入,騰訊雲把供應鏈過往的那些關注比較少的安全風險基線水平拉高,最終能夠極大地保障客戶的業務安全。

05
前路漫漫
方興未艾的DevSecOps將如何發展?


雲原生時代的到來催生出降本增效的需求,持續交付和新型軟體研發模式的廣泛應用,推動了以安全左移、內嵌、自動化為標誌的DevSecOps理念及產品的落地,DevSecOps研發運營一體化的概念也隨著雲原生進入到人們的視野。

陳屹力:從開發、測試到運維,信通院分別制定了一些相應的標準和規範,希望更多人能夠重視軟體應用全生命週期的安全風險。藉助DevSecOps,能夠推動產品的研發進展,同時將很多應用場景落地,從而進行量化、規範化。隨著技術不斷髮展和安全形態的持續變化,信通院也在不斷地進行迭代更新,以防範未來的安全風險。

萬彬:從標準的審計流程看,在上線之前的過程當中會有非常嚴格的考量標準。現在很多企業的做法是透過灰度的形式,讓自身和市場雙方逐步擴散的過程當中達到一個安全平衡,有一些問題可以及時處理,以確保業務更快發展和迭代。但是在目前這個雲原生的環境下,這樣的模式可能也存在一定的弊端,因為在這個模式之下,反饋過程中面臨安全風險的機率會比原來大很多,而這時引入DevSecOps這一概念,在每個環節都進行檢查,相比於把所有流程堆積在最後一個環節,會好得多。

李少鵬:DevSecOps是並行流,把Sec放在中間就是由於要在每個環節的需求下方設計測試,所以稱之為並行流。真正的DevSecOps應該是雲原生,但是目前無論對於使用者還是廠商,其實更多的實踐還是概念上的領先。不過,很多具有云原生能力的服務商、廠商或者科技公司在DevSecOps的應用和落地方面依然取得了不錯的成績。

董志強:DevSecOps不僅僅是一個貫穿了從研發到運維過程的安全模型,還倡導人人為安全負責。實現人人為安全負責,人文、流程和技術是非常重要的影響因素。

首先,人文是指人的安全意識和教育,如果使用者未能達成共識,將會大大影響推進的效率和進度。   

第二,流程上,要把研發、運維、安全等多條工作線串聯在一起,多方協作才能把安全模型變成切切實實的應用。

第三,要在技術層面構建工具鏈,對於很多中小廠商來說,供應鏈可自行研發或購買,但是都應該選擇行業中一些經得起推敲和考驗的產品來構建相應的工具鏈。以騰訊雲平臺為例,其自研產品已達到三百多款,且已經產生了較好的實踐效果,有利於推動行業的轉型和升級,護航產業安全。

06
零信任將成為企業標配嗎?


2020是5G元年,如果5G進一步發展和覆蓋,將取代傳統的鏈路,形成點對點的連線方式,也可能導致整個傳統網路邊界或物理邊界的消失。基於此,如何做好新形態下的安全防護模型,如何認定人們的數字身份?去年以來,新身份認證技術的模型已經開始出現,零信任概念和技術開始成熟並落地實踐。

萬彬:在企業的IT架構和管控方面,零信任和身份認證的重要性是越來越強的。零信任的框架是在授權前對任何試圖接入企業系統的人/事/物進行驗證。從企業數字化轉型和IT環境的演變來看,雲端計算、移動互聯的快速發展導致傳統內外網邊界模糊,企業無法基於傳統的物理邊界構築安全基礎設施,只能訴諸於更靈活的技術手段來對動態變化的人、終端、系統建立新的邏輯邊界,透過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化,這樣身份就成為了網路安全新的邊界,以身份為中心的零信任安全成為了網路安全發展的必然趨勢。

李少鵬:零信任不是產品,它是一種理念,一種永遠懷疑、永遠驗證的理念。零信任這套體系的基礎設施是身份,沒有身份什麼都談不上。身份是基石,資料安全是核心,這是我考察這麼多企業之後的一個總結,也是第一次提出這個觀點。

董志強:過去騰訊在這方面有比較多的實踐,透過參考國外零信任理念模型的應用實踐,將一些成熟的架構納入騰訊的模型當中。那麼在實際工作的過程中,不管是雲平臺還是內部辦公系統,騰訊的理念相對來說也已經獲得了業內的認可,經過多年的應用,基本能夠達到可信的要求,研發出可信的應用,並將它串聯起來,把整個業務系統的訪問許可權進行關聯。

陳屹力:零信任是一種很好的逆向思維的工程或模型,以前從0到1的構建需要隨時對問題進行補充,而現在是假設一切都不安全,那麼這種境況如何來應對,這是一個很好的應用思路。

目前,新形態已經突破了雲安全的邊界,傳統的安全邊界消失,未來需要透過哪些手段和舉措來進行安全問題防治?事實上,零信任已經提供了一個相對成熟的模型或一種經得起推敲的思維體系,未來它能夠和技術架構並行發展。

研討會最後,騰訊雲安全副總經理李濱做出了總結髮言。他指出,此前釋出的《2021雲安全九大趨勢》正是結合自身安全建設的實踐經驗和對雲安全領域的前瞻研究總結而成的,並希望為當前雲安全建設以及技術變革提供新的指南。

未來,騰訊安全還將與生態社群與合作伙伴聯動協同,打造“價值共同體”和“責任共同體”,一同推進雲上安全建設。在數字化不斷轉型升級的今天,騰訊安全致力於讓更多的雲上使用者都可以用到騰訊級的安全產品,並與生態夥伴們共同構建“安全的雲”,在從容應對未來安全挑戰的同時,助力產業穩固發展。

相關文章