撰文|小不董
编辑|李信马
头图|IC Photo
一朵云能承担多大的重量?如果是天上的云,那么它连一个50千克的人都承受不住,但如果放在网络中,它所能承担的无限大。近些年,上云的对企业的重要性在不断提升,对于企业来说,云承担着数字化转型技术底座的作用,但与此同时,云上安全也成为了企业面临的新问题。
随着企业对云原生等技术的深度应用,多云技术架构得到了快速发展。据中国信通院《2023年混合云发展调查》数据显示,调研的上云企业中,使用混合云的企业占比达到75.5%,并且有59.3%的企业表示预计将在未来一年内加大在混合云的投入。
“混合云具有部署灵活、成本低、最大化整合现有资产、促进业务创新等显著优势,随着数字化进程推进,已逐渐成为企业普遍选择的部署方式。”中国信通院云大所开源和软件安全部副主任、中国通信标准化协会TC608云安全工作组组长孔松表示。
放眼未来,混合云因为灵活部署的特性,成本低、能够最大化整合资产的优势,使得越来越多的企业加入。在信通院的调查中,所有的企业中将近有60%的企业预计在未来的一年都会增加混合云的投入。
与此同时,混合云模式下,企业想要保护好核心的云上资产,内部的团队大多面临着两个问题:
- 在多云混合的场景下,面对多个需求各异的云服务商,怎么做好多个云服务商的责任管理?
- 云安全厂商提供不同的能力,需要承担的责任也是不同的,所以给企业的责任共担的模式也带来了挑战。
来自企业的经验
互联网公司中,小红书就属于极具代表性的多云部署企业。截止到2022年底,小红书上的分享者数量超过6900万,月活的用户数量超过2.6亿,笔记日均发布量超过300万篇。
2014年,小红书为了快速发展互联网业务,用了第一朵云。当业务体量发展到一定程度,小红书开始关注服务的高可用和稳定性。当时不少企业选择先有自建IDC,然后去用云,而小红书选择多云自主。
通过用多云,把流量入口分散,把服务分散在不同的云上,比如一个云或者一个VPC挂了之后,小红书的APP不至于打不开。另外,多云策略还能够提高小红书的自主性:成本上不会被单个云厂商绑定提高价格,可以比价;业务上不必担心重要活动遇到单个云厂商的资源不足,可以随时切换到别的云上。
为了应对多云原生下的安全挑战,小红书用一套标准去给所有能力建设定目标:
- 通用性。任何一个安全能力脱离于云的基础设施。比如HIDS是要能够在阿里云上用,同时在华为云上用,同时在AWS上用,在所有云上都是通用的,都可以能够实现。
- 一致性。一层是数据的一致性,一层是策略和防护效果的一致性。最基础的是日志的一致性。但是对于内部的业务团队来讲,业务部署在腾讯云上和阿里云上,防护效果是不一致的,所以要进一步做到策略的一致性。
- 扩展性。“如果我们今天的流量从腾讯云80%调整成腾讯云20%,另外一个云飞速扩张,在这种情况下怎么能够保证安全能力,它的带宽,我们的冗余度,它的冗余度是可以快速调整的。我们所有的能力建设都是朝着这样的目标去走的。”小红书安全负责人林敏说到。
其次,把安全风险可视化同样重要,口头上说把安全从60分做到70分是很难理解的,这时候就需要数据化和严重等级分级的逻辑。
最后,保持健康状况是很重要的一环,小红书也在尝试通过安全可视化去牵引整个安全风险的具像分级,给到业务方去呈现价值。
而在传统行业,云安全也受到了更多的重视。在2023广州国际车展开幕前,曾有媒体发起了一项随机调研,调研的结果显示,有超过43%的用户将“网络安全”和品牌、外观、价格、续航等一起纳入了购买智能汽车的首要考虑因素。
蔚来汽车的信息安全基础设施负责人马磊介绍,汽车行业上云面临的安全风险可以总结为:数字化应用上云的风险、关键基础设施的合规风险以及供应链的风险。马磊总结了蔚来汽车如何去面对这样的挑战:
- 从传统的被动防御转化成主动;
- 持续云上风险的治理和巡检;
- 持续的威胁暴露面管理;
- 通过数据驱动去做安全运营以及提升响应能力。
蔚来汽车的整个安全体系架构分为四个维度建设安全体系
- 办公网,蔚来在国内以及海外都有分支机构;
- 公有云,也是主要合作伙伴腾讯云。蔚来汽车核心的app和一些数字化应用,包括车联网的服务都跑在腾讯云上面和一些其他公有云;
- 自建的数据中心,跑在重要的计算集群和企业的服务;
- 整个工厂,包括整车制造和零部件的制造。
第二个层次是整个安全体系,蔚来汽车会提供安全能力或者工具来支撑整个安全的防御体系,包括云安全、主机安全、系统安全、整个终端和办公网等。
最后一个层次是情报。情报对安全能力的建设,包括运营是起着非常重要的作用,特别是在户网外,以及日常化的运营当中。
同时,马磊也表示提出需要在以下四方面建设云安全能力:
应该是
- 身份和凭据,大量账号如何遵守最佳的安全设计原则,如何做权限划分对企业来说是很大的挑战,特别是凭据管理非常困难,这也是很多云上出现风险或者出现泄露时核心的关键点。
- 各种各样的操作和运营审计,这种用户、管理员在企业实践当中有大量的运用,他们的这种操作、配置、变更行为是需要安全做审计的。
- deep obs能力。腾讯云或者公有云厂商已经提供了丰富的API接口,作为安全运营来说,是需要充分利用好这些能力的。
云厂商
虽然不同企业遇到的问题都不同,采取的策略也不同,但目的都是保证云安全,而要做到这一点,提供基础设施的云厂商责无旁贷。腾讯云安全产品负责人周荃认为:“我们的业务可能是多云的、混合云部署的,但是我们希望安全运营可以是统一的。”
周荃介绍,在多云/混合云趋势下,越来越多的企业有统一安全运营的需求,近几年,腾讯云安全也一直在推进云安全产品的“一体化”。2021年,腾讯云曾提出来云安全“3+1”防线的模型。
图片来源:云安全趋势暨腾讯云安全年度产品发布会
2022年,腾讯云安全发布云安全中心,打通了云防火墙、云WAF、云主机安全三道防线,实现了云安全产品的一体化。
今年,腾讯云安全升级发布“全域安全”解决方案,将云安全中心与主机安全合二为一,打造了CNAPP+SIEM的安全一体化平台及可插拔式安全底座,企业可在底座上层“乐高式”搭建安全产品模块,实现公有云、混合云、自研云的多云统一管理,以及横跨生产网、办公网、互联网的三位一体防护,即“全域安全”。
图片来源:云安全趋势暨腾讯云安全年度产品发布会
周荃称,腾讯云安全之所以要打通云安全中心和主机安全,是因为高效的安全运营往往是基于数据和驱动的,安全数据的收集是安全运营工作的基础。而服务器上的业务运行数据,以及网络侧的访问和请求数据等基本上是在主机安全和安全运营中心之上,两个产品结合有利于数据的高效收集。
图片来源:云安全趋势暨腾讯云安全年度产品发布会
“我们认为,实现全域安全的前提是平台化,主机安全和云安全中心融合为一体化平台的底座,是为后续的全域融合打下基础,同时腾讯云防火墙4.0版本、腾讯云WAF5.0也都是沿着全域安全方向进一步防护升级。”周荃表示。
另外,腾讯云安全发布的AI安全助手,覆盖了告警解释、漏洞修复、日志处理、智能客服等四大能力,将会在2024年1月全量正式上线。
图片来源:云安全趋势暨腾讯云安全年度产品发布会
据周荃介绍,腾讯云AI安全助手主要解决两大类的需求:一类是高频场景,即确定性的、重复的工作可以交给AI来完成,例如封禁一个IP、封禁10000个IP和封禁“过去30天攻击过我的高危告警IP”都是确定性的事情,通过AI安全助手,企业只需要一次对话就可以完成。
第二类是硬核场景,即需要安全专业能力和经验判断的工作,例如告警解释、事件溯源分析、应急响应等,都可以交给腾讯云AI安全助手来进行辅助。
生成式人工智能的发展,有可能将增强网络攻击者的能力,成为网络威胁的助推器。云安全也需要与时俱新,有新的应对手段。未来面对更复杂的多云环境和攻击手段,还需要云厂商、企业等的共同推动。