騰訊安全董志強(qiáng):用云原生安全鑄造產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的堅(jiān)實(shí)底座
12月19日,2020 Techo Park開發(fā)者大會(huì)在北京舉辦,騰訊云首席安全官董志強(qiáng)出席并發(fā)表了以《用云原生安全鑄造產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的堅(jiān)實(shí)底座》為主題的演講。他表示,云計(jì)算已成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來(lái)數(shù)字化變革的主要載體,而云上的安全服務(wù)也應(yīng)該像云一樣,讓客戶能夠開箱即用、按需索取、按量付費(fèi)。云時(shí)代的網(wǎng)絡(luò)安全將面臨四大挑戰(zhàn):第一,算力提升和數(shù)據(jù)量的變化,會(huì)導(dǎo)致原有的風(fēng)險(xiǎn)模型和安全機(jī)制面臨新的挑戰(zhàn);第二
2020-12-19 18:19:23
來(lái)源:釘科技??

12月19日,2020 Techo Park開發(fā)者大會(huì)在北京舉辦,騰訊云首席安全官董志強(qiáng)出席并發(fā)表了以《用云原生安全鑄造產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的堅(jiān)實(shí)底座》為主題的演講。他表示,云計(jì)算已成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來(lái)數(shù)字化變革的主要載體,而云上的安全服務(wù)也應(yīng)該像云一樣,讓客戶能夠開箱即用、按需索取、按量付費(fèi)。

image.png

云時(shí)代的網(wǎng)絡(luò)安全將面臨四大挑戰(zhàn):第一,算力提升和數(shù)據(jù)量的變化,會(huì)導(dǎo)致原有的風(fēng)險(xiǎn)模型和安全機(jī)制面臨新的挑戰(zhàn);第二,原來(lái)以硬件為核心的防御架構(gòu),無(wú)法應(yīng)對(duì)基于云計(jì)算出現(xiàn)的新風(fēng)險(xiǎn);第三,云計(jì)算環(huán)境下,攻防對(duì)抗變成了動(dòng)態(tài)且持續(xù)變化;第四,由于云的導(dǎo)入,企業(yè)管理經(jīng)營(yíng)上面也會(huì)引發(fā)安全技術(shù)和安全機(jī)制的一定變化。未來(lái)的安全建設(shè)要契合云計(jì)算的特點(diǎn),將安全前置,而云原生安全是應(yīng)對(duì)未來(lái)安全問(wèn)題的高效手段。 

騰訊安全基于多年來(lái)的研究與實(shí)踐經(jīng)驗(yàn),分別從云原生安全治理、云原生數(shù)據(jù)安全、云原生應(yīng)用安全、云原生計(jì)算安全、以及云原生網(wǎng)絡(luò)安全等層面,全面構(gòu)建了騰訊云原生安全防護(hù)體系。

未來(lái),騰訊安全將進(jìn)一步通過(guò)云原生的方式持續(xù)開放騰訊級(jí)的安全能力,為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個(gè)堅(jiān)實(shí)的安全底座,讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代數(shù)字化升級(jí)帶來(lái)的便利,讓安全不再成為數(shù)字化經(jīng)濟(jì)發(fā)展的掣肘。

以下是董志強(qiáng)演講全文:

大家好,很高興今天能在Techo Park的現(xiàn)場(chǎng)和各位開發(fā)者交流關(guān)于云安全相關(guān)的技術(shù)趨勢(shì)和現(xiàn)狀。我想和大家聊一聊騰訊安全關(guān)于云原生安全的一些理解和實(shí)踐。

目前基于云計(jì)算的各種工具、解決方案非常多,迭代速度也相當(dāng)快。云和各行各業(yè)的連接越來(lái)越緊密,成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來(lái)數(shù)字化變革的主要載體。這個(gè)行業(yè)也已經(jīng)成長(zhǎng)為幾千億美元的規(guī)模。這肯定是一個(gè)共識(shí),即便是傳統(tǒng)企業(yè),對(duì)云的接受度也非常的高。那么云計(jì)算的高速發(fā)展,對(duì)于IT建設(shè)和安全防護(hù)帶來(lái)了哪些影響呢?

各位都是IT領(lǐng)域、安全行業(yè)的從業(yè)者,大家都知道,過(guò)去進(jìn)行IT建設(shè)周期很長(zhǎng),從選型、測(cè)試、采購(gòu)、上線、交付一系列流程,傳統(tǒng)企業(yè)里面如果要新購(gòu)一個(gè)服務(wù)器一般要一個(gè)半月到三個(gè)月,再加上裝操作系統(tǒng),要測(cè)試上線、做系統(tǒng)配置,要做聯(lián)調(diào)等等,周期非常長(zhǎng)。而現(xiàn)在,騰訊云里面購(gòu)買新的虛擬主機(jī),五分鐘之內(nèi)系統(tǒng)就能上線。而使用近兩年大熱的云原生容器技術(shù),幾秒鐘就能創(chuàng)建上線。Serverless無(wú)服務(wù)器化運(yùn)行,把這個(gè)時(shí)間縮短到了以百毫秒為單位。這樣的變化對(duì)整個(gè)安全又帶來(lái)什么影響?

根據(jù)騰訊云和騰訊安全多年的研究與實(shí)踐經(jīng)驗(yàn),我們認(rèn)為第一個(gè)挑戰(zhàn)是算力提升和數(shù)據(jù)量的變化,會(huì)導(dǎo)致原有的風(fēng)險(xiǎn)模型和安全機(jī)制面臨新的挑戰(zhàn)。這個(gè)其實(shí)很好理解,大家不妨回憶一下,同樣是破解MD5加密算法,20年前一臺(tái)一萬(wàn)美元左右的服務(wù)器,每分鐘能破解2000多次,但現(xiàn)在一塊云上通常使用的GPU芯片,成本也是一萬(wàn)美元左右,卻能做到每分鐘55億次。也就是說(shuō)同樣成本下,我們的算力提升了2300萬(wàn)倍,很多原來(lái)安全的算法在今天已經(jīng)不再安全。與此同時(shí),存儲(chǔ)成本也在飛速下降,存儲(chǔ)的數(shù)據(jù)量卻爆炸式的增長(zhǎng),同樣也會(huì)對(duì)我們?cè)瓉?lái)機(jī)制的有效性帶來(lái)挑戰(zhàn)。

第二個(gè)挑戰(zhàn)是原來(lái)以硬件為核心的防御架構(gòu),沒(méi)法應(yīng)對(duì)基于云計(jì)算出現(xiàn)的新風(fēng)險(xiǎn)。在云上的整個(gè)架構(gòu)變化會(huì)非常復(fù)雜,比如今天在騰訊云上面運(yùn)行了超過(guò)100萬(wàn)臺(tái)的物理服務(wù)器,上千萬(wàn)以上的虛擬機(jī),這組成了一個(gè)非常復(fù)雜的系統(tǒng)。導(dǎo)致今天在云上的攻擊面、風(fēng)險(xiǎn)面比以前任何時(shí)候更復(fù)雜。原來(lái)傳統(tǒng)的IT架構(gòu),它的物理架構(gòu)和邏輯架構(gòu)是統(tǒng)一的,我們只用考慮在哪里放個(gè)防火墻,在哪插個(gè)盒子,但是這種做法在云上面正在失效。

第三是攻防對(duì)抗變成了動(dòng)態(tài)且持續(xù)變化的。剛剛其實(shí)我就提到過(guò),現(xiàn)在整個(gè)IT系統(tǒng)的生命周期發(fā)生了很大的變化。相應(yīng)的,我們進(jìn)行運(yùn)維防護(hù)的節(jié)奏也要進(jìn)行調(diào)整。傳統(tǒng)的以年為周期進(jìn)行安全規(guī)劃,以季度為單位進(jìn)行漏洞掃描的節(jié)奏已經(jīng)不適用了。因?yàn)樵谠朴?jì)算環(huán)境下,攻擊的發(fā)生被縮短到秒級(jí),我們處于持續(xù)的風(fēng)險(xiǎn)對(duì)抗環(huán)境中。

第四企業(yè)管理經(jīng)營(yíng)上面,由于云的導(dǎo)入,在資產(chǎn)的所有權(quán)、數(shù)據(jù)的購(gòu)置權(quán)和企業(yè)經(jīng)營(yíng)的成本模型上發(fā)生非常大的變化,也會(huì)導(dǎo)致云上很多的安全技術(shù)、安全機(jī)制有一定的變化。

聊完云時(shí)代的變化帶來(lái)的安全挑戰(zhàn),我們會(huì)發(fā)現(xiàn)原來(lái)打補(bǔ)丁式的安全思路現(xiàn)在已經(jīng)不適用了。未來(lái)的安全建設(shè)要契合云計(jì)算的特點(diǎn),應(yīng)該是具有彈性的,隨時(shí)能夠跟著服務(wù)器體量的變化擴(kuò)容或者收縮;并且要能完成自我循環(huán),做到自適應(yīng)、可迭代,在云上就能完成升級(jí),而不需要花費(fèi)大量時(shí)間、人力和資金成本去更新硬件設(shè)備。同時(shí),云上的安全服務(wù)也應(yīng)該像云計(jì)算一樣,讓客戶能夠開箱即用、按需索取、按量付費(fèi)。

這就是云原生安全的價(jià)值所在,將安全前置,原生在云上是應(yīng)對(duì)未來(lái)安全問(wèn)題的高效手段。

針對(duì)過(guò)去的數(shù)據(jù),未來(lái)的趨勢(shì),技術(shù)發(fā)展方向和產(chǎn)業(yè)方向進(jìn)行分析后,我們騰訊安全的云原生安全建設(shè)主要圍繞以下幾個(gè)方面展開。

首先是云原生安全治理,包括對(duì)身份治理、風(fēng)險(xiǎn)治理、數(shù)據(jù)治理幾個(gè)方面的研究。整個(gè)安全治理體系,分為了風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)、響應(yīng)及恢復(fù)、持續(xù)運(yùn)營(yíng)幾個(gè)重要的部分。

然后是云原生數(shù)據(jù)安全,未來(lái)數(shù)據(jù)量越來(lái)越大,如果按傳統(tǒng)的方式去構(gòu)建數(shù)據(jù)安全,它的鏈條非常長(zhǎng),從前端的數(shù)據(jù)發(fā)現(xiàn)到數(shù)據(jù)的加密,還涉及到一系列軟件、硬件、網(wǎng)絡(luò)的加密,到數(shù)據(jù)的審計(jì)以及數(shù)據(jù)的泄漏監(jiān)控,整個(gè)鏈條里面可能涉及到二三十種產(chǎn)品。如果在云上讓一個(gè)用戶部署這么多產(chǎn)品,去管理非常復(fù)雜。我們通過(guò)打造端到端的云原生數(shù)據(jù)安全中臺(tái),逐步把所有數(shù)據(jù)安全的設(shè)施、技術(shù)、產(chǎn)品全部納入到云本身里面去。從數(shù)據(jù)的發(fā)現(xiàn)和治理、數(shù)據(jù)的加密和保護(hù),數(shù)據(jù)的脫敏、數(shù)據(jù)的審計(jì)等等基本的全生命周期的數(shù)據(jù)安全服務(wù)都是以云原生方式給客戶提供。

接下來(lái)是云原生應(yīng)用安全,這一層主要包括對(duì)安全開發(fā)、安全測(cè)試和應(yīng)用安全防護(hù)的研究。在開發(fā)方面,我們一直致力于推行DevSecOps,將安全貫穿開發(fā)生命周期。由于容器的發(fā)展,對(duì)于API的調(diào)度成為了云原生時(shí)代最核心的特征之一,所以對(duì)API的安全防護(hù)也是我們研究的重點(diǎn)。

在云原生計(jì)算安全層面,容器的安全是我們最為關(guān)注的要點(diǎn)之一,通過(guò)硬件虛擬化隔離、容器隔離、加密容器運(yùn)行環(huán)境等辦法,對(duì)容器進(jìn)行安全管理,保障容器在運(yùn)行時(shí)的安全。

最后是云原生網(wǎng)絡(luò)安全層面,這里我們不僅給云上的客戶提供SAAS化的云網(wǎng)絡(luò)安全產(chǎn)品,并且通過(guò)云網(wǎng)絡(luò)邊界的治理和融合云原生防火墻等方式來(lái)保障云的網(wǎng)絡(luò)安全。

目前騰訊安全的云原生安全研究和建設(shè)就是圍繞以上幾個(gè)層面展開,并且我們已經(jīng)取得了一些實(shí)踐成果。首先給大家展示一下我們的云原生安全防護(hù)體系。

疫情期間,大量的企業(yè)被迫加速數(shù)字化升級(jí),全國(guó)的用云量大規(guī)模增長(zhǎng),即使對(duì)于騰訊這樣生長(zhǎng)在互聯(lián)網(wǎng)上的企業(yè),也是一次全新的挑戰(zhàn)。

為了盡快復(fù)產(chǎn)復(fù)工、恢復(fù)經(jīng)濟(jì)活力,居家網(wǎng)上辦公、線上展會(huì)、直播帶貨等依托互聯(lián)網(wǎng)的數(shù)字經(jīng)濟(jì)形勢(shì)涌現(xiàn)。

作為一款主打線上視頻會(huì)議功能的產(chǎn)品,騰訊會(huì)議在此期間用戶規(guī)模高速增長(zhǎng)。產(chǎn)品迅速擴(kuò)容的同時(shí),也對(duì)安全防護(hù)提出了更高的要求。如何保障網(wǎng)絡(luò)服務(wù)的穩(wěn)定、如何確保用戶會(huì)議內(nèi)容的數(shù)據(jù)安全等等,都需要快速跟進(jìn)。

如果用傳統(tǒng)的打補(bǔ)丁的安全思路,我們很難跟上產(chǎn)品用戶規(guī)模增長(zhǎng)的速度,但是在騰訊會(huì)議的產(chǎn)品設(shè)計(jì)階段我們的安全團(tuán)隊(duì)就參與其中,真正將安全體系內(nèi)置在里面,讓安全能力能夠跟著產(chǎn)品一起升級(jí),成功的保障了騰訊會(huì)議在疫情期間的大規(guī)模應(yīng)用。這就是一種典型的云原生安全思路的體現(xiàn)。

我們不僅用云原生的安全體系來(lái)防護(hù)我們自己的產(chǎn)品,我們也把這樣的能力通過(guò)騰訊云開放給客戶,來(lái)保障客戶的安全。

首先是在云原生安全治理方面,我們進(jìn)行了從風(fēng)險(xiǎn)識(shí)別、到風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)、再到響應(yīng)與恢復(fù),以及持續(xù)運(yùn)營(yíng)一系列的治理體系,將騰訊安全的各種安全能力融入其中,從全局上提供防護(hù)。為了幫助騰訊云上的用戶快速解決云服務(wù)器合規(guī)的問(wèn)題,我們今年還推出了一套云原生的合規(guī)鏡像,并且將它免費(fèi)提供給騰訊云上的用戶使用,用戶只需要在官網(wǎng)上進(jìn)行簡(jiǎn)單的操作,就能避免復(fù)雜繁瑣的配置過(guò)程,獲得一套符合等保要求的云主機(jī);

其次是在數(shù)據(jù)安全層面,我們打造了端到端的云原生數(shù)據(jù)安全中臺(tái),從最底層符合國(guó)家標(biāo)準(zhǔn)的硬件加密機(jī),到中間透明加密的中間件,到API,到云產(chǎn)品層的數(shù)據(jù)透明加密,都已經(jīng)具備。

在密碼技術(shù)層面,依托云計(jì)算交付密碼技術(shù)在我國(guó)仍是新興的密碼服務(wù)模式,將密碼技術(shù)嵌入云計(jì)算系統(tǒng)中仍面臨諸多的挑戰(zhàn),包括云系統(tǒng)適配問(wèn)題、硬件密碼模塊部署問(wèn)題等等,近期我們正在聚焦云安全訪問(wèn)代理CASB的研究,CASB組件將敏感數(shù)據(jù)在應(yīng)用服務(wù)內(nèi)加密,除實(shí)現(xiàn)將數(shù)據(jù)加密后存入數(shù)據(jù)庫(kù),還能實(shí)現(xiàn)數(shù)據(jù)從應(yīng)用服務(wù)到數(shù)據(jù)庫(kù)之間以密文形式傳輸。

在業(yè)內(nèi)都很關(guān)注的容器安全的前沿領(lǐng)域,騰訊云成為首批通過(guò)信通院大規(guī)模容器集群性能測(cè)試評(píng)估的云服務(wù)商,獲得最高級(jí)別“卓越級(jí)”認(rèn)證。并且騰訊云容器服務(wù)憑借優(yōu)秀的整體防護(hù)能力同時(shí)收獲“容器平臺(tái)安全能力”的最高級(jí)別——先進(jìn)級(jí)認(rèn)證。

而騰訊云主機(jī)安全服務(wù)今年入選了Gartner CWPP全球市場(chǎng)指南,我們正在將云主機(jī)安全、云防火墻,結(jié)合云SOC一起打造一個(gè)更加完善的云原生安全防護(hù)體系,更好的保障云上用戶的安全。

以上只是簡(jiǎn)單列舉了一些我們已經(jīng)對(duì)外開放的安全能力,未來(lái)我們將進(jìn)一步通過(guò)云原生的方式將騰訊級(jí)的安全能力對(duì)外開放,為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個(gè)堅(jiān)實(shí)的安全底座,讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代數(shù)字化升級(jí)帶來(lái)的便利,讓安全不再成為數(shù)字化經(jīng)濟(jì)發(fā)展的掣肘。

謝謝大家!

原創(chuàng)文章
最新文章
1
IDC中國(guó)手機(jī)市場(chǎng)Q3:vivo、OPPO分化,華為起勢(shì)迅猛,AI拉力漸強(qiáng)
2
絕美小OPhone,OPPO Reno13 系列正式發(fā)布,2699元起!
3
競(jìng)爭(zhēng)將更加激烈,TCL李東生表示LCD大屏幕主流地位短期難撼
4
蘋果史上最薄手機(jī)!曝iPhone 17 Air原型機(jī)無(wú)實(shí)體SIM卡槽
5
全球高端電視市場(chǎng)再變,海信TCL領(lǐng)先LG突破韓系雙雄兩極格局
6
“國(guó)補(bǔ)”之下,家電市場(chǎng)的變與不變
7
五大半導(dǎo)體國(guó)際組織呼吁:攜手應(yīng)對(duì)全球產(chǎn)業(yè)共性問(wèn)題
8
REDMI史上最強(qiáng):K80 Pro配備全焦段5000萬(wàn)旗艦三攝
9
勇闖洗衣機(jī)賽道,清潔家電勝算幾何?
10
以舊換新明年延續(xù) 鄉(xiāng)鎮(zhèn)商家怎么應(yīng)對(duì)?
11
史上最強(qiáng)Mate未發(fā)先火!超305萬(wàn)人想買Mate 70
12
蘋果要首發(fā)!臺(tái)積電宣布2nm已準(zhǔn)備就緒
13
白電前三季:美的海爾領(lǐng)先,TCL惠而浦領(lǐng)漲,明示三大趨向
14
榮耀300系列厚度僅6.97毫米,比一根吸管還要?。?/a>
15
REDMI K80系列 11月27日19:00狂暴登場(chǎng)
16
Gartner預(yù)測(cè),到2027年40%的AI數(shù)據(jù)中心將因電力不足而導(dǎo)致運(yùn)營(yíng)受限
17
“折疊屏鼻祖”宣告破產(chǎn),60億估值的“神話”何以破滅?
18
我國(guó)智能電視行業(yè)表現(xiàn)低迷,正處在迭代和變革的關(guān)鍵時(shí)期
19
行業(yè)首份家用中央空調(diào)“以舊換新”技術(shù)標(biāo)準(zhǔn)發(fā)布
20
集成灶企業(yè)能否熬過(guò)市場(chǎng)寒冬?
關(guān)于我們

微信掃一掃,加關(guān)注

商務(wù)合作
  • QQ:61149512