新基建快速发展之下,越来越多企业选择上云,云已然成为安全的主战场。继腾讯安全云鼎实验室发布“2021云安全九大趋势”(戳云靶场、实战攻防、前沿趋势...本届云安全挑战赛的看点都在这里)之后,10月26日,腾讯安全联合InfoQ共同举办的云安全趋势研讨会,汇聚中国信息通信研究院云大所云计算部副主任陈屹力、腾讯云安全总经理董志强、腾讯云安全副总经理李滨、普华永道中国区信息安全与隐私保护合伙人万彬、数世咨询创始人李少鹏等来自科研院所、评测机构和一线厂商的专家,围绕“新基建快速发展,将面临哪些新的安全挑战”为主题,共话云上安全未来趋势。
01
一万个企业对上云有一万种担忧吗?
新基建的浪潮下,包括云计算、物联网、5G的新技术已经对我们的生产和生活带来了非常多的影响,观察用户上云过程当中,有什么心得体会?
陈屹力:企业上云归根到底是一个信任的问题,上云会不会带来很大的风险? 伴随着企业上云的步伐加深,企业对于上云的态度也随之改变。从被动变为主动上云,随着企业上云逐步加深,怎么用好云,其实是用户面临的核心的一些问题。
董志强:客户上云的顾虑由初期的“财务”导向已经演变成了现在的“所有权”问题。初期客户上云会担心上云有多少预算、多少投资,决定过去的基础设施建设是不是浪费了;现在更多会考虑所有权的问题,就是资产所有权,包括数据所有权等。
从客户类型上说,头部客户已经有比较好的云应用经验了,包括对云原生的应用。对于腰部客户而言,他们更关注云计算以及云上的工具能不能带来更好的效率提升。
李少鹏:企业上云首先应该把企业分层,不同的企业对于上云态度是不一样的,上云的顾虑主要集中在钱、业务、安全三个方面。
万彬:普华永道通过全球3000多位CSO的调研发现,整个亚太区,预计接下来的三到五年之内,每家企业每年或以25%左右的支出增长,分别投入在云的基础设施,云的安全、云的生态等等;50%的CSO觉得在云上使用最关注的问题是隐私保护和合规。
02
在探索云原生安全的路上
中国走在前列
云原生概念逐渐成熟,以容器、微服务、API等技术为代表的应用逐步落地,生态开始健全,亟需构建云原生安全的标准、规范、最佳实践。但从全球视野的探索步伐来看,中国的厂商已然走在前列。
陈屹力:云原生领域,目前相对来说比较成熟和完善的标准体系已经建立起来了,未来的安全可能是一个非常重要的问题,随着容器大规模的采纳率逐步提升,安全问题需要被重视起来,如果没有安全,那么人们的应用也难以得到保障,创新更无从谈起。
董志强:当问题暴露的足够多的时候,我们发现有一些问题其实是有共性的,今天之所以强调云原生安全,就是希望把安全前置,从根源上解决一些风险和问题。对于腾讯云来说,首先在云基础设施层面上做了一些安全研究,其次在云原生操作系统安全层面上做了一些工作,接着在数据安全、云原生的网络安全等层面都分别做了一些尝试和探索,这些都非常有利于解决一些行业里常见的安全问题。
万彬:目前在全球范围内,云原生安全以及安全前置这些理念在其实都还在探索阶段,如何形成一些标准化的内容,从而为整个行业提供参考,并且起到带头作用。从国内形势看来,优势还是较为突出的,这也是趋势向好的体现之一。
李少鹏:云原生这个词,从虚拟化到容器、serverless,再到现在关注的DevSecOps,本质上都是服务和应用的颗粒化,甚至连计算存储都是越来越颗粒化的。而未来的服务一定是轻量化的,用完即走。在安全这个领域,网络厂商有自己的基础设施,安全厂商也有自己的先天优势,但云厂商一定是云原生的最佳路线。因为硬件的东西是靠后的,软件的、细化的东西才是未来。
03
做好数据安全有哪些新思路?
数据成为新经济核心驱动力,数据的广泛流动和数据价值的增长,做好数据安全也有了全新的抓手。
万彬:在数字化的浪潮之下,数据将成为今后的重中之重。目前看来,多数企业已经站在一个高屋建瓴的角度去看待数据安全。在《网络安全法》推出以后,国内在陆续出台相关的配套法案,这就是一个趋势,国家对于个人信息的保护,国家对业务数据安全的重视度越来越高。另外,企业需要对数据进行比较细致的分类和筛选,之所以很多企业会有上云的顾虑,就是因为他们不清楚哪些数据能够上云,放在什么云上,用什么云产品。未来,当安全发展到一定程度,能够保证数据满足不同企业的不同加密需求,相信应用的宽泛度和应用范围就会越来越广。
陈屹力:企业数据安全方面,第一还是要提高安全意识,从根上来讲,就是安全意识警钟长鸣,可能对你真正做安全相关的一些是有很大帮助的,包括从技术上投入、流程投入、人员规范投入都是有所帮助的。
我们也要培养、建立相应的数据安全治理能力和体系,引导企业逐步在数据安全治理上投入足够的精力,从而构建起企业真正的数据安全体系。
还有一个方面,要从技术积累上构建自身的安全能力,要真正把数据安全治理进行量化或可操作化,这对于企业来说会有很大帮助。
董志强:不管是合规的角度还是从行业的角度来看,未来很可能会从以网络安全为中心转变成以数据安全为中心。如果要面向以数据安全为中心的话,那么为用户提供一套简单、易用的云原生数据安全中台就会变得至关重要,需要从数据的产生、存储、应用、销毁这样一个流程当中培养和建立全程应用加密能力,保证企业的数据安全。
04
软硬件供应链安全如何做起?
先从安全意识提升开始
云时代,开源组件得到广泛应用,分布式异构计算也普遍存在,这就分别带来软、硬件层面的供应链安全风险。云原生安全标准当中非常重要的一个环节就是软硬件供应链的安全,在国际和区域形势变化加剧、网络空间安全对抗剧烈的形势下,底层基础组件的软硬件供应链安全风险问题浮出水面。
李少鹏:未来网络安全建设的基本前提之一就是意识上的转变,目前供应链安全方面还未受到足够的重视。事实上,任何的安全问题都分为两个层面,一个基于网络安全的攻防层面,另一个是业务安全的发展层面。从国家角度来看,供应链安全代表着经济的发展,无供应,不发展。而站在企业的角度,他们更多关注的是谁来保障供应链的安全,不论是在攻防层面还是发展层面,都没有树立一个牢固的意识。对于云上的用户来说,一定要为自身的未来负责。
董志强:业务和安全不一定是齐头并进的,但对于云厂商而言,供应链安全还是非常重要的。腾讯云在这方面做的主要工作就是加强审计,由于在这里进行了持续的投入,腾讯云把供应链过往的那些关注比较少的安全风险基线水平拉高,最终能够极大地保障客户的业务安全。
05
前路漫漫
方兴未艾的DevSecOps将如何发展?
云原生时代的到来催生出降本增效的需求,持续交付和新型软件研发模式的广泛应用,推动了以安全左移、内嵌、自动化为标志的DevSecOps理念及产品的落地,DevSecOps研发运营一体化的概念也随着云原生进入到人们的视野。
陈屹力:从开发、测试到运维,信通院分别制定了一些相应的标准和规范,希望更多人能够重视软件应用全生命周期的安全风险。借助DevSecOps,能够推动产品的研发进展,同时将很多应用场景落地,从而进行量化、规范化。随着技术不断发展和安全形态的持续变化,信通院也在不断地进行迭代更新,以防范未来的安全风险。
万彬:从标准的审计流程看,在上线之前的过程当中会有非常严格的考量标准。现在很多企业的做法是通过灰度的形式,让自身和市场双方逐步扩散的过程当中达到一个安全平衡,有一些问题可以及时处理,以确保业务更快发展和迭代。但是在目前这个云原生的环境下,这样的模式可能也存在一定的弊端,因为在这个模式之下,反馈过程中面临安全风险的几率会比原来大很多,而这时引入DevSecOps这一概念,在每个环节都进行检查,相比于把所有流程堆积在最后一个环节,会好得多。
李少鹏:DevSecOps是并行流,把Sec放在中间就是由于要在每个环节的需求下方设计测试,所以称之为并行流。真正的DevSecOps应该是云原生,但是目前无论对于用户还是厂商,其实更多的实践还是概念上的领先。不过,很多具有云原生能力的服务商、厂商或者科技公司在DevSecOps的应用和落地方面依然取得了不错的成绩。
董志强:DevSecOps不仅仅是一个贯穿了从研发到运维过程的安全模型,还倡导人人为安全负责。实现人人为安全负责,人文、流程和技术是非常重要的影响因素。
首先,人文是指人的安全意识和教育,如果用户未能达成共识,将会大大影响推进的效率和进度。
第二,流程上,要把研发、运维、安全等多条工作线串联在一起,多方协作才能把安全模型变成切切实实的应用。
第三,要在技术层面构建工具链,对于很多中小厂商来说,供应链可自行研发或购买,但是都应该选择行业中一些经得起推敲和考验的产品来构建相应的工具链。以腾讯云平台为例,其自研产品已达到三百多款,且已经产生了较好的实践效果,有利于推动行业的转型和升级,护航产业安全。
06
零信任将成为企业标配吗?
2020是5G元年,如果5G进一步发展和覆盖,将取代传统的链路,形成点对点的连接方式,也可能导致整个传统网络边界或物理边界的消失。基于此,如何做好新形态下的安全防护模型,如何认定人们的数字身份?去年以来,新身份认证技术的模型已经开始出现,零信任概念和技术开始成熟并落地实践。
万彬:在企业的IT架构和管控方面,零信任和身份认证的重要性是越来越强的。零信任的框架是在授权前对任何试图接入企业系统的人/事/物进行验证。从企业数字化转型和IT环境的演变来看,云计算、移动互联的快速发展导致传统内外网边界模糊,企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势。
李少鹏:零信任不是产品,它是一种理念,一种永远怀疑、永远验证的理念。零信任这套体系的基础设施是身份,没有身份什么都谈不上。身份是基石,数据安全是核心,这是我考察这么多企业之后的一个总结,也是第一次提出这个观点。
董志强:过去腾讯在这方面有比较多的实践,通过参考国外零信任理念模型的应用实践,将一些成熟的架构纳入腾讯的模型当中。那么在实际工作的过程中,不管是云平台还是内部办公系统,腾讯的理念相对来说也已经获得了业内的认可,经过多年的应用,基本能够达到可信的要求,研发出可信的应用,并将它串联起来,把整个业务系统的访问权限进行关联。
陈屹力:零信任是一种很好的逆向思维的工程或模型,以前从0到1的构建需要随时对问题进行补充,而现在是假设一切都不安全,那么这种境况如何来应对,这是一个很好的应用思路。
目前,新形态已经突破了云安全的边界,传统的安全边界消失,未来需要通过哪些手段和举措来进行安全问题防治?事实上,零信任已经提供了一个相对成熟的模型或一种经得起推敲的思维体系,未来它能够和技术架构并行发展。
研讨会最后,腾讯云安全副总经理李滨做出了总结发言。他指出,此前发布的《2021云安全九大趋势》正是结合自身安全建设的实践经验和对云安全领域的前瞻研究总结而成的,并希望为当前云安全建设以及技术变革提供新的指南。
未来,腾讯安全还将与生态社区与合作伙伴联动协同,打造“价值共同体”和“责任共同体”,一同推进云上安全建设。在数字化不断转型升级的今天,腾讯安全致力于让更多的云上用户都可以用到腾讯级的安全产品,并与生态伙伴们共同构建“安全的云”,在从容应对未来安全挑战的同时,助力产业稳固发展。
点击【链接】,收看研讨会精彩回放。
推荐阅读: