12月19日,2020 Techo Park開發(fā)者大會在北京舉辦,騰訊云首席安全官董志強(qiáng)出席并發(fā)表了以《用云原生安全鑄造產(chǎn)業(yè)互聯(lián)網(wǎng)時代的堅實底座》為主題的演講。他表示,云計算已成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來數(shù)字化變革的主要載體,而云上的安全服務(wù)也應(yīng)該像云一樣,讓客戶能夠開箱即用、按需索取、按量付費。

云時代的網(wǎng)絡(luò)安全將面臨四大挑戰(zhàn):第一,算力提升和數(shù)據(jù)量的變化,會導(dǎo)致原有的風(fēng)險模型和安全機(jī)制面臨新的挑戰(zhàn);第二,原來以硬件為核心的防御架構(gòu),無法應(yīng)對基于云計算出現(xiàn)的新風(fēng)險;第三,云計算環(huán)境下,攻防對抗變成了動態(tài)且持續(xù)變化;第四,由于云的導(dǎo)入,企業(yè)管理經(jīng)營上面也會引發(fā)安全技術(shù)和安全機(jī)制的一定變化。未來的安全建設(shè)要契合云計算的特點,將安全前置,而云原生安全是應(yīng)對未來安全問題的高效手段。 

騰訊安全基于多年來的研究與實踐經(jīng)驗,分別從云原生安全治理、云原生數(shù)據(jù)安全、云原生應(yīng)用安全、云原生計算安全、以及云原生網(wǎng)絡(luò)安全等層面,全面構(gòu)建了騰訊云原生安全防護(hù)體系。

未來,騰訊安全將進(jìn)一步通過云原生的方式持續(xù)開放騰訊級的安全能力,為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個堅實的安全底座,讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時代數(shù)字化升級帶來的便利,讓安全不再成為數(shù)字化經(jīng)濟(jì)發(fā)展的掣肘。

以下是董志強(qiáng)演講全文:

大家好,很高興今天能在Techo Park的現(xiàn)場和各位開發(fā)者交流關(guān)于云安全相關(guān)的技術(shù)趨勢和現(xiàn)狀。我想和大家聊一聊騰訊安全關(guān)于云原生安全的一些理解和實踐。

目前基于云計算的各種工具、解決方案非常多,迭代速度也相當(dāng)快。云和各行各業(yè)的連接越來越緊密,成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來數(shù)字化變革的主要載體。這個行業(yè)也已經(jīng)成長為幾千億美元的規(guī)模。這肯定是一個共識,即便是傳統(tǒng)企業(yè),對云的接受度也非常的高。那么云計算的高速發(fā)展,對于IT建設(shè)和安全防護(hù)帶來了哪些影響呢?

各位都是IT領(lǐng)域、安全行業(yè)的從業(yè)者,大家都知道,過去進(jìn)行IT建設(shè)周期很長,從選型、測試、采購、上線、交付一系列流程,傳統(tǒng)企業(yè)里面如果要新購一個服務(wù)器一般要一個半月到三個月,再加上裝操作系統(tǒng),要測試上線、做系統(tǒng)配置,要做聯(lián)調(diào)等等,周期非常長。而現(xiàn)在,騰訊云里面購買新的虛擬主機(jī),五分鐘之內(nèi)系統(tǒng)就能上線。而使用近兩年大熱的云原生容器技術(shù),幾秒鐘就能創(chuàng)建上線。Serverless無服務(wù)器化運行,把這個時間縮短到了以百毫秒為單位。這樣的變化對整個安全又帶來什么影響?

根據(jù)騰訊云和騰訊安全多年的研究與實踐經(jīng)驗,我們認(rèn)為第一個挑戰(zhàn)是算力提升和數(shù)據(jù)量的變化,會導(dǎo)致原有的風(fēng)險模型和安全機(jī)制面臨新的挑戰(zhàn)。這個其實很好理解,大家不妨回憶一下,同樣是破解MD5加密算法,20年前一臺一萬美元左右的服務(wù)器,每分鐘能破解2000多次,但現(xiàn)在一塊云上通常使用的GPU芯片,成本也是一萬美元左右,卻能做到每分鐘55億次。也就是說同樣成本下,我們的算力提升了2300萬倍,很多原來安全的算法在今天已經(jīng)不再安全。與此同時,存儲成本也在飛速下降,存儲的數(shù)據(jù)量卻爆炸式的增長,同樣也會對我們原來機(jī)制的有效性帶來挑戰(zhàn)。

第二個挑戰(zhàn)是原來以硬件為核心的防御架構(gòu),沒法應(yīng)對基于云計算出現(xiàn)的新風(fēng)險。在云上的整個架構(gòu)變化會非常復(fù)雜,比如今天在騰訊云上面運行了超過100萬臺的物理服務(wù)器,上千萬以上的虛擬機(jī),這組成了一個非常復(fù)雜的系統(tǒng)。導(dǎo)致今天在云上的攻擊面、風(fēng)險面比以前任何時候更復(fù)雜。原來傳統(tǒng)的IT架構(gòu),它的物理架構(gòu)和邏輯架構(gòu)是統(tǒng)一的,我們只用考慮在哪里放個防火墻,在哪插個盒子,但是這種做法在云上面正在失效。

第三是攻防對抗變成了動態(tài)且持續(xù)變化的。剛剛其實我就提到過,現(xiàn)在整個IT系統(tǒng)的生命周期發(fā)生了很大的變化。相應(yīng)的,我們進(jìn)行運維防護(hù)的節(jié)奏也要進(jìn)行調(diào)整。傳統(tǒng)的以年為周期進(jìn)行安全規(guī)劃,以季度為單位進(jìn)行漏洞掃描的節(jié)奏已經(jīng)不適用了。因為在云計算環(huán)境下,攻擊的發(fā)生被縮短到秒級,我們處于持續(xù)的風(fēng)險對抗環(huán)境中。

第四企業(yè)管理經(jīng)營上面,由于云的導(dǎo)入,在資產(chǎn)的所有權(quán)、數(shù)據(jù)的購置權(quán)和企業(yè)經(jīng)營的成本模型上發(fā)生非常大的變化,也會導(dǎo)致云上很多的安全技術(shù)、安全機(jī)制有一定的變化。

聊完云時代的變化帶來的安全挑戰(zhàn),我們會發(fā)現(xiàn)原來打補(bǔ)丁式的安全思路現(xiàn)在已經(jīng)不適用了。未來的安全建設(shè)要契合云計算的特點,應(yīng)該是具有彈性的,隨時能夠跟著服務(wù)器體量的變化擴(kuò)容或者收縮;并且要能完成自我循環(huán),做到自適應(yīng)、可迭代,在云上就能完成升級,而不需要花費大量時間、人力和資金成本去更新硬件設(shè)備。同時,云上的安全服務(wù)也應(yīng)該像云計算一樣,讓客戶能夠開箱即用、按需索取、按量付費。

這就是云原生安全的價值所在,將安全前置,原生在云上是應(yīng)對未來安全問題的高效手段。

針對過去的數(shù)據(jù),未來的趨勢,技術(shù)發(fā)展方向和產(chǎn)業(yè)方向進(jìn)行分析后,我們騰訊安全的云原生安全建設(shè)主要圍繞以下幾個方面展開。

首先是云原生安全治理,包括對身份治理、風(fēng)險治理、數(shù)據(jù)治理幾個方面的研究。整個安全治理體系,分為了風(fēng)險識別、風(fēng)險監(jiān)測與防護(hù)、響應(yīng)及恢復(fù)、持續(xù)運營幾個重要的部分。

然后是云原生數(shù)據(jù)安全,未來數(shù)據(jù)量越來越大,如果按傳統(tǒng)的方式去構(gòu)建數(shù)據(jù)安全,它的鏈條非常長,從前端的數(shù)據(jù)發(fā)現(xiàn)到數(shù)據(jù)的加密,還涉及到一系列軟件、硬件、網(wǎng)絡(luò)的加密,到數(shù)據(jù)的審計以及數(shù)據(jù)的泄漏監(jiān)控,整個鏈條里面可能涉及到二三十種產(chǎn)品。如果在云上讓一個用戶部署這么多產(chǎn)品,去管理非常復(fù)雜。我們通過打造端到端的云原生數(shù)據(jù)安全中臺,逐步把所有數(shù)據(jù)安全的設(shè)施、技術(shù)、產(chǎn)品全部納入到云本身里面去。從數(shù)據(jù)的發(fā)現(xiàn)和治理、數(shù)據(jù)的加密和保護(hù),數(shù)據(jù)的脫敏、數(shù)據(jù)的審計等等基本的全生命周期的數(shù)據(jù)安全服務(wù)都是以云原生方式給客戶提供。

接下來是云原生應(yīng)用安全,這一層主要包括對安全開發(fā)、安全測試和應(yīng)用安全防護(hù)的研究。在開發(fā)方面,我們一直致力于推行DevSecOps,將安全貫穿開發(fā)生命周期。由于容器的發(fā)展,對于API的調(diào)度成為了云原生時代最核心的特征之一,所以對API的安全防護(hù)也是我們研究的重點。

在云原生計算安全層面,容器的安全是我們最為關(guān)注的要點之一,通過硬件虛擬化隔離、容器隔離、加密容器運行環(huán)境等辦法,對容器進(jìn)行安全管理,保障容器在運行時的安全。

最后是云原生網(wǎng)絡(luò)安全層面,這里我們不僅給云上的客戶提供SAAS化的云網(wǎng)絡(luò)安全產(chǎn)品,并且通過云網(wǎng)絡(luò)邊界的治理和融合云原生防火墻等方式來保障云的網(wǎng)絡(luò)安全。

目前騰訊安全的云原生安全研究和建設(shè)就是圍繞以上幾個層面展開,并且我們已經(jīng)取得了一些實踐成果。首先給大家展示一下我們的云原生安全防護(hù)體系。

疫情期間,大量的企業(yè)被迫加速數(shù)字化升級,全國的用云量大規(guī)模增長,即使對于騰訊這樣生長在互聯(lián)網(wǎng)上的企業(yè),也是一次全新的挑戰(zhàn)。

為了盡快復(fù)產(chǎn)復(fù)工、恢復(fù)經(jīng)濟(jì)活力,居家網(wǎng)上辦公、線上展會、直播帶貨等依托互聯(lián)網(wǎng)的數(shù)字經(jīng)濟(jì)形勢涌現(xiàn)。

作為一款主打線上視頻會議功能的產(chǎn)品,騰訊會議在此期間用戶規(guī)模高速增長。產(chǎn)品迅速擴(kuò)容的同時,也對安全防護(hù)提出了更高的要求。如何保障網(wǎng)絡(luò)服務(wù)的穩(wěn)定、如何確保用戶會議內(nèi)容的數(shù)據(jù)安全等等,都需要快速跟進(jìn)。

如果用傳統(tǒng)的打補(bǔ)丁的安全思路,我們很難跟上產(chǎn)品用戶規(guī)模增長的速度,但是在騰訊會議的產(chǎn)品設(shè)計階段我們的安全團(tuán)隊就參與其中,真正將安全體系內(nèi)置在里面,讓安全能力能夠跟著產(chǎn)品一起升級,成功的保障了騰訊會議在疫情期間的大規(guī)模應(yīng)用。這就是一種典型的云原生安全思路的體現(xiàn)。

我們不僅用云原生的安全體系來防護(hù)我們自己的產(chǎn)品,我們也把這樣的能力通過騰訊云開放給客戶,來保障客戶的安全。

首先是在云原生安全治理方面,我們進(jìn)行了從風(fēng)險識別、到風(fēng)險監(jiān)測與防護(hù)、再到響應(yīng)與恢復(fù),以及持續(xù)運營一系列的治理體系,將騰訊安全的各種安全能力融入其中,從全局上提供防護(hù)。為了幫助騰訊云上的用戶快速解決云服務(wù)器合規(guī)的問題,我們今年還推出了一套云原生的合規(guī)鏡像,并且將它免費提供給騰訊云上的用戶使用,用戶只需要在官網(wǎng)上進(jìn)行簡單的操作,就能避免復(fù)雜繁瑣的配置過程,獲得一套符合等保要求的云主機(jī);

其次是在數(shù)據(jù)安全層面,我們打造了端到端的云原生數(shù)據(jù)安全中臺,從最底層符合國家標(biāo)準(zhǔn)的硬件加密機(jī),到中間透明加密的中間件,到API,到云產(chǎn)品層的數(shù)據(jù)透明加密,都已經(jīng)具備。

在密碼技術(shù)層面,依托云計算交付密碼技術(shù)在我國仍是新興的密碼服務(wù)模式,將密碼技術(shù)嵌入云計算系統(tǒng)中仍面臨諸多的挑戰(zhàn),包括云系統(tǒng)適配問題、硬件密碼模塊部署問題等等,近期我們正在聚焦云安全訪問代理CASB的研究,CASB組件將敏感數(shù)據(jù)在應(yīng)用服務(wù)內(nèi)加密,除實現(xiàn)將數(shù)據(jù)加密后存入數(shù)據(jù)庫,還能實現(xiàn)數(shù)據(jù)從應(yīng)用服務(wù)到數(shù)據(jù)庫之間以密文形式傳輸。

在業(yè)內(nèi)都很關(guān)注的容器安全的前沿領(lǐng)域,騰訊云成為首批通過信通院大規(guī)模容器集群性能測試評估的云服務(wù)商,獲得最高級別“卓越級”認(rèn)證。并且騰訊云容器服務(wù)憑借優(yōu)秀的整體防護(hù)能力同時收獲“容器平臺安全能力”的最高級別——先進(jìn)級認(rèn)證。

而騰訊云主機(jī)安全服務(wù)今年入選了Gartner CWPP全球市場指南,我們正在將云主機(jī)安全、云防火墻,結(jié)合云SOC一起打造一個更加完善的云原生安全防護(hù)體系,更好的保障云上用戶的安全。

以上只是簡單列舉了一些我們已經(jīng)對外開放的安全能力,未來我們將進(jìn)一步通過云原生的方式將騰訊級的安全能力對外開放,為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個堅實的安全底座,讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時代數(shù)字化升級帶來的便利,讓安全不再成為數(shù)字化經(jīng)濟(jì)發(fā)展的掣肘。

謝謝大家!