一朵云能承擔(dān)多大的重量?如果是天上的云����,那么它連一個(gè)50千克的人都承受不住,但如果放在網(wǎng)絡(luò)中��,它所能承擔(dān)的無限大�����。近些年����,上云的對(duì)企業(yè)的重要性在不斷提升�����,對(duì)于企業(yè)來說�����,云承擔(dān)著數(shù)字化轉(zhuǎn)型技術(shù)底座的作用,但與此同時(shí)�����,云上安全也成為了企業(yè)面臨的新問題��。
隨著企業(yè)對(duì)云原生等技術(shù)的深度應(yīng)用�����,多云技術(shù)架構(gòu)得到了快速發(fā)展�����。據(jù)中國信通院《2023年混合云發(fā)展調(diào)查》數(shù)據(jù)顯示�,調(diào)研的上云企業(yè)中,使用混合云的企業(yè)占比達(dá)到75.5%����,并且有59.3%的企業(yè)表示預(yù)計(jì)將在未來一年內(nèi)加大在混合云的投入。
“混合云具有部署靈活��、成本低���、最大化整合現(xiàn)有資產(chǎn)��、促進(jìn)業(yè)務(wù)創(chuàng)新等顯著優(yōu)勢(shì)����,隨著數(shù)字化進(jìn)程推進(jìn),已逐漸成為企業(yè)普遍選擇的部署方式��。”中國信通院云大所開源和軟件安全部副主任����、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)TC608云安全工作組組長(zhǎng)孔松表示。
放眼未來�,混合云因?yàn)殪`活部署的特性,成本低��、能夠最大化整合資產(chǎn)的優(yōu)勢(shì)��,使得越來越多的企業(yè)加入�。在信通院的調(diào)查中���,所有的企業(yè)中將近有60%的企業(yè)預(yù)計(jì)在未來的一年都會(huì)增加混合云的投入��。
與此同時(shí)���,混合云模式下���,企業(yè)想要保護(hù)好核心的云上資產(chǎn),內(nèi)部的團(tuán)隊(duì)大多面臨著兩個(gè)問題:
在多云混合的場(chǎng)景下�����,面對(duì)多個(gè)需求各異的云服務(wù)商����,怎么做好多個(gè)云服務(wù)商的責(zé)任管理?
云安全廠商提供不同的能力,需要承擔(dān)的責(zé)任也是不同的�,所以給企業(yè)的責(zé)任共擔(dān)的模式也帶來了挑戰(zhàn)。
來自企業(yè)的經(jīng)驗(yàn)
互聯(lián)網(wǎng)公司中�����,小紅書就屬于極具代表性的多云部署企業(yè)����。截止到2022年底,小紅書上的分享者數(shù)量超過6900萬���,月活的用戶數(shù)量超過2.6億���,筆記日均發(fā)布量超過300萬篇��。
2014年���,小紅書為了快速發(fā)展互聯(lián)網(wǎng)業(yè)務(wù),用了第一朵云����。當(dāng)業(yè)務(wù)體量發(fā)展到一定程度,小紅書開始關(guān)注服務(wù)的高可用和穩(wěn)定性��。當(dāng)時(shí)不少企業(yè)選擇先有自建IDC�,然后去用云,而小紅書選擇多云自主���。
通過用多云�,把流量入口分散���,把服務(wù)分散在不同的云上,比如一個(gè)云或者一個(gè)VPC掛了之后���,小紅書的APP不至于打不開���。另外���,多云策略還能夠提高小紅書的自主性:成本上不會(huì)被單個(gè)云廠商綁定提高價(jià)格,可以比價(jià);業(yè)務(wù)上不必?fù)?dān)心重要活動(dòng)遇到單個(gè)云廠商的資源不足�����,可以隨時(shí)切換到別的云上���。
為了應(yīng)對(duì)多云原生下的安全挑戰(zhàn)��,小紅書用一套標(biāo)準(zhǔn)去給所有能力建設(shè)定目標(biāo):
通用性����。任何一個(gè)安全能力脫離于云的基礎(chǔ)設(shè)施�。比如HIDS是要能夠在阿里云上用,同時(shí)在華為云上用��,同時(shí)在AWS上用����,在所有云上都是通用的,都可以能夠?qū)崿F(xiàn)��。
一致性。一層是數(shù)據(jù)的一致性���,一層是策略和防護(hù)效果的一致性���。最基礎(chǔ)的是日志的一致性。但是對(duì)于內(nèi)部的業(yè)務(wù)團(tuán)隊(duì)來講��,業(yè)務(wù)部署在騰訊云上和阿里云上����,防護(hù)效果是不一致的,所以要進(jìn)一步做到策略的一致性�����。
擴(kuò)展性�����。“如果我們今天的流量從騰訊云80%調(diào)整成騰訊云20%�,另外一個(gè)云飛速擴(kuò)張,在這種情況下怎么能夠保證安全能力���,它的帶寬,我們的冗余度,它的冗余度是可以快速調(diào)整的��。我們所有的能力建設(shè)都是朝著這樣的目標(biāo)去走的��。”小紅書安全負(fù)責(zé)人林敏說到�����。
其次�����,把安全風(fēng)險(xiǎn)可視化同樣重要��,口頭上說把安全從60分做到70分是很難理解的�����,這時(shí)候就需要數(shù)據(jù)化和嚴(yán)重等級(jí)分級(jí)的邏輯����。
最后,保持健康狀況是很重要的一環(huán)����,小紅書也在嘗試通過安全可視化去牽引整個(gè)安全風(fēng)險(xiǎn)的具像分級(jí)�,給到業(yè)務(wù)方去呈現(xiàn)價(jià)值�����。
而在傳統(tǒng)行業(yè)�����,云安全也受到了更多的重視����。在2023廣州國際車展開幕前,曾有媒體發(fā)起了一項(xiàng)隨機(jī)調(diào)研�����,調(diào)研的結(jié)果顯示��,有超過43%的用戶將“網(wǎng)絡(luò)安全”和品牌��、外觀���、價(jià)格�、續(xù)航等一起納入了購買智能汽車的首要考慮因素�。
蔚來汽車的信息安全基礎(chǔ)設(shè)施負(fù)責(zé)人馬磊介紹���,汽車行業(yè)上云面臨的安全風(fēng)險(xiǎn)可以總結(jié)為:數(shù)字化應(yīng)用上云的風(fēng)險(xiǎn)、關(guān)鍵基礎(chǔ)設(shè)施的合規(guī)風(fēng)險(xiǎn)以及供應(yīng)鏈的風(fēng)險(xiǎn)�。馬磊總結(jié)了蔚來汽車如何去面對(duì)這樣的挑戰(zhàn):
從傳統(tǒng)的被動(dòng)防御轉(zhuǎn)化成主動(dòng);
持續(xù)云上風(fēng)險(xiǎn)的治理和巡檢;
持續(xù)的威脅暴露面管理;
通過數(shù)據(jù)驅(qū)動(dòng)去做安全運(yùn)營以及提升響應(yīng)能力�。
蔚來汽車的整個(gè)安全體系架構(gòu)分為四個(gè)維度建設(shè)安全體系
辦公網(wǎng),蔚來在國內(nèi)以及海外都有分支機(jī)構(gòu);
公有云����,也是主要合作伙伴騰訊云。蔚來汽車核心的app和一些數(shù)字化應(yīng)用�,包括車聯(lián)網(wǎng)的服務(wù)都跑在騰訊云上面和一些其他公有云;
自建的數(shù)據(jù)中心,跑在重要的計(jì)算集群和企業(yè)的服務(wù);
整個(gè)工廠��,包括整車制造和零部件的制造����。
第二個(gè)層次是整個(gè)安全體系,蔚來汽車會(huì)提供安全能力或者工具來支撐整個(gè)安全的防御體系��,包括云安全���、主機(jī)安全����、系統(tǒng)安全、整個(gè)終端和辦公網(wǎng)等�����。
最后一個(gè)層次是情報(bào)��。情報(bào)對(duì)安全能力的建設(shè)����,包括運(yùn)營是起著非常重要的作用,特別是在戶網(wǎng)外���,以及日���;倪\(yùn)營當(dāng)中。
同時(shí)�,馬磊也表示提出需要在以下四方面建設(shè)云安全能力:
應(yīng)該是
身份和憑據(jù),大量賬號(hào)如何遵守最佳的安全設(shè)計(jì)原則����,如何做權(quán)限劃分對(duì)企業(yè)來說是很大的挑戰(zhàn),特別是憑據(jù)管理非常困難�,這也是很多云上出現(xiàn)風(fēng)險(xiǎn)或者出現(xiàn)泄露時(shí)核心的關(guān)鍵點(diǎn)。
各種各樣的操作和運(yùn)營審計(jì),這種用戶�����、管理員在企業(yè)實(shí)踐當(dāng)中有大量的運(yùn)用��,他們的這種操作��、配置�����、變更行為是需要安全做審計(jì)的���。
deep obs能力。騰訊云或者公有云廠商已經(jīng)提供了豐富的API接口�,作為安全運(yùn)營來說,是需要充分利用好這些能力的���。
云廠商
雖然不同企業(yè)遇到的問題都不同�����,采取的策略也不同���,但目的都是保證云安全����,而要做到這一點(diǎn)�����,提供基礎(chǔ)設(shè)施的云廠商責(zé)無旁貸�����。騰訊云安全產(chǎn)品負(fù)責(zé)人周荃認(rèn)為:“我們的業(yè)務(wù)可能是多云的�����、混合云部署的��,但是我們希望安全運(yùn)營可以是統(tǒng)一的���。”
周荃介紹����,在多云/混合云趨勢(shì)下���,越來越多的企業(yè)有統(tǒng)一安全運(yùn)營的需求����,近幾年,騰訊云安全也一直在推進(jìn)云安全產(chǎn)品的“一體化”���。2021年���,騰訊云曾提出來云安全“3+1”防線的模型。
2022年���,騰訊云安全發(fā)布云安全中心,打通了云防火墻���、云WAF�、云主機(jī)安全三道防線����,實(shí)現(xiàn)了云安全產(chǎn)品的一體化。
今年��,騰訊云安全升級(jí)發(fā)布“全域安全”解決方案����,將云安全中心與主機(jī)安全合二為一��,打造了CNAPP+SIEM的安全一體化平臺(tái)及可插拔式安全底座���,企業(yè)可在底座上層“樂高式”搭建安全產(chǎn)品模塊,實(shí)現(xiàn)公有云����、混合云、自研云的多云統(tǒng)一管理�����,以及橫跨生產(chǎn)網(wǎng)����、辦公網(wǎng)、互聯(lián)網(wǎng)的三位一體防護(hù)��,即“全域安全”�����。
周荃稱�,騰訊云安全之所以要打通云安全中心和主機(jī)安全�,是因?yàn)楦咝У陌踩\(yùn)營往往是基于數(shù)據(jù)和驅(qū)動(dòng)的����,安全數(shù)據(jù)的收集是安全運(yùn)營工作的基礎(chǔ)。而服務(wù)器上的業(yè)務(wù)運(yùn)行數(shù)據(jù)����,以及網(wǎng)絡(luò)側(cè)的訪問和請(qǐng)求數(shù)據(jù)等基本上是在主機(jī)安全和安全運(yùn)營中心之上,兩個(gè)產(chǎn)品結(jié)合有利于數(shù)據(jù)的高效收集��。
“我們認(rèn)為���,實(shí)現(xiàn)全域安全的前提是平臺(tái)化����,主機(jī)安全和云安全中心融合為一體化平臺(tái)的底座�,是為后續(xù)的全域融合打下基礎(chǔ)�����,同時(shí)騰訊云防火墻4.0版本�����、騰訊云WAF5.0也都是沿著全域安全方向進(jìn)一步防護(hù)升級(jí)。”周荃表示���。
另外�����,騰訊云安全發(fā)布的AI安全助手��,覆蓋了告警解釋��、漏洞修復(fù)����、日志處理��、智能客服等四大能力����,將會(huì)在2024年1月全量正式上線。
據(jù)周荃介紹����,騰訊云AI安全助手主要解決兩大類的需求:一類是高頻場(chǎng)景,即確定性的�、重復(fù)的工作可以交給AI來完成����,例如封禁一個(gè)IP�、封禁10000個(gè)IP和封禁“過去30天攻擊過我的高危告警IP”都是確定性的事情,通過AI安全助手��,企業(yè)只需要一次對(duì)話就可以完成�����。
第二類是硬核場(chǎng)景��,即需要安全專業(yè)能力和經(jīng)驗(yàn)判斷的工作���,例如告警解釋����、事件溯源分析�、應(yīng)急響應(yīng)等,都可以交給騰訊云AI安全助手來進(jìn)行輔助�����。
生成式人工智能的發(fā)展����,有可能將增強(qiáng)網(wǎng)絡(luò)攻擊者的能力,成為網(wǎng)絡(luò)威脅的助推器���。云安全也需要與時(shí)俱新�,有新的應(yīng)對(duì)手段��。未來面對(duì)更復(fù)雜的多云環(huán)境和攻擊手段�,還需要云廠商、企業(yè)等的共同推動(dòng)��。
文章內(nèi)容僅供閱讀�,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待�����。投資者據(jù)此操作���,風(fēng)險(xiǎn)自擔(dān)���。
京公網(wǎng)安備 11010502041587號(hào)