云計(jì)算的發(fā)展給安全產(chǎn)業(yè)帶來了哪些顛覆性的改變？

　　云計(jì)算的出現(xiàn)徹底改變了傳統(tǒng)企業(yè)IT結(jié)構(gòu)和整個(gè)IT產(chǎn)業(yè)，伴生在其上的云安全也面臨著非常多的新問題，需要用新的安全管理思路和技術(shù)手段來應(yīng)對(duì)。但從現(xiàn)實(shí)情況來看，大部分企業(yè)的理念和技術(shù)方法還停留在傳統(tǒng)IT時(shí)代，很多企業(yè)只是把云當(dāng)成更大的服務(wù)器集群來用，并沒有認(rèn)識(shí)到云所帶來的從底層技術(shù)上的本質(zhì)性變革。理念的差異最直接的后果就是安全管理水平的滯后，會(huì)產(chǎn)生非常多的安全問題。

　　本文中，我們將根據(jù)自身云平臺(tái)安全建設(shè)以及云租戶安全運(yùn)營(yíng)實(shí)踐出發(fā)，圍繞云計(jì)算給IT產(chǎn)業(yè)帶來了什么變化、企業(yè)在安全建設(shè)上的新挑戰(zhàn)，以及我們有哪些應(yīng)對(duì)之道和術(shù)，闡述相應(yīng)觀察。 

　　一、云計(jì)算到底給IT產(chǎn)業(yè)帶來了哪些本質(zhì)的變化，相應(yīng)的安全變化是什么？

　　1.安全管理模型的變化。傳統(tǒng)安全領(lǐng)域里，IT資產(chǎn)的所有權(quán)和設(shè)備的控制權(quán)基本是一致的，誰使用誰購(gòu)買誰擁有誰管理，比如原來一個(gè)企業(yè)一年有1億的IT預(yù)算，包含有40多個(gè)系統(tǒng)，其中有歸屬于財(cái)務(wù)部門的ERP，有歸屬于人力資源部門的HRM等等，這些權(quán)責(zé)分明的子系統(tǒng)共同構(gòu)建形成企業(yè)內(nèi)部的大的IT網(wǎng)絡(luò)，它的成本模型和組織歸屬是一致的，哪個(gè)部門采用了什么軟件系統(tǒng)、用什么解決方案、有哪些網(wǎng)絡(luò)支撐這些系統(tǒng)、部署在什么位置，所有權(quán)和使用權(quán)都有明確的歸屬，物理邊界非常清晰，這個(gè)時(shí)候大家很容易去做安全的解決方案。但是在云計(jì)算里面資產(chǎn)大部分時(shí)候是“租用”，資產(chǎn)的所有權(quán)、控制權(quán)以及企業(yè)在選擇服務(wù)和產(chǎn)品和技術(shù)模型上面產(chǎn)生了巨大的變化。這雖然不是安全本身的問題，但對(duì)安全系數(shù)的選擇以及安全的發(fā)展產(chǎn)生了巨大的影響，這是今天在云時(shí)代做安全建設(shè)面臨的最大的問題。

　　2.計(jì)算內(nèi)容和技術(shù)的變化。一方面是算力的變化，一方面是數(shù)據(jù)量的變化，這兩個(gè)問題導(dǎo)致傳統(tǒng)的安全機(jī)制在云上不適用。算力方面以最簡(jiǎn)單的安全技術(shù)——數(shù)據(jù)加密技術(shù)，20年前一臺(tái)標(biāo)準(zhǔn)的服務(wù)器上面破解MD5的次數(shù)基本是每秒幾千次到萬次左右，所以MD5在20年前算是比較安全的算法，但是今天一臺(tái)普通的臺(tái)式機(jī)通過GPU加速的技術(shù)破解MD5的加密速度已經(jīng)達(dá)到每秒鐘55億次以上，算力上面比過去已經(jīng)提高了上千萬倍都不止，導(dǎo)致傳統(tǒng)看似安全的機(jī)制由于算力的大幅提升而失效。另外一方面是數(shù)據(jù)量的增大，每年的數(shù)據(jù)量都以倍數(shù)甚至十倍數(shù)的數(shù)量在增長(zhǎng)，對(duì)安全機(jī)制會(huì)產(chǎn)生影響，仍然以安全加密技術(shù)為例，加密技術(shù)如果是一個(gè)小數(shù)量，加密的時(shí)間、成本和性能的影響可以忽略不計(jì)，如果到T級(jí)、P級(jí)，加密時(shí)長(zhǎng)要達(dá)到幾分鐘甚至幾個(gè)小時(shí)甚至幾天的時(shí)候，在實(shí)際的業(yè)務(wù)運(yùn)行環(huán)境中是完全不能接受的。

　　3.基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)的變化。云時(shí)代導(dǎo)入了非常多的新技術(shù)，比如扁平化的架構(gòu)、虛擬化技術(shù)的應(yīng)用，以及普遍存在的分布式機(jī)構(gòu)、異構(gòu)計(jì)算、服務(wù)的抽象化等等，這些技術(shù)都會(huì)導(dǎo)致我們?cè)谶M(jìn)行安全分析時(shí)，不管是在攻擊面還是攻擊路徑的分析上都會(huì)呈現(xiàn)更復(fù)雜的狀態(tài)。 傳統(tǒng)的IT建設(shè)周期很長(zhǎng)，可能是以半年甚至年為單位，服務(wù)器采購(gòu)硬件背后到貨的時(shí)間是1-3個(gè)月，軟件系統(tǒng)建設(shè)周期基本上是半年到幾年時(shí)間，系統(tǒng)的整個(gè)生命周期是幾年到幾十年的時(shí)間。面對(duì)5-10年長(zhǎng)周期的系統(tǒng)，我們的安全建設(shè)可能是按一年的周期來做一次整體的風(fēng)險(xiǎn)評(píng)估，評(píng)估整個(gè)IT系統(tǒng)的風(fēng)險(xiǎn)，然后按月為單位做漏洞掃描，以月或者季度為單位進(jìn)行系統(tǒng)的補(bǔ)丁管理——有相應(yīng)非常嚴(yán)格的流程，可以按部就班進(jìn)行滾動(dòng)周期的管理。 

　　但是在今天的計(jì)算環(huán)境里面，我們面臨的是一個(gè)非常高速、持續(xù)變化的環(huán)境。舉個(gè)例子，Serverless技術(shù)的應(yīng)用帶來的結(jié)果是，今天在云上面基本上拉起一個(gè)Servesless應(yīng)用的時(shí)間是3毫秒，而一個(gè)Serverless實(shí)例最短生命周期是100毫秒，如果是一個(gè)運(yùn)行這樣的函數(shù)的實(shí)例存在漏洞，被攻陷、被入侵，那整個(gè)攻擊事件的生命周期是百毫秒的級(jí)別，在云上有大量應(yīng)用這樣的技術(shù)，每秒都有大量的實(shí)例被拉起、迅速消亡，可能惡意代碼攻擊就在其中流轉(zhuǎn)消除；如果沒有新的技術(shù)進(jìn)行監(jiān)控和防范，可以說傳統(tǒng)的靜態(tài)的或者長(zhǎng)周期的機(jī)制是完全失效的，所以今天我們面臨的是動(dòng)態(tài)迅速變化的生命周期模型，面臨著持續(xù)性對(duì)抗的環(huán)境。 

　　二、外部環(huán)境變化給企業(yè)安全建設(shè)帶來的新挑戰(zhàn)

　　 全球各地網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)的標(biāo)準(zhǔn)也逐漸趨嚴(yán)，以GDPR的發(fā)布為標(biāo)志性事件，之后的幾年間國(guó)際國(guó)內(nèi)陸續(xù)出臺(tái)了很多重磅的網(wǎng)絡(luò)安全相關(guān)的法律，國(guó)內(nèi)的《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》都是在2021年出臺(tái)的。近年來的各種法律，對(duì)于網(wǎng)絡(luò)安全責(zé)任主體的界定已經(jīng)很明晰，《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》明確規(guī)定企業(yè)需要承擔(dān)網(wǎng)絡(luò)安全的主體責(zé)任。 

　　這個(gè)是法律層面的挑戰(zhàn)，就技術(shù)層面本身，云計(jì)算導(dǎo)入的新技術(shù)給帶來了新的生產(chǎn)力，不少傳統(tǒng)企業(yè)在云計(jì)算時(shí)代也實(shí)現(xiàn)了快速的發(fā)展。但技術(shù)進(jìn)步這枚“硬幣”的另一面是新的挑戰(zhàn)，從我們安全從業(yè)者視角，云是一個(gè)“大蜜罐”，海量的數(shù)據(jù)和業(yè)務(wù)在云上，必然招攬一些黑產(chǎn)和攻擊者。 

　　過去幾年可以看到幾個(gè)安全威脅的大趨勢(shì)。首先在威脅主體上，專業(yè)化、APT的組織越來越多，2020年美國(guó)的一份報(bào)告顯示，現(xiàn)在全球范圍內(nèi)具備國(guó)家級(jí)別攻擊力量的黑客組織大概有40多個(gè)，往下還有無政府主義黑客、商業(yè)間諜、有組織犯罪，在國(guó)內(nèi)，黑灰產(chǎn)是整個(gè)商業(yè)攻擊事件的主流。這些威脅主體有更高深的技術(shù)以及武器和組織能力；在受攻擊目標(biāo)上面，各個(gè)層次分布得更廣泛，國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)的商業(yè)數(shù)據(jù)、個(gè)人的敏感信息等等，都成為了攻擊的標(biāo)的。數(shù)實(shí)融合潮流勢(shì)不可擋，借助數(shù)字化獲得更好的發(fā)展已經(jīng)企業(yè)發(fā)展必由之路，但前提是必須要做好安全體系，其數(shù)字化發(fā)展才穩(wěn)定、可預(yù)期。 

　　我們?cè)谠破脚_(tái)建設(shè)和幫客戶建設(shè)云安全的過程中，都發(fā)現(xiàn)這個(gè)行業(yè)面臨非常大的缺口：資源的缺口、人力的缺口——人力的缺口既體現(xiàn)在絕對(duì)人數(shù)的缺口，也表現(xiàn)在缺乏有足夠?qū)I(yè)技術(shù)的專家。在近幾年，我國(guó)各個(gè)領(lǐng)域建立起了數(shù)千朵各種規(guī)模的云，每一朵云常規(guī)的安全運(yùn)營(yíng)——比如常規(guī)的風(fēng)險(xiǎn)評(píng)估、漏洞掃描、日常監(jiān)控等等——需要的有攻防實(shí)戰(zhàn)經(jīng)驗(yàn)的專業(yè)人力是30人左右，僅在云安全運(yùn)營(yíng)領(lǐng)域，這已經(jīng)遠(yuǎn)遠(yuǎn)超出了目前云安全行業(yè)的服務(wù)供給能力。 

　　三、當(dāng)前網(wǎng)絡(luò)安全產(chǎn)業(yè)供需不對(duì)等，需要如何解決？

　　 面臨云安全領(lǐng)域的若干制約，產(chǎn)品的制約、技術(shù)的制約、人力缺口的制約、思路和架構(gòu)上的制約，怎么解決這個(gè)問題？我們認(rèn)為，在今天的時(shí)代，安全一定要有“戰(zhàn)爭(zhēng)思維”，戰(zhàn)爭(zhēng)是動(dòng)態(tài)變化的，戰(zhàn)爭(zhēng)一定會(huì)有損失、一定會(huì)有取舍，“萬無一失”是不現(xiàn)實(shí)的，所以今天我們的安全思路應(yīng)該是用比較合理的投入取得最大化的效果，把整個(gè)水位線提升到一定高度。

　　 戰(zhàn)爭(zhēng)思維下的安全管理的基本原則是兩個(gè)：

　　一，要解決的是普遍性問題，不能讓低級(jí)漏洞影響安全性，造成企業(yè)的損失；

　　二，不出重大安全事故，保證安全在一個(gè)足夠的水平線上。要完成這兩個(gè)原則，全靠人驅(qū)動(dòng)是不現(xiàn)實(shí)的，首先是沒有足夠多的人力、沒有足夠多的專業(yè)人士，其次，人都是會(huì)懈怠、會(huì)疏忽的。 

　　基于上述理解，以及過去幾年騰訊在云平臺(tái)上的實(shí)踐經(jīng)驗(yàn)和儲(chǔ)備，今天我們推出了新的理念：基于云原生的安全托管服務(wù)。過去的幾年運(yùn)營(yíng)中我們積累了大量的云原生系統(tǒng)自動(dòng)化工具，保證逐個(gè)解決微小的問題，最終把絕大多數(shù)的風(fēng)險(xiǎn)面通過這樣的工具消除，最終通過數(shù)據(jù)驅(qū)動(dòng)、危險(xiǎn)情報(bào)的共享、自動(dòng)化的工作引擎，形成云平臺(tái)安全服務(wù)的核心引擎，所以最終在安全服務(wù)上面我們劃分為三個(gè)等級(jí)：

　　 第一、低級(jí)事件的對(duì)抗和消減，今天在云上每天會(huì)有億級(jí)以上的批量漏洞掃描事件，如果是客戶的話，不可能每天去響應(yīng)這么大量的事件，每天去看有多少人在掃描口令，有多少人入侵，但這些都會(huì)消耗大量的人力，如果你不管的話，會(huì)造成影響足夠影響級(jí)別的重要事件，應(yīng)該會(huì)更大。這種就通過云平臺(tái)層面，第一層的風(fēng)險(xiǎn)消除機(jī)制消除掉，就是整個(gè)運(yùn)營(yíng)平臺(tái)的批量機(jī)制，這也是免費(fèi)給所有用戶提供的。 

　　第二、通過自動(dòng)化引擎、數(shù)據(jù)的分析和情報(bào)的驅(qū)動(dòng)定向消除某一個(gè)大類的快速閉環(huán)，通過自動(dòng)化消減大量的人力需求，比如系統(tǒng)加固，風(fēng)險(xiǎn)的評(píng)估，常規(guī)安全事件的分析和處置，都通過自動(dòng)化消減。

　　 第三、把核心的人力集中做安全人員應(yīng)該做的事情上，比如架構(gòu)怎么設(shè)計(jì)更合理、代碼怎么開發(fā)、企業(yè)應(yīng)該怎么構(gòu)建流程、怎么應(yīng)對(duì)高等級(jí)的合規(guī)需求，這才是真正的安全人才發(fā)揮價(jià)值的地方。 

　　今天在這三個(gè)層面上，我們的能力積累基本成熟，去年開始，我們逐漸把一系列的云平臺(tái)內(nèi)生能力以及自動(dòng)化工具和流程、專家服務(wù)整合起來，推出了云原生的安全托管服務(wù)（MSS），讓我們的云上用戶在業(yè)務(wù)發(fā)展過程中不需要考慮太復(fù)雜的安全技術(shù)問題，不需要太多的人員投入，以相對(duì)可控的成本獲得安全價(jià)值最大化，這是我們做的云原生安全托管服務(wù)的初衷以及現(xiàn)在正在做的事情。目前，在很多企業(yè)的重保場(chǎng)合和日常安全值守過程中，MSS都發(fā)揮了很大的價(jià)值。 

　　對(duì)比傳統(tǒng)的服務(wù)模式，安全托管服務(wù)對(duì)于需要多少成本、多少人力、多少時(shí)間資源是可以看到的，我們最終希望實(shí)現(xiàn)安全廠商和客戶雙方的資源和成本優(yōu)化，給企業(yè)的安全建設(shè)“減負(fù)”，讓企業(yè)把重心和思考放在業(yè)務(wù)上。

（作者：李濱）