云安全需要運用新的安全管理理念和技術手段來應對
云計算的出現徹底改變了 IT 產業和傳統企業的 IT 結構,但大部分企業的理念和技術方法還停留在傳統的 IT 時代,很多企業只是把云當成更大的服務器集群來使用,并沒有認識到云所帶來的底層技術上的本質性變革。這種理念的差異造成的最直接后果就是安全管理水平的滯后,云安全需要用新的安全管理思路和技術手段來應對。
一、云計算帶來的新安全變化
云計算的廣泛應用,給 IT 產業帶來了本質性的改變,傳統的信息安全也隨之出現了新的挑戰。
(一)安全管理模型的變化
傳統安全領域,IT 資產的所有權和設備的控制權基本是一致的,誰使用誰購買、誰擁有誰管理。例如,企業的 IT 系統往往包含多個子系統,有歸屬于財務部門的企業資源計劃(ERP),有歸屬于人力資源部門的人力資源管理(HRM)等,這些權責分明的子系統共同構建形成企業內部的 IT網絡。子系統的所有權和使用權都有明確的歸屬,物理邊界非常清晰,相應的安全解決方案也容易部署。但在云計算里,IT 資產大部分是“租用的”,資產的所有權、控制權以及企業選擇服務、產品和技術模型的方式產生了根本性的變化,這對企業安全體系建設造成了巨大的影響。
(二)計算內容和技術的變化
云計算還帶來了算力的變化和數據量的變化,這兩個變化導致傳統的安全機制在云上不再適用。算力方面以數據加密技術為例,20 年前一臺標準的服務器破解信息摘要加密算法(MD5)的次數基本是每秒幾千次到萬次左右,所以 MD5在 20 年前是比較安全的算法,但是今天一臺普通的臺式機通過圖形處理器(GPU)加速技術,破解 MD5 加密的速度已經達到每秒鐘 55 億次以上,算力比過去提高了上千萬倍,這會導致傳統安全的機制由于算力的大幅提升而失效。另外數據量的增大也對安全機制會產生影響,仍然以數據加密技術為例,如果是對一個較少的數據加密,加密的時間、成本和性能的影響可以忽略不計,如果到了 T 級、P 級,加密時長要達到幾分鐘、幾個小時甚至幾天,在實際的業務運行環境中是無法接受的。
(三)基礎設施和應用架構的變化
云時代各種新技術不斷涌現,例如扁平化的架構、虛擬化技術的應用,以及普遍存在的分布式機構、異構計算、服務的抽象化等,這些技術都會導致不管是攻擊面還是攻擊路徑,云安全都會呈現更復雜的狀態。
傳統的 IT 系統建設周期很長,從半年甚至長達幾年時間,系統的整個生命周期可能有幾年到幾十年的時間。面對生命周期很長的 IT 系統,安全建設可能是按一年的周期來做整個系統的風險評估,按月為單位做漏洞掃描,按月或者季度進行系統的補丁管理。安全工作有著嚴格的流程,可以按部就班進行滾動周期的管理。但在云計算里,我們面臨的是一個高速、持續變化的環境。例如,無服務器(Serverless)技術的應用帶來的結果是,在云上搭建一個 Serverless 應用的時間只要 3 毫秒,而一個 Serverless 實例最短生命周期是100 毫秒。如果是一個 Serverless 應用實例存在漏洞,導致被攻陷、被入侵,整個攻擊事件的生命周期可能只有百毫秒的時間。當前的云上有大量類似的技術在應用,每秒都有大量的實例被拉起、消亡,惡意代碼攻擊可能就在其中流轉消除。在云上,我們面臨的是動態以及迅速變化的生命周期模型,面臨著持續性對抗的環境,沒有新的技術進行監控和防范,可以說傳統的靜態或者長周期的安全機制是完全失效的。
二、外部環境變化帶來的新安全挑戰
在法律層面,全球對信息安全的監管日益加強,以歐盟的《通用數據保護條例》(GDPR)的發布為標志性事件,幾年間國內外陸續出臺了眾多法律法規。2021 年,我國出臺《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》,加上之前的《網絡安全法》,明確規定了企業需要承擔的網絡安全主體責任。
在技術層面,伴隨云計算誕生的新技術帶來了新的生產力,讓企業在云計算時代實現了快速發展。但技術進步的另一面是新的安全挑戰,從安全從業者視角,云就像一個極具誘惑力的“蜜罐”,云上海量的數據和業務,必然會吸引攻擊者的視線。
過去幾年安全威脅呈現出三個明顯的趨勢。首先,在威脅主體上,專業化的高級持續性威脅(APT)組織越來越多,據不完全統計,當前全球范圍內具備國家級攻擊力量的黑客組織大概有 40多個,往下還有無政府主義黑客、商業間諜、有組織犯罪等。在國內,黑灰產是商業攻擊事件的主流。這些威脅主體有更專業的技術、武器和組織能力。其次,在受攻擊目標上,層次分布得更廣泛,國家關鍵基礎設施、企業商業數據、個人敏感信息等都成為攻擊標的。第三,數實融合潮流勢不可擋,數字化已經成為企業發展的必由之路,但前提是必須做好安全體系的建設,企業的數字化發展才能穩定、可預期。
此外,云安全面臨著資源和人力的缺口。資源缺口主要體現在 IT 建設,尤其是云的建設中需要更多的安全投入。人力的缺口既體現在絕對從業人數的缺口,也表現在缺乏更專業的技術專家。例如近幾年,我國各個領域建設了數千個各種規模的云平臺,每一朵云常規的安全運營,例如常規的風險評估、漏洞掃描、日常監控等,需要的專業人力是 30 人左右,以此估算,僅在云安全的日常運營領域,就已經遠遠超出了目前云安全行業的服務供給能力。
三、云原生的安全托管服務
對云安全所帶來的這些新變化,需要用“戰爭思維”來應對。戰爭是時刻動態變化的,戰爭一定會有損失、一定會有取舍,“萬無一失”是不現實的,應該用較為合理的投入取得最大化的效果,把安全的整個水位線提升到一定高度。
“戰爭思維”下的安全管理的基本原則有兩個。一是要解決普遍性問題,不能讓低級漏洞影響安全性,造成損失。二是不出重大安全事故,保證安全在一個足夠的水平線上。實現這兩個目標,企業自身的安全能力往往難以做到,首先是沒有足夠多的專業人力,其次,人本身會懈怠、會疏忽。基于騰訊在云平臺上的實踐經驗和儲備,我們認為基于云原生的安全托管服務是當前做好云安全工作的可行路徑。從 2021 年開始,騰訊將一系列的云平臺內生能力以及自動化工具和流程、專家服務整合起來,推出了云原生的安全托管服務(MSS),將絕大多數的風險面通過工具來消除。
基于云原生的安全托管服務可劃分為三個等級。第一,低級安全事件的對抗和消減。例如,在云上每天會有億級以上的批量漏洞掃描事件,這些事件的響應會消耗大量的人力,但如果視而不見,很可能會造成嚴重的安全事故。通過云平臺層面,可以給每個用戶批量提供風險消除機制,做到及時響應。第二,通過自動化引擎、數據分析和情報驅動,消減大量的人力需求,例如系統加固、風險評估、常規安全事件的分析和處置,都可以通過自動化進行。第三,讓用戶的核心人力集中在安全管理層面,例如架構如何設計更合理、代碼如何開發、企業應該如何構建流程、如何應對高等級的合規需求,這才是安全人才發揮價值的地方。例如,在很多企業的重保場合和日常安全值守過程中,MSS 都發揮了很大的價值。
云原生的安全托管服務給企業的安全建設“減負”,讓企業無須考慮復雜的安全技術問題,減少人員投入,把重心和思考放在業務上,以相對可控的成本獲得安全價值最大化,這是云原生安全托管服務的價值所在。
