云计算的出现彻底改变了传统企业IT结构和整个IT产业,伴生在其上的云安全也面临着非常多的新问题,需要用新的安全管理思路和技术手段来应对。但从现实情况来看,大部分企业的理念和技术方法还停留在传统IT时代,很多企业只是把云当成更大的服务器集群来用,并没有认识到云所带来的从底层技术上的本质性变革。理念的差异最直接的后果就是安全管理水平的滞后,会产生非常多的安全问题。
本文中,我们将根据自身云平台安全建设以及云租户安全运营实践出发,围绕云计算给IT产业带来了什么变化、企业在安全建设上的新挑战,以及我们有哪些应对之道和术,阐述相应观察。
一、云计算到底给IT产业带来了哪些本质的变化,相应的安全变化是什么?
1.安全管理模型的变化。传统安全领域里,IT资产的所有权和设备的控制权基本是一致的,谁使用谁购买谁拥有谁管理,比如原来一个企业一年有1亿的IT预算,包含有40多个系统,其中有归属于财务部门的ERP,有归属于人力资源部门的HRM等等,这些权责分明的子系统共同构建形成企业内部的大的IT网络,它的成本模型和组织归属是一致的,哪个部门采用了什么软件系统、用什么解决方案、有哪些网络支撑这些系统、部署在什么位置,所有权和使用权都有明确的归属,物理边界非常清晰,这个时候大家很容易去做安全的解决方案。但是在云计算里面资产大部分时候是“租用”,资产的所有权、控制权以及企业在选择服务和产品和技术模型上面产生了巨大的变化。这虽然不是安全本身的问题,但对安全系数的选择以及安全的发展产生了巨大的影响,这是今天在云时代做安全建设面临的最大的问题。
2.计算内容和技术的变化。一方面是算力的变化,一方面是数据量的变化,这两个问题导致传统的安全机制在云上不适用。算力方面以最简单的安全技术——数据加密技术,20年前一台标准的服务器上面破解MD5的次数基本是每秒几千次到万次左右,所以MD5在20年前算是比较安全的算法,但是今天一台普通的台式机通过GPU加速的技术破解MD5的加密速度已经达到每秒钟55亿次以上,算力上面比过去已经提高了上千万倍都不止,导致传统看似安全的机制由于算力的大幅提升而失效。另外一方面是数据量的增大,每年的数据量都以倍数甚至十倍数的数量在增长,对安全机制会产生影响,仍然以安全加密技术为例,加密技术如果是一个小数量,加密的时间、成本和性能的影响可以忽略不计,如果到T级、P级,加密时长要达到几分钟甚至几个小时甚至几天的时候,在实际的业务运行环境中是完全不能接受的。
3.基础设施和应用架构的变化。云时代导入了非常多的新技术,比如扁平化的架构、虚拟化技术的应用,以及普遍存在的分布式机构、异构计算、服务的抽象化等等,这些技术都会导致我们在进行安全分析时,不管是在攻击面还是攻击路径的分析上都会呈现更复杂的状态。 传统的IT建设周期很长,可能是以半年甚至年为单位,服务器采购硬件背后到货的时间是1-3个月,软件系统建设周期基本上是半年到几年时间,系统的整个生命周期是几年到几十年的时间。面对5-10年长周期的系统,我们的安全建设可能是按一年的周期来做一次整体的风险评估,评估整个IT系统的风险,然后按月为单位做漏洞扫描,以月或者季度为单位进行系统的补丁管理——有相应非常严格的流程,可以按部就班进行滚动周期的管理。
但是在今天的计算环境里面,我们面临的是一个非常高速、持续变化的环境。举个例子,Serverless技术的应用带来的结果是,今天在云上面基本上拉起一个Servesless应用的时间是3毫秒,而一个Serverless实例最短生命周期是100毫秒,如果是一个运行这样的函数的实例存在漏洞,被攻陷、被入侵,那整个攻击事件的生命周期是百毫秒的级别,在云上有大量应用这样的技术,每秒都有大量的实例被拉起、迅速消亡,可能恶意代码攻击就在其中流转消除;如果没有新的技术进行监控和防范,可以说传统的静态的或者长周期的机制是完全失效的,所以今天我们面临的是动态迅速变化的生命周期模型,面临着持续性对抗的环境。
二、外部环境变化给企业安全建设带来的新挑战
全球各地网络安全相关的法律法规的标准也逐渐趋严,以GDPR的发布为标志性事件,之后的几年间国际国内陆续出台了很多重磅的网络安全相关的法律,国内的《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》都是在2021年出台的。近年来的各种法律,对于网络安全责任主体的界定已经很明晰,《网络安全法》和《数据安全法》明确规定企业需要承担网络安全的主体责任。
这个是法律层面的挑战,就技术层面本身,云计算导入的新技术给带来了新的生产力,不少传统企业在云计算时代也实现了快速的发展。但技术进步这枚“硬币”的另一面是新的挑战,从我们安全从业者视角,云是一个“大蜜罐”,海量的数据和业务在云上,必然招揽一些黑产和攻击者。
过去几年可以看到几个安全威胁的大趋势。首先在威胁主体上,专业化、APT的组织越来越多,2020年美国的一份报告显示,现在全球范围内具备国家级别攻击力量的黑客组织大概有40多个,往下还有无政府主义黑客、商业间谍、有组织犯罪,在国内,黑灰产是整个商业攻击事件的主流。这些威胁主体有更高深的技术以及武器和组织能力;在受攻击目标上面,各个层次分布得更广泛,国家的关键基础设施、企业的商业数据、个人的敏感信息等等,都成为了攻击的标的。数实融合潮流势不可挡,借助数字化获得更好的发展已经企业发展必由之路,但前提是必须要做好安全体系,其数字化发展才稳定、可预期。
我们在云平台建设和帮客户建设云安全的过程中,都发现这个行业面临非常大的缺口:资源的缺口、人力的缺口——人力的缺口既体现在绝对人数的缺口,也表现在缺乏有足够专业技术的专家。在近几年,我国各个领域建立起了数千朵各种规模的云,每一朵云常规的安全运营——比如常规的风险评估、漏洞扫描、日常监控等等——需要的有攻防实战经验的专业人力是30人左右,仅在云安全运营领域,这已经远远超出了目前云安全行业的服务供给能力。
三、当前网络安全产业供需不对等,需要如何解决?
面临云安全领域的若干制约,产品的制约、技术的制约、人力缺口的制约、思路和架构上的制约,怎么解决这个问题?我们认为,在今天的时代,安全一定要有“战争思维”,战争是动态变化的,战争一定会有损失、一定会有取舍,“万无一失”是不现实的,所以今天我们的安全思路应该是用比较合理的投入取得最大化的效果,把整个水位线提升到一定高度。
战争思维下的安全管理的基本原则是两个:
一,要解决的是普遍性问题,不能让低级漏洞影响安全性,造成企业的损失;
二,不出重大安全事故,保证安全在一个足够的水平线上。要完成这两个原则,全靠人驱动是不现实的,首先是没有足够多的人力、没有足够多的专业人士,其次,人都是会懈怠、会疏忽的。
基于上述理解,以及过去几年腾讯在云平台上的实践经验和储备,今天我们推出了新的理念:基于云原生的安全托管服务。过去的几年运营中我们积累了大量的云原生系统自动化工具,保证逐个解决微小的问题,最终把绝大多数的风险面通过这样的工具消除,最终通过数据驱动、危险情报的共享、自动化的工作引擎,形成云平台安全服务的核心引擎,所以最终在安全服务上面我们划分为三个等级:
第一、低级事件的对抗和消减,今天在云上每天会有亿级以上的批量漏洞扫描事件,如果是客户的话,不可能每天去响应这么大量的事件,每天去看有多少人在扫描口令,有多少人入侵,但这些都会消耗大量的人力,如果你不管的话,会造成影响足够影响级别的重要事件,应该会更大。这种就通过云平台层面,第一层的风险消除机制消除掉,就是整个运营平台的批量机制,这也是免费给所有用户提供的。
第二、通过自动化引擎、数据的分析和情报的驱动定向消除某一个大类的快速闭环,通过自动化消减大量的人力需求,比如系统加固,风险的评估,常规安全事件的分析和处置,都通过自动化消减。
第三、把核心的人力集中做安全人员应该做的事情上,比如架构怎么设计更合理、代码怎么开发、企业应该怎么构建流程、怎么应对高等级的合规需求,这才是真正的安全人才发挥价值的地方。
今天在这三个层面上,我们的能力积累基本成熟,去年开始,我们逐渐把一系列的云平台内生能力以及自动化工具和流程、专家服务整合起来,推出了云原生的安全托管服务(MSS),让我们的云上用户在业务发展过程中不需要考虑太复杂的安全技术问题,不需要太多的人员投入,以相对可控的成本获得安全价值最大化,这是我们做的云原生安全托管服务的初衷以及现在正在做的事情。目前,在很多企业的重保场合和日常安全值守过程中,MSS都发挥了很大的价值。
对比传统的服务模式,安全托管服务对于需要多少成本、多少人力、多少时间资源是可以看到的,我们最终希望实现安全厂商和客户双方的资源和成本优化,给企业的安全建设“减负”,让企业把重心和思考放在业务上。