文│腾讯云安全总经理 李滨
云计算的出现彻底改变了 IT 产业和传统企业的 IT 结构,但大部分企业的理念和技术方法还停留在传统的 IT 时代,很多企业只是把云当成更大的服务器集群来使用,并没有认识到云所带来的底层技术上的本质性变革。这种理念的差异造成的最直接后果就是安全管理水平的滞后,云安全需要用新的安全管理思路和技术手段来应对。
一、云计算带来的新安全变化
云计算的广泛应用,给 IT 产业带来了本质性的改变,传统的信息安全也随之出现了新的挑战。
(一)安全管理模型的变化
传统安全领域,IT 资产的所有权和设备的控制权基本是一致的,谁使用谁购买、谁拥有谁管理。例如,企业的 IT 系统往往包含多个子系统,有归属于财务部门的企业资源计划(ERP),有归属于人力资源部门的人力资源管理(HRM)等,这些权责分明的子系统共同构建形成企业内部的 IT网络。子系统的所有权和使用权都有明确的归属,物理边界非常清晰,相应的安全解决方案也容易部署。但在云计算里,IT 资产大部分是“租用的”,资产的所有权、控制权以及企业选择服务、产品和技术模型的方式产生了根本性的变化,这对企业安全体系建设造成了巨大的影响。
(二)计算内容和技术的变化
云计算还带来了算力的变化和数据量的变化,这两个变化导致传统的安全机制在云上不再适用。算力方面以数据加密技术为例,20 年前一台标准的服务器破解信息摘要加密算法(MD5)的次数基本是每秒几千次到万次左右,所以 MD5在 20 年前是比较安全的算法,但是今天一台普通的台式机通过图形处理器(GPU)加速技术,破解 MD5 加密的速度已经达到每秒钟 55 亿次以上,算力比过去提高了上千万倍,这会导致传统安全的机制由于算力的大幅提升而失效。另外数据量的增大也对安全机制会产生影响,仍然以数据加密技术为例,如果是对一个较少的数据加密,加密的时间、成本和性能的影响可以忽略不计,如果到了 T 级、P 级,加密时长要达到几分钟、几个小时甚至几天,在实际的业务运行环境中是无法接受的。
(三)基础设施和应用架构的变化
云时代各种新技术不断涌现,例如扁平化的架构、虚拟化技术的应用,以及普遍存在的分布式机构、异构计算、服务的抽象化等,这些技术都会导致不管是攻击面还是攻击路径,云安全都会呈现更复杂的状态。
传统的 IT 系统建设周期很长,从半年甚至长达几年时间,系统的整个生命周期可能有几年到几十年的时间。面对生命周期很长的 IT 系统,安全建设可能是按一年的周期来做整个系统的风险评估,按月为单位做漏洞扫描,按月或者季度进行系统的补丁管理。安全工作有着严格的流程,可以按部就班进行滚动周期的管理。但在云计算里,我们面临的是一个高速、持续变化的环境。例如,无服务器(Serverless)技术的应用带来的结果是,在云上搭建一个 Serverless 应用的时间只要 3 毫秒,而一个 Serverless 实例最短生命周期是100 毫秒。如果是一个 Serverless 应用实例存在漏洞,导致被攻陷、被入侵,整个攻击事件的生命周期可能只有百毫秒的时间。当前的云上有大量类似的技术在应用,每秒都有大量的实例被拉起、消亡,恶意代码攻击可能就在其中流转消除。在云上,我们面临的是动态以及迅速变化的生命周期模型,面临着持续性对抗的环境,没有新的技术进行监控和防范,可以说传统的静态或者长周期的安全机制是完全失效的。
二、外部环境变化带来的新安全挑战
在法律层面,全球对信息安全的监管日益加强,以欧盟的《通用数据保护条例》(GDPR)的发布为标志性事件,几年间国内外陆续出台了众多法律法规。2021 年,我国出台《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》,加上之前的《网络安全法》,明确规定了企业需要承担的网络安全主体责任。
在技术层面,伴随云计算诞生的新技术带来了新的生产力,让企业在云计算时代实现了快速发展。但技术进步的另一面是新的安全挑战,从安全从业者视角,云就像一个极具诱惑力的“蜜罐”,云上海量的数据和业务,必然会吸引攻击者的视线。
过去几年安全威胁呈现出三个明显的趋势。首先,在威胁主体上,专业化的高级持续性威胁(APT)组织越来越多,据不完全统计,当前全球范围内具备国家级攻击力量的黑客组织大概有 40多个,往下还有无政府主义黑客、商业间谍、有组织犯罪等。在国内,黑灰产是商业攻击事件的主流。这些威胁主体有更专业的技术、武器和组织能力。其次,在受攻击目标上,层次分布得更广泛,国家关键基础设施、企业商业数据、个人敏感信息等都成为攻击标的。第三,数实融合潮流势不可挡,数字化已经成为企业发展的必由之路,但前提是必须做好安全体系的建设,企业的数字化发展才能稳定、可预期。
此外,云安全面临着资源和人力的缺口。资源缺口主要体现在 IT 建设,尤其是云的建设中需要更多的安全投入。人力的缺口既体现在绝对从业人数的缺口,也表现在缺乏更专业的技术专家。例如近几年,我国各个领域建设了数千个各种规模的云平台,每一朵云常规的安全运营,例如常规的风险评估、漏洞扫描、日常监控等,需要的专业人力是 30 人左右,以此估算,仅在云安全的日常运营领域,就已经远远超出了目前云安全行业的服务供给能力。
三、云原生的安全托管服务
对云安全所带来的这些新变化,需要用“战争思维”来应对。战争是时刻动态变化的,战争一定会有损失、一定会有取舍,“万无一失”是不现实的,应该用较为合理的投入取得最大化的效果,把安全的整个水位线提升到一定高度。
“战争思维”下的安全管理的基本原则有两个。一是要解决普遍性问题,不能让低级漏洞影响安全性,造成损失。二是不出重大安全事故,保证安全在一个足够的水平线上。实现这两个目标,企业自身的安全能力往往难以做到,首先是没有足够多的专业人力,其次,人本身会懈怠、会疏忽。基于腾讯在云平台上的实践经验和储备,我们认为基于云原生的安全托管服务是当前做好云安全工作的可行路径。从 2021 年开始,腾讯将一系列的云平台内生能力以及自动化工具和流程、专家服务整合起来,推出了云原生的安全托管服务(MSS),将绝大多数的风险面通过工具来消除。
基于云原生的安全托管服务可划分为三个等级。第一,低级安全事件的对抗和消减。例如,在云上每天会有亿级以上的批量漏洞扫描事件,这些事件的响应会消耗大量的人力,但如果视而不见,很可能会造成严重的安全事故。通过云平台层面,可以给每个用户批量提供风险消除机制,做到及时响应。第二,通过自动化引擎、数据分析和情报驱动,消减大量的人力需求,例如系统加固、风险评估、常规安全事件的分析和处置,都可以通过自动化进行。第三,让用户的核心人力集中在安全管理层面,例如架构如何设计更合理、代码如何开发、企业应该如何构建流程、如何应对高等级的合规需求,这才是安全人才发挥价值的地方。例如,在很多企业的重保场合和日常安全值守过程中,MSS 都发挥了很大的价值。
云原生的安全托管服务给企业的安全建设“减负”,让企业无须考虑复杂的安全技术问题,减少人员投入,把重心和思考放在业务上,以相对可控的成本获得安全价值最大化,这是云原生安全托管服务的价值所在。
(本文刊登于《中国信息安全》杂志2022年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。