随着互联网的迅速发展,云计算已经被应用于多个领域,互联网企业也如雨后春笋般涌出,并带动各个行业的创新发展,随之而来云上安全问题也逐渐成为行业关注焦点。
6月25日,腾讯云TVP团队和腾讯安全云鼎实验室联合发起云安全技术闭门会,邀请到5位来自北辰时代科技、钛资本、红途创程、游族网络、腾讯云的安全领域资深技术专家,从多个维度、多种行业综合分析云安全行业痛点,共讨立体、可控、可视的安全之道。
TVP技术闭门会是由腾讯云TVP打造的专属技术闭门研讨会,旨在提供一个开放的交流环境,针对热门技术话题前沿科技、技术管理等话题进行深入探讨。在本次“云安全,行业痛点今何在?”技术闭门会上,5位嘉宾也基于各自在行业多年的经验,分享了对于云安全的实践经验和对未来的预判。
安全从0到1
北辰时代科技技术总监、腾讯云TVP涂川首先分享了关于安全和云的话题,结合自身的从业经验,从传统安全架构设计扩展至更加智能灵活可扩展的云计算平台安全服务等内容,提出了目前比较适合企业的云安全服务形式。
涂川认为,安全是持续攻防对抗的动态过程,没有绝对的安全,从技术角度来看,安全涵盖的面极其广泛,安全技术的实现,除了有清晰的安全建设意识和规划外,对组织和个人的技术能力要求高,全面安全体系的层次化建设,也绝非某个人或者是某个组织凭一已之力就能做好的,需要全民参与,更需求国家层面来领导与组织。
“从传统网络安全建设扩展到云安全领域,于行业内而言,并没有看到颠覆性的云安全技术出现,虽然底层的平台架构发生了变化,业务的承载模式发生了变化,但围绕业务本身的安全问题,依然存在同样的风险与威胁。好在云计算分布式的计算存储网络可以更灵活地应对大规模高并发的云服务场景。而之前在传统安全架构设计里面,常见的堡垒机、日志审计、WAF防火墙、IPS入侵防御等安全防护手段,在云平台安全服务中,也同样存在。好在国家针对云计算平台的安全,也基于传统的安全架构之外,提出了更高的技术和管理要求,我们也相信,云安全的服务质量亦会越来越强”涂川如是说。
涂川还强调,云安全更重要的是服务,行业迫切需要更加智能的,类似于腾讯云的安全服务,MSS托管的云安全服务形式,基于对云端的持续监控及AI和大数据分析,能够把安全策略和大数据背后人的肉眼不能见的东西做到极致,服务价值非常高。
安全防护边界越来越模糊,需要新思路
“从2005年到2020年,数据泄露呈现出的增长趋势十分明显。79%的企业经历过数据泄露,有43%的公司报告了10次或者更多的数据泄露情况。可以看出,当前,数据泄露已经不仅仅是个体情况。”
今年6月,国家正式出台了《数据安全法》,并将于9月1日起施行。在需求与政策的双重驱动下,红途创程创始人、腾讯云TVP刘新凯分析,如何选择更好的方式保护一个企业的数据,将成为行业未来的热门话题。
刘新凯表示,在讨论风险及合规的视角下,隐私及数据安全需求在改变,管理难度在增加。随着法律和企业的变化,保护的外延在扩张,范畴在变大,从企业的敏感数据逐步扩展到个人隐私数据、企业的敏感数据乃至国家的重要数据。同时,随着云技术、大数据的发展,IOT设备、智能汽车、智能家居等一系列物联网终端的接入,也使得安全防护的边界越来越模糊。新的改变下,需要构建全新的数据安全防护的思路。
人才培养是云安全的基础
“安全是一个系统工程,不同的组织有不同的管理流程,不同的组织对资产的定义不同,对人的授权不同。”钛资本CTO、腾讯云TVP雷葆华老师认为,安全本身是一个攻防的过程,不能用一套标准化的东西打天下,也不可能靠产品一蹴而就,需要的是安全服务团队的持续投入,即安全人才是关键。
相比欧美比较完善的安全行业,国内的安全运营团队成熟度还远远不够。雷葆华表示,“2014年之后国内开始大规模做安全补课,投入比例基本在3%到5%,虽然缩短了差距,但是短期内的大量投入带来的安全人才培养不像产品,不像技术,人才的培养是长期性的事情。”
雷葆华总结道,网络安全不仅仅是靠解决方案或产品就能实现,最终还是需要“人”来落地。
通过托管式的安全服务提升企业安全底线
游族网络运维负责人、腾讯云TVP李志勇认为,从安全服务整体来看,主要还是需要一个强大的安全服务团队,技术的服务是很重要的因素。对于很多企业来说,安全建设可以通过引入一些第三方的安全托管服务,迅速将自身的安全基线拉到行业平均水平。 “从企业安全角度来看,相比专业安全厂商,我们自身的安全短板还是比较明显的,如何能够通过外部的资源和服务补足团队的短板,这是我们会关注的一点。我们用怎样的安全产品、怎样的安全技术满足业务上的需求,同时当我们的安全人才不足的情况下,我们需要引入哪些安全服务。”
李志勇认为,解决这个问题可以从两个方面入手,第一是采用托管式的安全服务,对于安全能力不够的企业来说,托管服务能够使企业的安全建设和行业的安全基建保持一致;第二,很多时候安全在部分企业尤其是规模较小的行业里面是一个可选服务,未来需要把安全服务变成像计算资源、存储资源一样的“标配”,去提升行业的安全水平。
用战争思维构建云时代的安全防护体系
腾讯云安全总经理李滨分析,由于云技术的发展应用与安全工具的落后之间的矛盾,使得当前云时代的安全建设面临三个非常严重的挑战:
首先是安全机制的变化。传统的企业安全,资产的所有权,资产设备的控制权,全部都是统一一致的。但在今天的云场景里,更多采用的是租用形式,所以资产的所有权、控制权以及我们在选择服务和产品和技术模型上面,都发生了巨大的变化。
其次,算力和数据量的变化都导致传统的安全机制在云上的时候面临失效,或者不适用。
最后,云时代导入的新技术,如扁平化的架构,虚拟化技术的应用,普遍存在的分布式机构,异构计算,服务的抽象化等,导致国内企业在安全分析的时候,不管是在攻击面还是攻击路径的分析上面都会呈现更复杂的状态。
在李滨看来,如今安全已经不是传统的静态思维或周期性的思维。今天强调新的理念,就是安全一定要有战争思维,战争是动态变化的,战争一定会有损失,一定会有取舍。所以如何用比较合理的投入取得最大化的效果,是今天云安全行业需要思考的。“基于过去在安全行业的实践经验和储备,腾讯安全推出了全新的理念,即云原生的安全托管服务。通过数据驱动、情报驱动、系统自动化驱动三个驱动,消减云上海量事件对信息的淹没,实现对数据的快速分析和对服务的快速响应。”
结语
数字化时代下,信息纷扰,数据庞杂,对每一个互联网从业者来说,如何保证安全是重中之重,面对云安全庞大复杂的涉及领域,需要安全研究人员持续深入挖掘具体场景,更需要企业管理者站在全局角度从战略角度规划。此次腾讯TVP技术闭门会对云安全痛点的深入挖掘,对安全从业者更好地构建云安全防护能力具有积极意义。
TVP即腾讯云最具价值专家(Tencent Cloud Valuable Professional),是腾讯云授予云计算领域技术专家的一个奖项。TVP计划致力打造与行业技术专家的交流平台,构建云计算技术生态,实现“用科技影响世界”的美好愿景。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面