技術(shù)
導(dǎo)讀:6月24日,以“守護(hù)云原生安全,構(gòu)建企業(yè)安全‘護(hù)城河’”為主題的第四期《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》安全系列線上研討會(huì)成功舉行。
6月24日,以“守護(hù)云原生安全,構(gòu)建企業(yè)安全‘護(hù)城河’”為主題的第四期《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》安全系列線上研討會(huì)成功舉行,在CIO時(shí)代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書(shū)長(zhǎng)劉晶的主持下,來(lái)自北京賽博英杰科技有限公司創(chuàng)始人、董事長(zhǎng)譚曉生、高途集團(tuán)CSO董伊昔、中科院計(jì)算所高級(jí)工程師李明宇、騰訊安全云鼎實(shí)驗(yàn)室云原生安全產(chǎn)品總監(jiān)陶芬,共同探討了云原生安全體系建設(shè)的實(shí)踐路徑。
訂閱式云安全或?qū)⒁I(lǐng)安全產(chǎn)業(yè)發(fā)展
北京賽博英杰科技有限公司創(chuàng)始人、董事長(zhǎng)譚曉生再次光臨直播間,發(fā)表了《云原生安全挑戰(zhàn)與市場(chǎng)分析》主題演講。譚曉生指出,目前云計(jì)算處于云原生快速崛起,云網(wǎng)融合需求旺盛發(fā)展,云管理和優(yōu)化需求凸顯,安全體系革新的階段,數(shù)字化發(fā)展加速進(jìn)入了云原生時(shí)代。
他全面細(xì)致地介紹了云原生及云原生安全的發(fā)展現(xiàn)狀。如今云原生相關(guān)的技術(shù)呈井噴式發(fā)展,因開(kāi)發(fā)模式、部署方式、運(yùn)營(yíng)方式的變化,對(duì)云原生安全也提出了全新的挑戰(zhàn)。在介紹最新云原生架構(gòu)“Service Mesh”時(shí),解釋道:“Service Mesh”提供的“Sidecar”機(jī)制非常好,包含了服務(wù)發(fā)現(xiàn),負(fù)載均衡,服務(wù)的降級(jí),調(diào)用鏈,故障日志、監(jiān)控、度量、身份認(rèn)證、加密、訪問(wèn)控制等可提供程序測(cè)量和安全服務(wù)。因此,如何更好地應(yīng)用“sidecash”來(lái)助力云原生架構(gòu)下的安全,將是非常有意義的一件事情。
同時(shí),他還講解了Gartner《Hyper Cycle for Cloud Security2021》的“Gartner云安全全家桶”。它涵蓋了CSPM(云安全的態(tài)勢(shì)管理),CSPM(合規(guī)性評(píng)估,風(fēng)險(xiǎn)識(shí)別,操作監(jiān)控,集成,策略執(zhí)行,威脅防護(hù)等),以及CWPP(云負(fù)載保護(hù)平臺(tái)),通過(guò)對(duì)主機(jī)的防護(hù),漏洞的利用防護(hù),應(yīng)用的白名單,系統(tǒng)的一致性,網(wǎng)絡(luò)分段,系統(tǒng)監(jiān)控,工作負(fù)載配置等,云實(shí)現(xiàn)云原生的安全防護(hù)。
關(guān)于云原生安全在發(fā)展中面臨的機(jī)遇和挑戰(zhàn),北京賽博英杰科技有限公司董事長(zhǎng)譚曉生進(jìn)行了預(yù)測(cè)和分析:
“原有的安全產(chǎn)品解決方案僅能解決部分問(wèn)題,云原生安全的要求是既懂安全又懂云原生開(kāi)發(fā),這也給國(guó)內(nèi)云原生安全的賽道提供了更多創(chuàng)新和創(chuàng)業(yè)的機(jī)會(huì)。
而訂閱式的云原生安全也會(huì)隨著云原生的發(fā)展得以快速鋪開(kāi),這對(duì)于云安全的產(chǎn)業(yè)的發(fā)展,對(duì)于安全產(chǎn)業(yè)發(fā)展都是一個(gè)非常大的利好。”
安全體系中云架構(gòu)的六大構(gòu)成
高途集團(tuán)CSO董伊昔為我們帶來(lái)了《高途云原生安全實(shí)踐分享》。董伊昔首先介紹了高途集團(tuán)的網(wǎng)絡(luò)安全體系規(guī)劃,參照了ISO和IEC270001、7799等國(guó)際和國(guó)內(nèi)的安全標(biāo)準(zhǔn),并結(jié)合以往經(jīng)驗(yàn)及各大互聯(lián)網(wǎng)廠商的安全體系建設(shè)標(biāo)準(zhǔn),制訂出了高途集團(tuán)的《ISMS四層安全體系架構(gòu)》。其中就包括了云環(huán)境架構(gòu),整個(gè)架構(gòu)體系從外到內(nèi)將公司進(jìn)行細(xì)粒度劃分,再層層剝離,劃分好再進(jìn)行最終落地。
其中關(guān)于安全體系架構(gòu)中二層云架構(gòu)的六大構(gòu)成,董伊昔也進(jìn)行了著重介紹。
第一、云的基礎(chǔ)安全。基于高途集團(tuán)業(yè)務(wù)層使用了阿里和騰訊云,在云環(huán)境上及整個(gè)云底層,真正實(shí)現(xiàn)落地的是基于兩個(gè)云廠商本身提供的主機(jī)安全,HIDS等。
第二、應(yīng)用層的應(yīng)用安全。作為投入精力最大的重要環(huán)節(jié),會(huì)從攻擊者角度出發(fā),進(jìn)行優(yōu)先防護(hù)。
第三、防護(hù)層的安全防護(hù)。在接觸新產(chǎn)品或是考慮流量壓力時(shí),會(huì)在應(yīng)用級(jí)別搭建云安全架構(gòu)。
第四、業(yè)務(wù)層面的安全防控。從合規(guī)角度出發(fā),進(jìn)行業(yè)務(wù)風(fēng)控及訪問(wèn)來(lái)源的監(jiān)控,并降低業(yè)務(wù)運(yùn)營(yíng)成本。
第五、解決數(shù)據(jù)安全。數(shù)據(jù)安全在云架構(gòu)來(lái)講,是與業(yè)務(wù)安全,應(yīng)用安全密切關(guān)聯(lián)的,也是最核心資產(chǎn)。通過(guò)對(duì)線上數(shù)據(jù)或者對(duì)C端數(shù)據(jù)進(jìn)行分類分級(jí),做脫敏,再?gòu)臄?shù)據(jù)安全全生命周期過(guò)行API監(jiān)控。
第六、賬號(hào)安全。從管理要求出發(fā),通過(guò)堡壘級(jí)審計(jì)認(rèn)證去管理,并結(jié)合上述五部分,在內(nèi)部建立安全運(yùn)營(yíng)中心。
此外,董伊昔還特別介紹了ISMS四層體系架構(gòu)的第四層體系:
作為最終的落地的體系,需要解決歷史遺留問(wèn)題、安全威脅風(fēng)險(xiǎn)。所以,最終落地措施就是整體統(tǒng)一管理,通過(guò)指標(biāo)體系來(lái)評(píng)價(jià)目標(biāo)建設(shè)情況。指標(biāo)體系包括了建設(shè)指標(biāo)和運(yùn)營(yíng)指標(biāo),建設(shè)指標(biāo)的兩個(gè)參數(shù)是覆蓋率和完成率,運(yùn)營(yíng)指標(biāo)的兩個(gè)參數(shù)是響應(yīng)時(shí)間和發(fā)現(xiàn)時(shí)間,再通過(guò)色彩不同顯示完成情況。
云原生模式保護(hù)云原生應(yīng)用
中科院計(jì)算所高級(jí)工程師李明宇帶來(lái)了《基于云原生的架構(gòu)創(chuàng)新及實(shí)踐》的主題分享。李明宇首先談了從“機(jī)器原生”到“云原生”的架構(gòu)創(chuàng)新的現(xiàn)狀和技術(shù)方向。通過(guò)實(shí)踐案例的分享,為我們講述了企業(yè)在進(jìn)行數(shù)字化轉(zhuǎn)型時(shí),傳統(tǒng)的開(kāi)發(fā)方式和應(yīng)用構(gòu)建技術(shù)面臨的難點(diǎn)和挑戰(zhàn),以及云原生助力企業(yè)轉(zhuǎn)型中,在算法模塊、集成框架、部署實(shí)施方面發(fā)揮的重要作用。
鑒于云原生帶來(lái)的敏捷性、可擴(kuò)展性等方面的優(yōu)勢(shì),越來(lái)越多企業(yè)的IT正在向云原生方式轉(zhuǎn)變,技術(shù)的更新顯得尤為重要,云原生技術(shù)體系愈發(fā)變得更加龐大且復(fù)雜,云原生應(yīng)用在創(chuàng)新上也將面臨技術(shù)能力的挑戰(zhàn)。面對(duì)企業(yè)云原生技術(shù)能力參差不齊的問(wèn)題,李明宇講述了如何通過(guò)“云原生應(yīng)用設(shè)計(jì)模式”歸納沉淀最佳實(shí)踐,助力企業(yè)更好的落地云原生應(yīng)用。
李明宇也為我們分享了關(guān)于原生應(yīng)用保護(hù)的思考:
“備份與容災(zāi)是應(yīng)用保護(hù)很重要的方面,云原生應(yīng)用保護(hù)需要以應(yīng)用為中心,充分考慮云原生應(yīng)用的特點(diǎn),支持以應(yīng)用為粒度去保護(hù),可參考CNCF OAM等應(yīng)用模型,并且要支持容器、應(yīng)用和命名空間三個(gè)層次。用云原生模式保護(hù)云原生應(yīng)用,通過(guò)提供API,讓?xiě)?yīng)用開(kāi)發(fā)者更好地表明保護(hù)對(duì)象,再以自動(dòng)手段實(shí)現(xiàn)其災(zāi)備。保護(hù)手段本身的實(shí)現(xiàn)也遵循云原生模式,采用聲明式API和Operator來(lái)實(shí)現(xiàn),并與云原生基礎(chǔ)設(shè)施結(jié)合起來(lái)。”
云原生安全的攻守道
最后,來(lái)自騰訊安全云鼎實(shí)驗(yàn)室云原生產(chǎn)品安全總監(jiān)陶芬為我們帶來(lái)了《騰訊云原生安全的攻守道之路》。陶芬首先介紹了云原生架構(gòu)在逐步成熟落地中面臨的眾多安全風(fēng)險(xiǎn)以及容器的短生命周期、密度大、云原生下的DevSecOps、安全能力云原生等對(duì)企業(yè)的運(yùn)營(yíng)安全運(yùn)營(yíng)能力的挑戰(zhàn)。
知攻:容器在野攻擊、安全攻防矩陣
騰訊安全云鼎實(shí)驗(yàn)室在近幾年對(duì)容器在野攻擊的研究和監(jiān)測(cè)中發(fā)現(xiàn),絕大多數(shù)應(yīng)用云原生技術(shù)的企業(yè)都經(jīng)歷了容器安全事件。而對(duì)DockerHub黑產(chǎn)的監(jiān)控分析顯示,黑產(chǎn)已經(jīng)攻陷了在網(wǎng)約1.9億個(gè)容器,并且攻擊種類和對(duì)抗還在持續(xù)提升,安全問(wèn)題已成為影響用戶落地云原生的重要考量因素。
未來(lái),云原生應(yīng)用的供應(yīng)鏈攻擊將是安全關(guān)注的重點(diǎn),而云原生安全攻防已進(jìn)入對(duì)抗的實(shí)戰(zhàn)化階段。
懂防:騰訊云的云原生安全能力架構(gòu)
承載了整個(gè)騰訊全量云原生業(yè)務(wù)的騰訊云容器平臺(tái),有著業(yè)內(nèi)最大規(guī)模的自研上云容器應(yīng)用。在安全體系架構(gòu)中遵循了四大原則:一是安全能力原生化,二是安全左移,三是全生命周期的安全防護(hù),四是零信任的安全架構(gòu)。
騰訊云的容器安全防護(hù)體系框架,按照云原生架構(gòu)層次化的方式,可以逐層地實(shí)現(xiàn)安全防護(hù),打造出承載騰訊業(yè)務(wù)的云原生安全的容器云,同時(shí)也能夠助力企業(yè)安全的實(shí)現(xiàn)云原生轉(zhuǎn)型。
內(nèi)功:騰訊云容器安全管理及運(yùn)營(yíng)實(shí)踐
安全運(yùn)營(yíng)是目標(biāo),安全能力是手段。在內(nèi)部推進(jìn)容器安全運(yùn)營(yíng)時(shí),可以參考NIST的網(wǎng)絡(luò)安全框架,將容器的安全運(yùn)營(yíng)分為五個(gè)并行且連續(xù)的步驟,分別是:識(shí)別、防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。
在云原生場(chǎng)景下,安全運(yùn)營(yíng)落地還面臨著眾多挑戰(zhàn):技術(shù)門(mén)檻方面,懂安全的不懂云原生,懂云原生的不懂安全,企業(yè)的安全運(yùn)營(yíng)人員需要逐步地去補(bǔ)齊云原生的知識(shí)和運(yùn)維的知識(shí);流程規(guī)范方面,業(yè)務(wù)野蠻生長(zhǎng),配套的安全能力的建設(shè)和安全運(yùn)營(yíng)的流程規(guī)范跟不上;人和資產(chǎn)方面,角色復(fù)雜,設(shè)計(jì)開(kāi)發(fā)、安全、容器PaaS平臺(tái)方、運(yùn)維,安全意識(shí)較為薄弱,資產(chǎn)歸屬不清晰。
企業(yè)云原生的安全運(yùn)營(yíng)能力建設(shè)需注意四個(gè)關(guān)鍵點(diǎn):做好鏡像的安全管控;主動(dòng)容器集群層面的安全加固;強(qiáng)大容器運(yùn)行時(shí)的安全防護(hù);建立基本的容器資產(chǎn)大盤(pán)應(yīng)急。
在分享最后,陶芬分享了目前騰訊安全在云原生安全方面的落地實(shí)踐進(jìn)展。
攻防皆有道的騰訊安全已與信通院、清華大學(xué)聯(lián)合成立了行業(yè)首個(gè)云原生安全實(shí)驗(yàn)室,發(fā)布了首個(gè)云原生安全的測(cè)試平臺(tái),目前測(cè)試平臺(tái)的基礎(chǔ)框架已經(jīng)建設(shè)完成,未來(lái)在實(shí)戰(zhàn)演練的階段會(huì)擴(kuò)展到實(shí)戰(zhàn)演練環(huán)境,聚焦云原生的技術(shù)實(shí)戰(zhàn)化的驗(yàn)證。
隨著數(shù)字時(shí)代的發(fā)展,云原生技術(shù)的使用已經(jīng)成為必然趨勢(shì),企業(yè)在享受云原生技術(shù)帶來(lái)的便利的同時(shí),也面臨著日益復(fù)雜環(huán)境帶來(lái)的挑戰(zhàn)。我們也希望,本期研討會(huì)能夠助力企業(yè)明確發(fā)展需求,找到應(yīng)用云原生技術(shù)的最佳路徑,構(gòu)建云原生安全體系,實(shí)現(xiàn)企業(yè)的創(chuàng)新發(fā)展。
至此,《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》安全系列線上研討會(huì)的四期主題研討也圓滿結(jié)束。后續(xù),CIO時(shí)代還將與騰訊安全聯(lián)合舉辦其它主題的系列研討會(huì),為助力企業(yè)數(shù)字化轉(zhuǎn)型貢獻(xiàn)自己的綿薄之力。