12月19日,2020 Techo Park開發(fā)者大會(huì)在北京舉辦,騰訊云首席安全官董志強(qiáng)出席并發(fā)表了以《用云原生安全鑄造產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的堅(jiān)實(shí)底座》為主題的演講。他表示,云計(jì)算已成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來數(shù)字化變革的主要載體,而云上的安全服務(wù)也應(yīng)該像云一樣,讓客戶能夠開箱即用、按需索取、按量付費(fèi)。

云時(shí)代的網(wǎng)絡(luò)安全將面臨四大挑戰(zhàn):第一,算力提升和數(shù)據(jù)量的變化,會(huì)導(dǎo)致原有的風(fēng)險(xiǎn)模型和安全機(jī)制面臨新的挑戰(zhàn);第二,原來以硬件為核心的防御架構(gòu),無法應(yīng)對基于云計(jì)算出現(xiàn)的新風(fēng)險(xiǎn);第三,云計(jì)算環(huán)境下,攻防對抗變成了動(dòng)態(tài)且持續(xù)變化;第四,由于云的導(dǎo)入,企業(yè)管理經(jīng)營上面也會(huì)引發(fā)安全技術(shù)和安全機(jī)制的一定變化。未來的安全建設(shè)要契合云計(jì)算的特點(diǎn),將安全前置,而云原生安全是應(yīng)對未來安全問題的高效手段。 

騰訊安全基于多年來的研究與實(shí)踐經(jīng)驗(yàn),分別從云原生安全治理、云原生數(shù)據(jù)安全、云原生應(yīng)用安全、云原生計(jì)算安全、以及云原生網(wǎng)絡(luò)安全等層面,全面構(gòu)建了騰訊云原生安全防護(hù)體系。

未來,騰訊安全將進(jìn)一步通過云原生的方式持續(xù)開放騰訊級(jí)的安全能力,為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個(gè)堅(jiān)實(shí)的安全底座,讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代數(shù)字化升級(jí)帶來的便利,讓安全不再成為數(shù)字化經(jīng)濟(jì)發(fā)展的掣肘。

以下是董志強(qiáng)演講全文:

大家好,很高興今天能在Techo Park的現(xiàn)場和各位開發(fā)者交流關(guān)于云安全相關(guān)的技術(shù)趨勢和現(xiàn)狀。我想和大家聊一聊騰訊安全關(guān)于云原生安全的一些理解和實(shí)踐。

目前基于云計(jì)算的各種工具、解決方案非常多,迭代速度也相當(dāng)快。云和各行各業(yè)的連接越來越緊密,成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來數(shù)字化變革的主要載體。這個(gè)行業(yè)也已經(jīng)成長為幾千億美元的規(guī)模。這肯定是一個(gè)共識(shí),即便是傳統(tǒng)企業(yè),對云的接受度也非常的高。那么云計(jì)算的高速發(fā)展,對于IT建設(shè)和安全防護(hù)帶來了哪些影響呢?

各位都是IT領(lǐng)域、安全行業(yè)的從業(yè)者,大家都知道,過去進(jìn)行IT建設(shè)周期很長,從選型、測試、采購、上線、交付一系列流程,傳統(tǒng)企業(yè)里面如果要新購一個(gè)服務(wù)器一般要一個(gè)半月到三個(gè)月,再加上裝操作系統(tǒng),要測試上線、做系統(tǒng)配置,要做聯(lián)調(diào)等等,周期非常長。而現(xiàn)在,騰訊云里面購買新的虛擬主機(jī),五分鐘之內(nèi)系統(tǒng)就能上線。而使用近兩年大熱的云原生容器技術(shù),幾秒鐘就能創(chuàng)建上線。Serverless無服務(wù)器化運(yùn)行,把這個(gè)時(shí)間縮短到了以百毫秒為單位。這樣的變化對整個(gè)安全又帶來什么影響?

根據(jù)騰訊云和騰訊安全多年的研究與實(shí)踐經(jīng)驗(yàn),我們認(rèn)為第一個(gè)挑戰(zhàn)是算力提升和數(shù)據(jù)量的變化,會(huì)導(dǎo)致原有的風(fēng)險(xiǎn)模型和安全機(jī)制面臨新的挑戰(zhàn)。這個(gè)其實(shí)很好理解,大家不妨回憶一下,同樣是破解MD5加密算法,20年前一臺(tái)一萬美元左右的服務(wù)器,每分鐘能破解2000多次,但現(xiàn)在一塊云上通常使用的GPU芯片,成本也是一萬美元左右,卻能做到每分鐘55億次。也就是說同樣成本下,我們的算力提升了2300萬倍,很多原來安全的算法在今天已經(jīng)不再安全。與此同時(shí),存儲(chǔ)成本也在飛速下降,存儲(chǔ)的數(shù)據(jù)量卻爆炸式的增長,同樣也會(huì)對我們原來機(jī)制的有效性帶來挑戰(zhàn)。

第二個(gè)挑戰(zhàn)是原來以硬件為核心的防御架構(gòu),沒法應(yīng)對基于云計(jì)算出現(xiàn)的新風(fēng)險(xiǎn)。在云上的整個(gè)架構(gòu)變化會(huì)非常復(fù)雜,比如今天在騰訊云上面運(yùn)行了超過100萬臺(tái)的物理服務(wù)器,上千萬以上的虛擬機(jī),這組成了一個(gè)非常復(fù)雜的系統(tǒng)。導(dǎo)致今天在云上的攻擊面、風(fēng)險(xiǎn)面比以前任何時(shí)候更復(fù)雜。原來傳統(tǒng)的IT架構(gòu),它的物理架構(gòu)和邏輯架構(gòu)是統(tǒng)一的,我們只用考慮在哪里放個(gè)防火墻,在哪插個(gè)盒子,但是這種做法在云上面正在失效。

第三是攻防對抗變成了動(dòng)態(tài)且持續(xù)變化的。剛剛其實(shí)我就提到過,現(xiàn)在整個(gè)IT系統(tǒng)的生命周期發(fā)生了很大的變化。相應(yīng)的,我們進(jìn)行運(yùn)維防護(hù)的節(jié)奏也要進(jìn)行調(diào)整。傳統(tǒng)的以年為周期進(jìn)行安全規(guī)劃,以季度為單位進(jìn)行漏洞掃描的節(jié)奏已經(jīng)不適用了。因?yàn)樵谠朴?jì)算環(huán)境下,攻擊的發(fā)生被縮短到秒級(jí),我們處于持續(xù)的風(fēng)險(xiǎn)對抗環(huán)境中。

第四企業(yè)管理經(jīng)營上面,由于云的導(dǎo)入,在資產(chǎn)的所有權(quán)、數(shù)據(jù)的購置權(quán)和企業(yè)經(jīng)營的成本模型上發(fā)生非常大的變化,也會(huì)導(dǎo)致云上很多的安全技術(shù)、安全機(jī)制有一定的變化。

聊完云時(shí)代的變化帶來的安全挑戰(zhàn),我們會(huì)發(fā)現(xiàn)原來打補(bǔ)丁式的安全思路現(xiàn)在已經(jīng)不適用了。未來的安全建設(shè)要契合云計(jì)算的特點(diǎn),應(yīng)該是具有彈性的,隨時(shí)能夠跟著服務(wù)器體量的變化擴(kuò)容或者收縮;并且要能完成自我循環(huán),做到自適應(yīng)、可迭代,在云上就能完成升級(jí),而不需要花費(fèi)大量時(shí)間、人力和資金成本去更新硬件設(shè)備。同時(shí),云上的安全服務(wù)也應(yīng)該像云計(jì)算一樣,讓客戶能夠開箱即用、按需索取、按量付費(fèi)。

這就是云原生安全的價(jià)值所在,將安全前置,原生在云上是應(yīng)對未來安全問題的高效手段。

針對過去的數(shù)據(jù),未來的趨勢,技術(shù)發(fā)展方向和產(chǎn)業(yè)方向進(jìn)行分析后,我們騰訊安全的云原生安全建設(shè)主要圍繞以下幾個(gè)方面展開。

首先是云原生安全治理,包括對身份治理、風(fēng)險(xiǎn)治理、數(shù)據(jù)治理幾個(gè)方面的研究。整個(gè)安全治理體系,分為了風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)監(jiān)測與防護(hù)、響應(yīng)及恢復(fù)、持續(xù)運(yùn)營幾個(gè)重要的部分。

然后是云原生數(shù)據(jù)安全,未來數(shù)據(jù)量越來越大,如果按傳統(tǒng)的方式去構(gòu)建數(shù)據(jù)安全,它的鏈條非常長,從前端的數(shù)據(jù)發(fā)現(xiàn)到數(shù)據(jù)的加密,還涉及到一系列軟件、硬件、網(wǎng)絡(luò)的加密,到數(shù)據(jù)的審計(jì)以及數(shù)據(jù)的泄漏監(jiān)控,整個(gè)鏈條里面可能涉及到二三十種產(chǎn)品。如果在云上讓一個(gè)用戶部署這么多產(chǎn)品,去管理非常復(fù)雜。我們通過打造端到端的云原生數(shù)據(jù)安全中臺(tái),逐步把所有數(shù)據(jù)安全的設(shè)施、技術(shù)、產(chǎn)品全部納入到云本身里面去。從數(shù)據(jù)的發(fā)現(xiàn)和治理、數(shù)據(jù)的加密和保護(hù),數(shù)據(jù)的脫敏、數(shù)據(jù)的審計(jì)等等基本的全生命周期的數(shù)據(jù)安全服務(wù)都是以云原生方式給客戶提供。

接下來是云原生應(yīng)用安全,這一層主要包括對安全開發(fā)、安全測試和應(yīng)用安全防護(hù)的研究。在開發(fā)方面,我們一直致力于推行DevSecOps,將安全貫穿開發(fā)生命周期。由于容器的發(fā)展,對于API的調(diào)度成為了云原生時(shí)代最核心的特征之一,所以對API的安全防護(hù)也是我們研究的重點(diǎn)。

在云原生計(jì)算安全層面,容器的安全是我們最為關(guān)注的要點(diǎn)之一,通過硬件虛擬化隔離、容器隔離、加密容器運(yùn)行環(huán)境等辦法,對容器進(jìn)行安全管理,保障容器在運(yùn)行時(shí)的安全。

最后是云原生網(wǎng)絡(luò)安全層面,這里我們不僅給云上的客戶提供SAAS化的云網(wǎng)絡(luò)安全產(chǎn)品,并且通過云網(wǎng)絡(luò)邊界的治理和融合云原生防火墻等方式來保障云的網(wǎng)絡(luò)安全。

目前騰訊安全的云原生安全研究和建設(shè)就是圍繞以上幾個(gè)層面展開,并且我們已經(jīng)取得了一些實(shí)踐成果。首先給大家展示一下我們的云原生安全防護(hù)體系。

疫情期間,大量的企業(yè)被迫加速數(shù)字化升級(jí),全國的用云量大規(guī)模增長,即使對于騰訊這樣生長在互聯(lián)網(wǎng)上的企業(yè),也是一次全新的挑戰(zhàn)。

為了盡快復(fù)產(chǎn)復(fù)工、恢復(fù)經(jīng)濟(jì)活力,居家網(wǎng)上辦公、線上展會(huì)、直播帶貨等依托互聯(lián)網(wǎng)的數(shù)字經(jīng)濟(jì)形勢涌現(xiàn)。

作為一款主打線上視頻會(huì)議功能的產(chǎn)品,騰訊會(huì)議在此期間用戶規(guī)模高速增長。產(chǎn)品迅速擴(kuò)容的同時(shí),也對安全防護(hù)提出了更高的要求。如何保障網(wǎng)絡(luò)服務(wù)的穩(wěn)定、如何確保用戶會(huì)議內(nèi)容的數(shù)據(jù)安全等等,都需要快速跟進(jìn)。

如果用傳統(tǒng)的打補(bǔ)丁的安全思路,我們很難跟上產(chǎn)品用戶規(guī)模增長的速度,但是在騰訊會(huì)議的產(chǎn)品設(shè)計(jì)階段我們的安全團(tuán)隊(duì)就參與其中,真正將安全體系內(nèi)置在里面,讓安全能力能夠跟著產(chǎn)品一起升級(jí),成功的保障了騰訊會(huì)議在疫情期間的大規(guī)模應(yīng)用。這就是一種典型的云原生安全思路的體現(xiàn)。

我們不僅用云原生的安全體系來防護(hù)我們自己的產(chǎn)品,我們也把這樣的能力通過騰訊云開放給客戶,來保障客戶的安全。

首先是在云原生安全治理方面,我們進(jìn)行了從風(fēng)險(xiǎn)識(shí)別、到風(fēng)險(xiǎn)監(jiān)測與防護(hù)、再到響應(yīng)與恢復(fù),以及持續(xù)運(yùn)營一系列的治理體系,將騰訊安全的各種安全能力融入其中,從全局上提供防護(hù)。為了幫助騰訊云上的用戶快速解決云服務(wù)器合規(guī)的問題,我們今年還推出了一套云原生的合規(guī)鏡像,并且將它免費(fèi)提供給騰訊云上的用戶使用,用戶只需要在官網(wǎng)上進(jìn)行簡單的操作,就能避免復(fù)雜繁瑣的配置過程,獲得一套符合等保要求的云主機(jī);

其次是在數(shù)據(jù)安全層面,我們打造了端到端的云原生數(shù)據(jù)安全中臺(tái),從最底層符合國家標(biāo)準(zhǔn)的硬件加密機(jī),到中間透明加密的中間件,到API,到云產(chǎn)品層的數(shù)據(jù)透明加密,都已經(jīng)具備。

在密碼技術(shù)層面,依托云計(jì)算交付密碼技術(shù)在我國仍是新興的密碼服務(wù)模式,將密碼技術(shù)嵌入云計(jì)算系統(tǒng)中仍面臨諸多的挑戰(zhàn),包括云系統(tǒng)適配問題、硬件密碼模塊部署問題等等,近期我們正在聚焦云安全訪問代理CASB的研究,CASB組件將敏感數(shù)據(jù)在應(yīng)用服務(wù)內(nèi)加密,除實(shí)現(xiàn)將數(shù)據(jù)加密后存入數(shù)據(jù)庫,還能實(shí)現(xiàn)數(shù)據(jù)從應(yīng)用服務(wù)到數(shù)據(jù)庫之間以密文形式傳輸。

在業(yè)內(nèi)都很關(guān)注的容器安全的前沿領(lǐng)域,騰訊云成為首批通過信通院大規(guī)模容器集群性能測試評(píng)估的云服務(wù)商,獲得最高級(jí)別“卓越級(jí)”認(rèn)證。并且騰訊云容器服務(wù)憑借優(yōu)秀的整體防護(hù)能力同時(shí)收獲“容器平臺(tái)安全能力”的最高級(jí)別——先進(jìn)級(jí)認(rèn)證。

而騰訊云主機(jī)安全服務(wù)今年入選了Gartner CWPP全球市場指南,我們正在將云主機(jī)安全、云防火墻,結(jié)合云SOC一起打造一個(gè)更加完善的云原生安全防護(hù)體系,更好的保障云上用戶的安全。

以上只是簡單列舉了一些我們已經(jīng)對外開放的安全能力,未來我們將進(jìn)一步通過云原生的方式將騰訊級(jí)的安全能力對外開放,為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個(gè)堅(jiān)實(shí)的安全底座,讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代數(shù)字化升級(jí)帶來的便利,讓安全不再成為數(shù)字化經(jīng)濟(jì)發(fā)展的掣肘。

謝謝大家!