产业互联网时代的到来,让“云”成为承载企业核心业务和数据的重要载体和输出通道。其中一些企业出于灵活性和业务个性化等方面的考虑,选择了能让业务更加聚焦的专有云。同时,国家也出台了等保2.0标准,针对云计算平台提出了更为严格的安全要求。
专有云场景下安全管理的难点如何应对、重保时期如何布防?等保2.0全面实施对专有云安全管理带来了哪些要求?在不同云环境中,企业应如何打通区隔进行统一管理? 由腾讯安全联合云+社区打造的「产业安全专家谈」第十五期,邀请到了腾讯安全运营中心SOC产品负责人洪春华为大家解答以上问题。
戳下方视频,观看完整版专家经验分享
洪春华:腾讯安全运营中心SOC产品负责人。自2009年加入腾讯以来,先后负责腾讯安全后台海量服务开发、安全运营数据平台研发等工作。目前主要聚焦云安全产品研发,基于多年以来在安全大数据与智能分析领域积累的丰富经验,主导研发了腾讯安全运营中心SOC,为客户提供云时代的高效安全运营服务。
Q1:相较于公有云和私有云,专有云场景下的安全管理工作都有哪些特点和难点?
洪春华:我们看到很多行业和企业因为自身业务发展的需要以及政策法规的要求,采用了专有云方案。对于一个行业或大型企业来说,这个专有云就相当于他们自身的“公有云”,也就是说这朵云采用的是公有云一般开放的形式去服务不同的业务,比如企业的子公司。
那么同理,我们就可以看一下腾讯公有云的安全管理运营模式。首先是平台的安全工作是由云服务商来提供的;而租户安全,基于公有云的“责任共担模型”,租户需要选择云服务商所提供的安全产品和工具来保障自身的安全。当然云服务商也会针对一些严重的、大范围的安全事件提供应急响应服务。
所以,专有云安全管理的难点,主要在于采用专有云的企业能否如上所述一般,构建出一套完整的安全管理模式,这包括专有云平台的安全,是否有充足的团队和资源来保障;以及租户安全保障,每个子公司、下属单位的业务都有差异,其中的职责和权限都需要探讨。
Q2:针对专有云安全的防护难点,企业应该做出哪些改进?
洪春华:先举个反例,我们遇到很多企业客户会把传统安全产品和设备,比如防火墙、IPS(入侵防护系统)直接照搬到云上,这种方式局限性很大,非常的不“云”。云服务的典型特定有弹性、动态性,而传统的这种方式很难弹性扩展、更难以防护动态变化的资源,容器化等更是加剧了这种场景。
针对这专有云的这些问题,我建议企业需要用云的方式来解决云上的安全问题。借助云的特性构建弹性可扩展的安全防护体系,采用“端、管、云”的安全管理策略来进行管理。这里的端就是我们的主机安全部分,管则是要从流量侧发现安全问题,最后再把端和管的数据汇总到云上的安全运营中心做统一的分析和管理。
至于传统安全产品“水土不服”的情况,我建议可以考虑一些适用于云环境的产品来弥补传统产品的不足。比如强调行为分析和异常检测的NTA(高级威胁检测系统沙箱+探针),或是融合了大数据智能分析、安全编排、自动化响应和安全可视化这些功能于一体的专有云安全运营中心(下称专有云SOC),通过这些产品都能有效提升企业云上的安全水平。
最后,前面提到的平台租户责任划分和多级管理的问题,可以采用多租户安全运营模式,让下属的单位也参与到安全运营的工作中来,在专有云内实现责任共担,让下属单位自理安全运营、总部负责监管,这样就能从根本上解决问题。
Q3:针对不同行业的专有云用户,如政府机构、金融行业、传媒行业等,专有云的安全防护有没有差异点?
洪春华:不同的行业,根据自身业务模式的不同,对于安全防护的需求也是不一样的。以广电行业大型国企的情况为例,企业的媒体内容制作生产的过程中,对安全的需求是非常高的。
比如在制作一部网络视频作品时,首先会把录制组拍好的视频素材储存到内部偏私有云的环境中,交给制作组进行编辑制作;作品完成后,会被转移到专有云中另外负责对外输出的端口上,通过公有云上的CDN,也就是内容分发网络发送给观众。
这个过程不仅涉及了多个业务部门的协同工作,还包含了专有云+公有云的混合云架构。这就要求企业的安全管理部门在进行安全管理工作时,要把多云安全管理工作融合在一起,再通过态势感知功能,对专有云内部的安全态势、平台态势、业务态势进行一个统一的管理,构建“混合云态势感知平台”。
Q4:在专有云安全管理工作中,AI发挥了怎样的作用?
洪春华:在安全管理工作中,AI主要的作用是对安全事件进行识别和自动化分析,即提高安全事件的发现能力和处理效率。
一方面AI能够通过异常检测、时序分析这些方法,从大量的网络活动中检测出风险行为。
另一方面,考虑到那些使用专有云的企业,安全管理部门每天收集到的安全事件的数据量是非常大的。我们的专有云SOC中就集成了基于 AI 的自动化分析功能,以辅助提升专有云的安全管理效率和自动化程度。具体来说,通过机器学习、自然语言处理等技术构建安全知识图谱,再以这个图谱为基准,从大量的安全告警中摘出重点攻击活动、发现新型攻击方式并通报给运营人员,提升他们的分析、响应的速度。
除此之外,AI还会自动学习和记录运营人员对安全事件的处置方法,未来再遇到同样的安全事件时,会基于过往积累的经验给出安全处置建议,也在一定程度上降低了对安全运营人员的专业水平的要求。
Q5:为抵御外部攻击,很多企业购买了大量安全产品,这样可以完全防范外来的网络攻击吗?重保时期外部网络攻击尤为集中,腾讯安全在这方面有什么解决方案?有哪些实际案例?
洪春华:企业在构建专有云时购买多种如NIPS(网络入侵防护系统)、IDS(入侵检测系统)这样的安全产品并部署到云中,这其实是一个非常普遍的现象。
虽然多种安全产品叠加确实可以保护云环境的安全,但是在遭到外部攻击时,会产生大量安全告警信息,最终形成“告警风暴”,而真正值得注意的信息则淹没在风暴之中。不仅会降低工作效率,还会让真正具有威胁的网络攻击趁虚而入,让整个专有云环境安全都受到威胁。
重保时期对于安全告警处理效率的要求会很高,而这个效率又分为检测和响应两个部分。检测效率,体现在NTA(高级威胁检测系统沙箱+探针)和主机端对于安全威胁检测的速度上;响应效率就要求对那些检测出来的安全威胁要进行快速阻断。而为了保障重保时期的云安全,这两个效率需要一个统一的大脑,也就是专有云SOC来进行统一分析调度来保证安全防护工作的顺利进行。
去年某大型国有银行的重保项目中,我们的安全运营中心就充分发挥了这方面的优势,与腾讯天幕等安全团队形成联动,为客户抵御住了所有攻击,取得0失分的好成绩。
Q6:一些大型企业旗下的分公司,或是总部中的分部门,都会根据自身业务需要设置不同的云环境。在这种情况下,总部的安全管理部门要如何进行统一管理?
洪春华:这种情况是大型企业都会遇到的问题,无论是多级架构还是多租户架构,总部的安全管理部门都要面临如何兼顾自身和下级的安全运营工作的难题。通常情况下,因为不同层级的安全管理的目的都不一样,所汇聚、分析的数据和结果唯独也会存在差异。所以在这种情况下,安全管理需要能够支持多级管理。
也就是说,分公司的安全运营工作由该公司的运维人员独立负责,定时将该公司的安全状态上报给总部;总部的安全管理部门会根据情况来决定是需要进行汇聚分析,还是只需要进行整体性的态势监控。
Q7:随着智慧城市建设工作的逐步推进,城市的安全运营工作也越来越受到重视。智慧城市的安全管理工作是如何开展的?有哪些已经落地的实际案例吗?
洪春华:智慧城市是我们非常重要的业务板块之一。智慧城市的安全管理工作一共分为两大部分,一方面需要保证智慧城市建设过程中,政务云及其搭载业务的安全;另一方面,需要结合政府各个部门的业务需求,保障其下属部门或机构的信息安全。
所以在智慧城市建设的过程中,我们需要契合城市级安全运营中心对于检测智慧城市安全风险、分析安全态势等这些专业性要求,构建城市的“安全中台”;同时还要结合各个委办局的需求来做行业的态势感知。
以卫健委的合作项目为例,安全运营中心根据卫健委的需求,对各个医院的网络流量进行分析汇总,并投放到卫健委安全管理部门的大屏上,方便安全运维人员实时掌握各个医院的安全态势。
还有就是在疫情期间,有很多类似健康码的小程序被分别部署在各个云平台上。针对这种情况,安全运营中心会将各个云平台的安全管理工作进行融合,并通过态势感知的功能实现对各个平台安全运营工作的统一管理。
Q8:除了现实的需求外,政策和法规上是否也对专有云的安全管理提出了新的需求?企业需要怎么做才能达到合规标准呢?
洪春华:等保2.0涉及的范围比较大,但基本上都是围绕着“一个中心,三重防护”展开的。其中“一个中心“指的就是我们一直提到安全管理中心。对于企业来说,等保合规的先决条件就是要有一个安全管理中心。
好的安全管理中心不止要满足等保2.0中的要求,还要构建针对等保合规技术项的持续检测分析,让企业安全运维人员能够随时了解到当前的合规情况、目前的不足和如何完善。所以,对于企业来说安全管理中心并不仅仅是一个合规项,还应该是一个帮助企业实现持续合规的自动化工具。