產業安全專家談 | 企業如何進行高效合規的專有云安全管理?

騰訊安全發表於2020-04-22
產業網際網路時代的到來,讓“雲”成為承載企業核心業務和資料的重要載體和輸出通道。其中一些企業出於靈活性和業務個性化等方面的考慮,選擇了能讓業務更加聚焦的專有云。同時,國家也出臺了等保2.0標準,針對雲端計算平臺提出了更為嚴格的安全要求。

雲場景下安全管理的難點如何應對、重保時期如何佈防?等保2.0全面實施對專有云安全管理帶來了哪些要求?在不同雲環境中,企業應如何打通區隔進行統一管理?由騰訊安全聯合雲+社群打造的「產業安全專家談」第十五期,邀請到了騰訊安全運營中心SOC產品負責人洪春華為大家解答以上問題。

洪春華:騰訊安全運營中心SOC產品負責人。自2009年加入騰訊以來,先後負責騰訊安全後臺海量服務開發、安全運營資料平臺研發等工作。目前主要聚焦雲安全產品研發,基於多年以來在安全大資料與智慧分析領域積累的豐富經驗,主導研發了騰訊安全運營中心SOC,為客戶提供雲時代的高效安全運營服務。


Q1:相較於公有云和私有云,專有云場景下的安全管理工作都有哪些特點和難點?

洪春華:我們看到很多行業和企業因為自身業務發展的需要以及政策法規的要求,採用了專有云方案。對於一個行業或大型企業來說,這個專有云就相當於他們自身的“公有云”,也就是說這朵雲採用的是公有云一般開放的形式去服務不同的業務,比如企業的子公司。那麼同理,我們就可以看一下騰訊公有云的安全管理運營模式。首先是平臺的安全工作是由雲服務商來提供的;而租戶安全,基於公有云的“責任共擔模型”,租戶需要選擇雲服務商所提供的安全產品和工具來保障自身的安全。當然雲服務商也會針對一些嚴重的、大範圍的安全事件提供應急響應服務。所以,專有云安全管理的難點,主要在於採用專有云的企業能否如上所述一般,構建出一套完整的安全管理模式,這包括專有云平臺的安全,是否有充足的團隊和資源來保障;以及租戶安全保障,每個子公司、下屬單位的業務都有差異,其中的職責和許可權都需要探討。

Q2:針對專有云安全的防護難點,企業應該做出哪些改進?
洪春華:先舉個反例,我們遇到很多企業客戶會把傳統安全產品和裝置,比如防火牆、IPS(入侵防護系統)直接照搬到雲上,這種方式侷限性很大,非常的不“雲”。雲服務的典型特定有彈性、動態性,而傳統的這種方式很難彈性擴充套件、更難以防護動態變化的資源,容器化等更是加劇了這種場景。針對這專有云的這些問題,我建議企業需要用雲的方式來解決雲上的安全問題。藉助雲的特性構建彈性可擴充套件的安全防護體系,採用“端、管、雲”的安全管理策略來進行管理。這裡的端就是我們的主機安全部分,管則是要從流量側發現安全問題,最後再把端和管的資料彙總到雲上的安全運營中心做統一的分析和管理。至於傳統安全產品“水土不服”的情況,我建議可以考慮一些適用於雲環境的產品來彌補傳統產品的不足。比如強調行為分析和異常檢測的NTA(高階威脅檢測系統沙箱+探針),或是融合了大資料智慧分析、安全編排、自動化響應和安全視覺化這些功能於一體的專有云安全運營中心(下稱專有云SOC),透過這些產品都能有效提升企業雲上的安全水平。最後,前面提到的平臺租戶責任劃分和多級管理的問題,可以採用多租戶安全運營模式,讓下屬的單位也參與到安全運營的工作中來,在專有云內實現責任共擔,讓下屬單位自理安全運營、總部負責監管,這樣就能從根本上解決問題。

Q3:針對不同行業的專有云使用者,如政府機構、金融行業、傳媒行業等,專有云的安全防護有沒有差異點?

洪春華:不同的行業,根據自身業務模式的不同,對於安全防護的需求也是不一樣的。以廣電行業大型國企的情況為例,企業的媒體內容製作生產的過程中,對安全的需求是非常高的。比如在製作一部網路影片作品時,首先會把錄製組拍好的影片素材儲存到內部偏私有云的環境中,交給製作組進行編輯製作;作品完成後,會被轉移到專有云中另外負責對外輸出的埠上,透過公有云上的CDN,也就是內容分發網路傳送給觀眾。這個過程不僅涉及了多個業務部門的協同工作,還包含了專有云+公有云的混合雲架構。這就要求企業的安全管理部門在進行安全管理工作時,要把多雲安全管理工作融合在一起,再透過態勢感知功能,對專有云內部的安全態勢、平臺態勢、業務態勢進行一個統一的管理,構建“混合雲態勢感知平臺”。

Q4:在專有云安全管理工作中,AI發揮了怎樣的作用?

洪春華:在安全管理工作中,AI主要的作用是對安全事件進行識別和自動化分析,即提高安全事件的發現能力和處理效率。一方面AI能夠透過異常檢測、時序分析這些方法,從大量的網路活動中檢測出風險行為。另一方面,考慮到那些使用專有云的企業,安全管理部門每天收集到的安全事件的資料量是非常大的。我們的專有云SOC中就整合了基於 AI 的自動化分析功能,以輔助提升專有云的安全管理效率和自動化程度。具體來說,透過機器學習、自然語言處理等技術構建安全知識圖譜,再以這個圖譜為基準,從大量的安全告警中摘出重點攻擊活動、發現新型攻擊方式並通報給運營人員,提升他們的分析、響應的速度。除此之外,AI還會自動學習和記錄運營人員對安全事件的處置方法,未來再遇到同樣的安全事件時,會基於過往積累的經驗給出安全處置建議,也在一定程度上降低了對安全運營人員的專業水平的要求。

Q5:為抵禦外部攻擊,很多企業購買了大量安全產品,這樣可以完全防範外來的網路攻擊嗎?重保時期外部網路攻擊尤為集中,騰訊安全在這方面有什麼解決方案?有哪些實際案例?

洪春華:企業在構建專有云時購買多種如NIPS(網路入侵防護系統)、IDS(入侵檢測系統)這樣的安全產品並部署到雲中,這其實是一個非常普遍的現象。雖然多種安全產品疊加確實可以保護雲環境的安全,但是在遭到外部攻擊時,會產生大量安全告警資訊,最終形成“告警風暴”,而真正值得注意的資訊則淹沒在風暴之中。不僅會降低工作效率,還會讓真正具有威脅的網路攻擊趁虛而入,讓整個專有云環境安全都受到威脅。重保時期對於安全告警處理效率的要求會很高,而這個效率又分為檢測和響應兩個部分。檢測效率,體現在NTA(高階威脅檢測系統沙箱+探針)和主機端對於安全威脅檢測的速度上;響應效率就要求對那些檢測出來的安全威脅要進行快速阻斷。而為了保障重保時期的雲安全,這兩個效率需要一個統一的大腦,也就是專有云SOC來進行統一分析排程來保證安全防護工作的順利進行。

產業安全專家談 | 企業如何進行高效合規的專有云安全管理?

去年某大型國有銀行的重保專案中,我們的安全運營中心就充分發揮了這方面的優勢,與騰訊天幕等安全團隊形成聯動,為客戶抵禦住了所有攻擊,取得0失分的好成績。

Q6:一些大型企業旗下的分公司,或是總部中的分部門,都會根據自身業務需要設定不同的雲環境。在這種情況下,總部的安全管理部門要如何進行統一管理?

洪春華:這種情況是大型企業都會遇到的問題,無論是多級架構還是多租戶架構,總部的安全管理部門都要面臨如何兼顧自身和下級的安全運營工作的難題。通常情況下,因為不同層級的安全管理的目的都不一樣,所匯聚、分析的資料和結果唯獨也會存在差異。所以在這種情況下,安全管理需要能夠支援多級管理。也就是說,分公司的安全運營工作由該公司的運維人員獨立負責,定時將該公司的安全狀態上報給總部;總部的安全管理部門會根據情況來決定是需要進行匯聚分析,還是隻需要進行整體性的態勢監控。

Q7:隨著智慧城市建設工作的逐步推進,城市的安全運營工作也越來越受到重視。智慧城市的安全管理工作是如何開展的?有哪些已經落地的實際案例嗎?

洪春華:智慧城市是我們非常重要的業務板塊之一。智慧城市的安全管理工作一共分為兩大部分,一方面需要保證智慧城市建設過程中,政務雲及其搭載業務的安全;另一方面,需要結合政府各個部門的業務需求,保障其下屬部門或機構的資訊保安。
所以在智慧城市建設的過程中,我們需要契合城市級安全運營中心對於檢測智慧城市安全風險、分析安全態勢等這些專業性要求,構建城市的“安全中臺”;同時還要結合各個委辦局的需求來做行業的態勢感知。以衛健委的合作專案為例,安全運營中心根據衛健委的需求,對各個醫院的網路流量進行分析彙總,並投放到衛健委安全管理部門的大屏上,方便安全運維人員實時掌握各個醫院的安全態勢。
還有就是在疫情期間,有很多類似健康碼的小程式被分別部署在各雲平臺上。針對這種情況,安全運營中心會將各個雲平臺的安全管理工作進行融合,並透過態勢感知的功能實現對各個平臺安全運營工作的統一管理。

Q8:除了現實的需求外,政策和法規上是否也對專有云的安全管理提出了新的需求?企業需要怎麼做才能達到合規標準呢?

洪春華:等保2.0涉及的範圍比較大,但基本上都是圍繞著“一箇中心,三重防護”展開的。其中“一箇中心“指的就是我們一直提到安全管理中心。對於企業來說,等保合規的先決條件就是要有一個安全管理中心。好的安全管理中心不止要滿足等保2.0中的要求,還要構建針對等保合規技術項的持續檢測分析,讓企業安全運維人員能夠隨時瞭解到當前的合規情況、目前的不足和如何完善。所以,對於企業來說安全管理中心並不僅僅是一個合規項,還應該是一個幫助企業實現持續合規的自動化工具。 

相關文章