何朝曦:構建云化安全能力的三個建議
11月12日,深信服智安全創新峰會在云端拉開帷幕,深信服創始人&CEO何朝曦在《構建云化時代的安全能力》主題演講中指出,業務云化已成為用戶實現數字化轉型與變革的重要方式,這種跨時代的變遷對用戶的安全能力提出了更高的要求,而構建云化時代的安全能力,可以從采用云化交付的安全產品和服務、構建適合云和云原生應用的保護能力、采用適配于云時代的IT基礎設施這三個方面著手。
直面云化安全挑戰,何以就緒
云計算之所被稱為變革性技術,是因為它給業務帶來的是全方位的改變。
- 第一個改變是更廣泛,云化時代業務部署的環境更廣泛,組織需要管理的終端類型也更多樣化。
- 第二個是更快速,云時代IT資源和能力可以快速應用到業務創新上,應用的迭代速度也變得前所未有地快。
- 最后是更復雜,云原生架構和開源代碼的廣泛應用,讓IT架構和應用變得越來越復雜。
何朝曦指出,云化時代的這種巨大變化,為用戶的安全工作帶來了許多新的挑戰。首先,傳統的安全問題,到了云化時代依然存在,而上云之后,新的安全問題接踵而至,例如對容器、對API的攻擊等等,而傳統的安全產品大多無法直接部署到云環境中。其次,多云、多終端的環境下,安全保護和運營管理是割裂的。再次,傳統的不能迭代的安全產品和服務已經跟不上云化時代業務變化的速度和攻擊的速度。最后,云化架構的復雜性,也使得安全保護變得更復雜,成本更高,需要有更簡化的方式來實現安全保護。
云化時代安全能力建設的三個建議
針對云化時代用戶面臨的種種挑戰,何朝曦提出了三個建議,助力用戶構建云化時代的安全能力。
第一個建議,采用云化交付的安全產品和服務。
云化的業務需要云化的安全來保護,絕大多數安全產品的能力實際上都可以用云化的方式進行交付。比如網關安全、終端安全可以被SASE、云化的XDR來代替,而傳統的人工安全服務,也可以使用永久在線、持續對抗的MSS安全托管服務來代替。云化的安全產品和服務能夠快速部署、快速演進,大幅簡化用戶在產品交付和運維上的工作。
在云化時代,深信服已率先將自己的安全能力全面云化,為用戶提供云化的交付產品和方案。2018年,深信服在國內率先發布了MSS托管式安全運營服務,通過三年的積累,深信服率先將MSS升級到2.0時代,打造隨需可得的托管式安全運營能力,覆蓋組織安全工作的核心場景,包括日常安全運營、實戰攻防運營、等保合規運營、勒索專項運營等等。并實現標準化、規模化交付能力,服務用戶超過1000家。未來,深信服還將持續升級安全運營中心的能力,通過打造超級自動化平臺、云端智能機器人、云端高級專家團等方式持續提升平臺的安全能力。
同時,深信服的SASE業務將具備豐富的安全棧,包括防火墻、VPN、SD-WAN、全網行為管理、終端安全、失陷主機檢測等多種常用的安全保護能力,未來還會加入零信任、數據保護等新的安全棧。截止到今年9月,深信服在全國部署了超過25個POP節點,覆蓋了大部分省份,用戶累計超過3500家,在線保護的終端超過50萬個。
第二個建議,構建適合云和云原生應用的保護能力。
何朝曦認為,在多云共存時代,用戶的安全策略也應當是跨云的,需要統一進行管理,實現統一的安全保護。因此,用戶最好選擇可以SaaS化交付的、實現統一跨云環境的安全保護產品和平臺。
在云原生時代,如果想充分發揮出 DevOps 在業務開發上的敏捷性和響應力,就必須將IT安全防護融入業務的整個生命周期中,因此DevSecOps應運而生。安全不應該是業務上線和運維階段才考慮的問題,而是在業務規劃、開發、測試、上線、運維的每一個環節,都嵌入安全開發機制,從而更早發現風險,更早修復,大幅提升業務安全性。何朝曦表示,深信服在采用了DevSecOps的開發模式之后,產品的安全性得到了大幅地提升,也非常愿意向所有用戶開放在DevSecOps方面積累的能力和經驗。
此外,云化環境下,傳統的網絡邊界已經消失,幾乎所有的終端、網絡都是不安全的環境,因此在云的時代,要重新建立新的安全保護模型。零信任架構是目前業界廣泛認可的用來實現跨云保護的一種安全模式。何朝曦指出,零信任很美好,但是落地往往不如意,用戶在建設零信任體系時,要充分考慮相關產品和方案的可落地性,不能選擇過度復雜的產品導致方案無法落地。
深信服已經將全網行為管理、VPN等多款安全品與各種系統和終端做進行適配,在零信任方面積累了很多成熟的技術。因此,深信服在落地零信任方案時,可以極大簡化用戶的工作。僅今年,深信服落地的超過5000點的大型零信任方案就有50多個。
第三個建議,采用適配于云時代的IT基礎設施。
何朝曦強調,如果基礎設施能夠內置安全能力,可以大幅減少用戶在云時代下的安全風險。用戶本地建設的基礎設施,包括私有云平臺、超融合等,安全能力和基礎設施幾乎是完全解耦的,需要單獨考慮安全建設問題。在云化時代下,用戶需要更多的采用天生具有安全保護能力的數字化基礎設施,比如能夠內置防勒索的存儲,內置微隔離的網絡,具備虛擬補丁的計算平臺等等。
當然,這種適配于云時代的IT基礎設施建設,并非要把企業已有安全設施全部替換掉。企業已有安全設施在云下的環境中仍然發揮作用,而把傳統安全產品的部分能力云化并納入跨云管理平臺,就能夠成為云化環境安全保護的一部分,不但大幅提升安全效果,也簡化了交付的復雜性。
深信服智安全護航云化時代
回歸云化時代用戶對安全的最本質訴求,何朝曦表示,就是要有效,不但要有效保護業務,還能有效對抗攻擊。
雖然安全本身不會給業務創造價值,但安全缺失給業務造成的損失將遠超想象。因此安全一定要足夠簡單,同時又足夠可靠,要讓用戶越來越省心,而不是越來越復雜。這也一直是深信服智安全所倡導的“簡單有效、省心可靠”理念。
