6月24日�,以“守護云原生安全,構(gòu)建企業(yè)安全‘護城河’”為主題的第四期《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》安全系列線上研討會成功舉行����,在CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長劉晶的主持下�����,來自北京賽博英杰科技有限公司創(chuàng)始人�����、董事長譚曉生�����、高途集團CSO董伊昔���、中科院計算所高級工程師李明宇����、騰訊安全云鼎實驗室云原生安全產(chǎn)品總監(jiān)陶芬,共同探討了云原生安全體系建設的實踐路徑����。
訂閱式云安全或?qū)⒁I安全產(chǎn)業(yè)發(fā)展
北京賽博英杰科技有限公司創(chuàng)始人�����、董事長譚曉生再次光臨直播間����,發(fā)表了《云原生安全挑戰(zhàn)與市場分析》主題演講。譚曉生指出�����,目前云計算處于云原生快速崛起�����,云網(wǎng)融合需求旺盛發(fā)展��,云管理和優(yōu)化需求凸顯,安全體系革新的階段����,數(shù)字化發(fā)展加速進入了云原生時代。
他全面細致地介紹了云原生及云原生安全的發(fā)展現(xiàn)狀�。如今云原生相關的技術呈井噴式發(fā)展,因開發(fā)模式�����、部署方式���、運營方式的變化�����,對云原生安全也提出了全新的挑戰(zhàn)�。在介紹最新云原生架構(gòu)“Service Mesh”時���,解釋道:“Service Mesh”提供的“Sidecar”機制非常好�����,包含了服務發(fā)現(xiàn)�,負載均衡,服務的降級����,調(diào)用鏈,故障日志���、監(jiān)控�、度量�����、身份認證�、加密�����、訪問控制等可提供程序測量和安全服務�����。因此�����,如何更好地應用“sidecash”來助力云原生架構(gòu)下的安全,將是非常有意義的一件事情�����。
同時���,他還講解了Gartner《Hyper Cycle for Cloud Security2021》的“Gartner云安全全家桶”����。它涵蓋了CSPM(云安全的態(tài)勢管理)���,CSPM(合規(guī)性評估�,風險識別���,操作監(jiān)控�,集成�����,策略執(zhí)行�����,威脅防護等),以及CWPP(云負載保護平臺)�,通過對主機的防護,漏洞的利用防護�,應用的白名單,系統(tǒng)的一致性�����,網(wǎng)絡分段����,系統(tǒng)監(jiān)控,工作負載配置等�,云實現(xiàn)云原生的安全防護�。
關于云原生安全在發(fā)展中面臨的機遇和挑戰(zhàn),北京賽博英杰科技有限公司董事長譚曉生進行了預測和分析:
“原有的安全產(chǎn)品解決方案僅能解決部分問題����,云原生安全的要求是既懂安全又懂云原生開發(fā),這也給國內(nèi)云原生安全的賽道提供了更多創(chuàng)新和創(chuàng)業(yè)的機會�����。
而訂閱式的云原生安全也會隨著云原生的發(fā)展得以快速鋪開����,這對于云安全的產(chǎn)業(yè)的發(fā)展�,對于安全產(chǎn)業(yè)發(fā)展都是一個非常大的利好�����?���!?/p>
安全體系中云架構(gòu)的六大構(gòu)成
高途集團CSO董伊昔為我們帶來了《高途云原生安全實踐分享》。董伊昔首先介紹了高途集團的網(wǎng)絡安全體系規(guī)劃�����,參照了ISO和IEC270001�、7799等國際和國內(nèi)的安全標準,并結(jié)合以往經(jīng)驗及各大互聯(lián)網(wǎng)廠商的安全體系建設標準����,制訂出了高途集團的《ISMS四層安全體系架構(gòu)》。其中就包括了云環(huán)境架構(gòu)���,整個架構(gòu)體系從外到內(nèi)將公司進行細粒度劃分����,再層層剝離,劃分好再進行最終落地�����。
其中關于安全體系架構(gòu)中二層云架構(gòu)的六大構(gòu)成�,董伊昔也進行了著重介紹。
第一����、云的基礎安全。基于高途集團業(yè)務層使用了阿里和騰訊云�,在云環(huán)境上及整個云底層,真正實現(xiàn)落地的是基于兩個云廠商本身提供的主機安全���,HIDS等�����。
第二、應用層的應用安全�。作為投入精力最大的重要環(huán)節(jié),會從攻擊者角度出發(fā)�,進行優(yōu)先防護。
第三、防護層的安全防護�。在接觸新產(chǎn)品或是考慮流量壓力時,會在應用級別搭建云安全架構(gòu)�����。
第四�����、業(yè)務層面的安全防控�����。從合規(guī)角度出發(fā)����,進行業(yè)務風控及訪問來源的監(jiān)控,并降低業(yè)務運營成本�。
第五、解決數(shù)據(jù)安全�����。數(shù)據(jù)安全在云架構(gòu)來講���,是與業(yè)務安全����,應用安全密切關聯(lián)的,也是最核心資產(chǎn)����。通過對線上數(shù)據(jù)或者對C端數(shù)據(jù)進行分類分級,做脫敏����,再從數(shù)據(jù)安全全生命周期過行API監(jiān)控。
第六��、賬號安全���。從管理要求出發(fā)�����,通過堡壘級審計認證去管理����,并結(jié)合上述五部分��,在內(nèi)部建立安全運營中心�。
此外,董伊昔還特別介紹了ISMS四層體系架構(gòu)的第四層體系:
作為最終的落地的體系����,需要解決歷史遺留問題、安全威脅風險�。所以,最終落地措施就是整體統(tǒng)一管理��,通過指標體系來評價目標建設情況����。指標體系包括了建設指標和運營指標,建設指標的兩個參數(shù)是覆蓋率和完成率����,運營指標的兩個參數(shù)是響應時間和發(fā)現(xiàn)時間,再通過色彩不同顯示完成情況�����。
云原生模式保護云原生應用
中科院計算所高級工程師李明宇帶來了《基于云原生的架構(gòu)創(chuàng)新及實踐》的主題分享�。李明宇首先談了從“機器原生”到“云原生”的架構(gòu)創(chuàng)新的現(xiàn)狀和技術方向。通過實踐案例的分享�,為我們講述了企業(yè)在進行數(shù)字化轉(zhuǎn)型時�����,傳統(tǒng)的開發(fā)方式和應用構(gòu)建技術面臨的難點和挑戰(zhàn)����,以及云原生助力企業(yè)轉(zhuǎn)型中�����,在算法模塊��、集成框架�����、部署實施方面發(fā)揮的重要作用���。
鑒于云原生帶來的敏捷性����、可擴展性等方面的優(yōu)勢��,越來越多企業(yè)的IT正在向云原生方式轉(zhuǎn)變�����,技術的更新顯得尤為重要�����,云原生技術體系愈發(fā)變得更加龐大且復雜����,云原生應用在創(chuàng)新上也將面臨技術能力的挑戰(zhàn)。面對企業(yè)云原生技術能力參差不齊的問題���,李明宇講述了如何通過“云原生應用設計模式”歸納沉淀最佳實踐��,助力企業(yè)更好的落地云原生應用�����。
李明宇也為我們分享了關于原生應用保護的思考:
“備份與容災是應用保護很重要的方面�,云原生應用保護需要以應用為中心�����,充分考慮云原生應用的特點�����,支持以應用為粒度去保護,可參考CNCF OAM等應用模型��,并且要支持容器�、應用和命名空間三個層次。用云原生模式保護云原生應用�����,通過提供API����,讓應用開發(fā)者更好地表明保護對象,再以自動手段實現(xiàn)其災備�����。保護手段本身的實現(xiàn)也遵循云原生模式�����,采用聲明式API和Operator來實現(xiàn)�,并與云原生基礎設施結(jié)合起來。”
云原生安全的攻守道
最后�����,來自騰訊安全云鼎實驗室云原生產(chǎn)品安全總監(jiān)陶芬為我們帶來了《騰訊云原生安全的攻守道之路》����。陶芬首先介紹了云原生架構(gòu)在逐步成熟落地中面臨的眾多安全風險以及容器的短生命周期�、密度大、云原生下的DevSecOps���、安全能力云原生等對企業(yè)的運營安全運營能力的挑戰(zhàn)�����。
知攻:容器在野攻擊���、安全攻防矩陣
騰訊安全云鼎實驗室在近幾年對容器在野攻擊的研究和監(jiān)測中發(fā)現(xiàn),絕大多數(shù)應用云原生技術的企業(yè)都經(jīng)歷了容器安全事件�����。而對DockerHub黑產(chǎn)的監(jiān)控分析顯示�����,黑產(chǎn)已經(jīng)攻陷了在網(wǎng)約1.9億個容器,并且攻擊種類和對抗還在持續(xù)提升�����,安全問題已成為影響用戶落地云原生的重要考量因素����。
未來,云原生應用的供應鏈攻擊將是安全關注的重點�����,而云原生安全攻防已進入對抗的實戰(zhàn)化階段�。
懂防:騰訊云的云原生安全能力架構(gòu)
承載了整個騰訊全量云原生業(yè)務的騰訊云容器平臺,有著業(yè)內(nèi)最大規(guī)模的自研上云容器應用�。在安全體系架構(gòu)中遵循了四大原則:一是安全能力原生化,二是安全左移�����,三是全生命周期的安全防護���,四是零信任的安全架構(gòu)�����。
騰訊云的容器安全防護體系框架����,按照云原生架構(gòu)層次化的方式,可以逐層地實現(xiàn)安全防護�,打造出承載騰訊業(yè)務的云原生安全的容器云,同時也能夠助力企業(yè)安全的實現(xiàn)云原生轉(zhuǎn)型�����。
內(nèi)功:騰訊云容器安全管理及運營實踐
安全運營是目標����,安全能力是手段����。在內(nèi)部推進容器安全運營時,可以參考NIST的網(wǎng)絡安全框架�,將容器的安全運營分為五個并行且連續(xù)的步驟,分別是:識別�、防護、檢測����、響應和恢復�。
在云原生場景下�,安全運營落地還面臨著眾多挑戰(zhàn):技術門檻方面,懂安全的不懂云原生�����,懂云原生的不懂安全���,企業(yè)的安全運營人員需要逐步地去補齊云原生的知識和運維的知識���;流程規(guī)范方面,業(yè)務野蠻生長�����,配套的安全能力的建設和安全運營的流程規(guī)范跟不上�����;人和資產(chǎn)方面�,角色復雜,設計開發(fā)����、安全����、容器PaaS平臺方�����、運維����,安全意識較為薄弱,資產(chǎn)歸屬不清晰��。
企業(yè)云原生的安全運營能力建設需注意四個關鍵點:做好鏡像的安全管控�����;主動容器集群層面的安全加固��;強大容器運行時的安全防護�����;建立基本的容器資產(chǎn)大盤應急�����。
在分享最后�����,陶芬分享了目前騰訊安全在云原生安全方面的落地實踐進展�。
攻防皆有道的騰訊安全已與信通院、清華大學聯(lián)合成立了行業(yè)首個云原生安全實驗室�����,發(fā)布了首個云原生安全的測試平臺�,目前測試平臺的基礎框架已經(jīng)建設完成,未來在實戰(zhàn)演練的階段會擴展到實戰(zhàn)演練環(huán)境�,聚焦云原生的技術實戰(zhàn)化的驗證。
隨著數(shù)字時代的發(fā)展����,云原生技術的使用已經(jīng)成為必然趨勢,企業(yè)在享受云原生技術帶來的便利的同時���,也面臨著日益復雜環(huán)境帶來的挑戰(zhàn)���。我們也希望�,本期研討會能夠助力企業(yè)明確發(fā)展需求����,找到應用云原生技術的最佳路徑,構(gòu)建云原生安全體系����,實現(xiàn)企業(yè)的創(chuàng)新發(fā)展。
至此��,《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》安全系列線上研討會的四期主題研討也圓滿結(jié)束�。后續(xù),CIO時代還將與騰訊安全聯(lián)合舉辦其它主題的系列研討會�,為助力企業(yè)數(shù)字化轉(zhuǎn)型貢獻自己的綿薄之力。
