當(dāng)前,我國全面進入云和數(shù)字化時代,云是數(shù)字化轉(zhuǎn)型的底座,是新一代基礎(chǔ)設(shè)施建設(shè)的基礎(chǔ)。云開始承擔(dān)越來越多的使命,不僅云上資產(chǎn)越來越重要,云上攻擊也愈演愈烈。同時,云計算顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全實踐,給安全防守帶來了許多新的安全挑戰(zhàn)。
對此,在“2023云安全高峰論壇暨青藤品牌升級發(fā)布會”上,來自產(chǎn)學(xué)研用各方的專家,就“云時代,網(wǎng)絡(luò)攻防對抗的發(fā)展演化”主題,針對云計算帶來的安全變化,云安全防護發(fā)展趨勢,開源軟件安全風(fēng)險,云安全托管發(fā)展前景,多云安全體系建設(shè)等問題開展了圓桌討論。主持本次討論的專家是青藤云安全副總裁萬京平,參與本次討論的嘉賓有北京大學(xué)教授、網(wǎng)絡(luò)與信息安全實驗室主任陳鐘,中國信通院云大所開源和軟件安全部主任郭雪,首都在線CTO王春發(fā),北汽福田汽車(600166)股份有限公司基礎(chǔ)設(shè)施及信息安全部負(fù)責(zé)人張志強,浪潮云安全產(chǎn)品總監(jiān)王禹博。
主持人:云計算,讓安全保護對象、安全管理、應(yīng)用架構(gòu)等都發(fā)生了根本性變化,那么云計算,到底給安全帶來了哪些本質(zhì)變化?請陳鐘主任、郭雪主任從產(chǎn)業(yè)的角度為我們分享;請志強總、春發(fā)總、禹博總站在攻防實戰(zhàn)的角度為我們分享。
(資料圖)
北京大學(xué)教授、網(wǎng)絡(luò)與信息安全實驗室主任陳鐘:
現(xiàn)在上云已經(jīng)是一個不爭的事實,今天我們看到各種云化的應(yīng)用。過去,為了實現(xiàn)云計算的集中管理,催生了軟件定義網(wǎng)絡(luò)SDN。現(xiàn)在,業(yè)務(wù)上云后,你的計算在哪,安全防護也在哪,改變了原來攻防不對稱的形態(tài)。這既有好的一面,可以動態(tài)調(diào)度云上的各種資源對安全攻防進行支撐;這也有壞的一面,資源過度集中以后,使得自動化攻擊變得更加便利。
同時,隨著AI大模型、GPT等出現(xiàn)以后,云計算架構(gòu)還在變化,特別是在計算、存儲、CPU加速方面會有一個新的結(jié)構(gòu)性的調(diào)整。青藤預(yù)先提出一些先進的、創(chuàng)新的云安全解決方案,正在適應(yīng)這種變遷。未來當(dāng)AI人工智能融合到更多工具服務(wù)中的時候,我們的安全也能迅速跟得上。
中國信通院云大所開源和軟件安全部主任郭雪:
我說幾點我自己的感受。
? 首先,云計算極大地提升了信息系統(tǒng)建設(shè)速度,所以安全的建設(shè)速度也要加快,以匹配信息化建設(shè)的速度。
? 其次,未來云和安全一定是深度融合發(fā)展的,需要從研發(fā)階段就去關(guān)注安全,所以云計算給安全帶來的第二點重要變化就是云原生安全。
? 然后,大家都比較關(guān)注云上安全責(zé)任的問題,因為云安全面臨的是建設(shè)方、運營方、租戶、安全廠商等多方責(zé)任,所以云上安全責(zé)任的界定是很重要的問題。? 最后,云計算的發(fā)展對云安全建設(shè)提出了更高的要求。
北汽福田汽車股份有限公司基礎(chǔ)設(shè)施及信息安全部負(fù)責(zé)人張志強:
我們目前也在做數(shù)字化轉(zhuǎn)型,云是必備的數(shù)字化底座之一。我們擁有一個成熟的混合云架構(gòu),這也讓網(wǎng)絡(luò)邊界越來越模糊,安全風(fēng)險增加,這是很多上云企業(yè)的通病。下面我從三個方面簡單說一下云時代的安全變化:
? 首先,在技術(shù)方面,隨著容器和微服務(wù)架構(gòu)等新技術(shù)的應(yīng)用,給我們帶來了新的安全風(fēng)險,安全防御也需要升級。
? 其次,在管理方面,我們面臨的最大問題是如何實現(xiàn)高效的云安全運營,這需要云技術(shù)團隊和安全團隊的高效融合協(xié)作。
? 最后,在人員培養(yǎng)方面,我們需要專業(yè)的云安全運營管理人才,實現(xiàn)企業(yè)數(shù)字化轉(zhuǎn)型中的云安全建設(shè)。
首都在線CTO王春發(fā):
我們是做云計算的公司,在全球有很大的一張網(wǎng),我們對云安全非常重視。
? 首先,如果讓我建立一套完整的安全體系,第一步會先建立資產(chǎn)清點能力。因為云上有很多動態(tài)資源,比如虛擬機,虛擬的網(wǎng)絡(luò)定義,虛擬的網(wǎng)絡(luò)存儲,這讓資產(chǎn)清點難度非常大。
? 其次,我們的客戶和我們自身,都在用微服務(wù)架構(gòu)和容器技術(shù),容器的生命周期非常短,這使得網(wǎng)絡(luò)攻擊溯源非常難,這也是我現(xiàn)在碰到的難題。
? 最后,因為所有容器共用一個操作系統(tǒng),單個系統(tǒng)漏洞風(fēng)險會在整個集群廣播,使得風(fēng)險擴散速度非常快,管控難度非常高。面對這些云上安全的新變化,我們期望和青藤這樣的云安全廠商深度合作。一是可以加深我們云底座安全;二是我們的客戶也可以享受到多樣化的云安全產(chǎn)品。
浪潮云安全產(chǎn)品總監(jiān)王禹博:
剛才春發(fā)總講的很好,我們都屬于云服務(wù)商,所以云計算給安全帶來的這些困難和麻煩我們感同身受,我簡單再補充兩點。
? 首先,大家關(guān)注的云上安全責(zé)任共擔(dān)模型,這是云計算出現(xiàn)之后給安全帶來的挺新穎的變化,它區(qū)分了云租戶和云服務(wù)商各自的責(zé)任點。
? 其次,利用云計算本身高算力和一體化的特性,能夠讓安全產(chǎn)品發(fā)揮更好的價值和效果,實現(xiàn)統(tǒng)一、融合的云安全管理。
主持人:針對云安全防護,市場上有兩種主流做法。一是通過虛擬化安全資源池的形式,包括虛擬防火墻、虛擬WAF等;二是基于云自身特性做安全防護,例如基于容器的DevSecOps全流程安全,這兩種方式未來發(fā)展情況各位專家怎么看?
首都在線CTO王春發(fā):
剛才提到一個概念DevSecOps,我認(rèn)為它確實解決了傳統(tǒng)安全模型解決不了的安全問題,把安全團隊、安全管理引入到開發(fā)、測試、上線的整個過程,在CI/CD過程都可以看到安全的影子,比如代碼的掃描、漏洞的掃描、安全管控等等。我列舉兩個例子:
? 首先,我們所有研發(fā)人員在提交代碼的時候都會進行代碼安全漏洞掃描,這個過程是完全自動化的。
? 其次,DevSecOps本身有很重的安全運維過程,這是傳統(tǒng)的虛擬防火墻、WAF、主機安全、抗DDOS不能替代的。
北汽福田汽車股份有限公司基礎(chǔ)設(shè)施及信息安全部負(fù)責(zé)人張志強:
我想從業(yè)務(wù)角度回答這個問題,我們現(xiàn)在的業(yè)務(wù)形態(tài)多種多樣,有傳統(tǒng)的,也有云原生化的,這兩種形態(tài)在未來一段時間會共存。傳統(tǒng)型業(yè)務(wù)需要防火墻和虛擬WAF等進行南北向安全防護;另外一種云原生化的業(yè)務(wù),我們會采用云原生安全的方式去做,把現(xiàn)在所說的這些安全功能揉進去。比如我們引入VSOC,同時把青藤的入侵檢測能力整合到我們整體的安全架構(gòu)中。所以說,基于企業(yè)的業(yè)務(wù)形態(tài),傳統(tǒng)虛擬化資源池的安全防護方式和云原生安全的防護方式會共存發(fā)展。
主持人:2019年,中央網(wǎng)信辦、國家發(fā)改委、工信部、財政部4部委聯(lián)合發(fā)布《云計算服務(wù)安全評估辦法》,旨在提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平。那么針對當(dāng)前開源軟件的安全風(fēng)險,各位專家是如何看待的?
北京大學(xué)教授、網(wǎng)絡(luò)與信息安全實驗室主任陳鐘:
云計算快速發(fā)展,其中開源軟件扮演了非常重要的角色。因此,開源軟件安全問題就變得非常重要了。本來開源是眾人之眼,大家都看著它,它的安全性應(yīng)該是很強的,但是我們發(fā)現(xiàn),很多開源軟件會突然爆發(fā)高危漏洞。我們國家對開源軟件的安全高度重視,在制度建設(shè)、標(biāo)準(zhǔn)研制、技術(shù)研發(fā)上都在全力突破,希望更好地應(yīng)對開源漏洞帶來的風(fēng)險。
中國信通院云大所開源和軟件安全部主任郭雪:
開源應(yīng)用非常廣,我的團隊一直在運營金融開源社區(qū)、通信開源社區(qū)、汽車開源社區(qū),我們會定期調(diào)研開源的應(yīng)用率。根據(jù)最新調(diào)研數(shù)據(jù),大概34%左右的企業(yè)開源組件數(shù)量達(dá)到上萬水平,同時還有約3%的企業(yè)開源組件數(shù)量達(dá)到了十萬以上。這種情況下,我們一定要關(guān)注開源軟件的安全問題。當(dāng)然,開源的問題非常復(fù)雜,除了漏洞之外,還有知識產(chǎn)權(quán)、許可證、持續(xù)性等問題。這里重點說一下,做好開源軟件安全管理首先要做好資產(chǎn)清點,之后再做進一步的安全保護。
主持人:隨著數(shù)字化進程逐步深入,網(wǎng)絡(luò)安全壓力與日俱增,企業(yè)單純依靠自身能力管理網(wǎng)絡(luò)安全已經(jīng)分身乏術(shù)。這種情況下,托管服務(wù)成為各行業(yè)用戶提升安全水位、化解安全風(fēng)險的有效措施。各位專家如何看基于云的MSS、MDR安全托管服務(wù)在中國的發(fā)展前景?
北汽福田汽車股份有限公司基礎(chǔ)設(shè)施及信息安全部負(fù)責(zé)人張志強:
為什么我會積極引入MSS服務(wù)方式。首先是因為技術(shù)沉淀不足,我們信息安全人員的技術(shù)沉淀,沒有想象的那樣強大。其次是我們的業(yè)態(tài)發(fā)生了很多變化,很多應(yīng)用要實現(xiàn)移動化,意味著很多業(yè)務(wù)要發(fā)布到公網(wǎng)上,這使得網(wǎng)絡(luò)攻擊面增大了。
為了應(yīng)對這些問題,我們打造了統(tǒng)一聯(lián)動的安全運營體系,做成了可視化風(fēng)險處置平臺,管理員只需要看一個大屏,就可以處理我們集團18個地點的安全事件。當(dāng)然,并不是說有了這些安全防護手段就可以高枕無憂,其實還差得遠(yuǎn)。我們需要自己去打自己一鞭子,所以我們引入攻擊模擬去測試安全防御能力。在這個過程中,我們發(fā)現(xiàn)自己的運營團隊跟不上節(jié)奏,需要借助專業(yè)的安全服務(wù)團隊進行威脅分析,讓我們及時發(fā)現(xiàn)、及時處理風(fēng)險事件。以前我們認(rèn)為一定要培養(yǎng)自己的人來做安全運營。但實際上這種思路需要改變。我們可以和安全廠商深度合作,借助專業(yè)的安全服務(wù),效果更好。
主持人:企業(yè)數(shù)字化轉(zhuǎn)型過程中,大多會選擇“多云環(huán)境”的模式,這種模式帶來便利的同時,也衍生出很多新的安全風(fēng)險,比如復(fù)雜的配置問題、權(quán)限、策略等問題。那么,多云場景下,企業(yè)在搭建安全防護體系時,應(yīng)該重點關(guān)注什么?比如安全監(jiān)測及管理等方面,各位專家能否給大家一點建議?
浪潮云安全產(chǎn)品總監(jiān)王禹博:
針對云上安全防護建設(shè),我從三個方面來說一下。
? 首先,是資產(chǎn)的全面梳理,要特別關(guān)注API安全。傳統(tǒng)的主機層、服務(wù)層以及端口層大家基本上都能覆蓋,但是API安全做不好會導(dǎo)致更多的數(shù)據(jù)泄露。所以我覺得第一點是全面的資產(chǎn)梳理。
? 其次,需要重點關(guān)注身份權(quán)限管理。因為在云上部署多類應(yīng)用,身份權(quán)限管理會面臨更為復(fù)雜的情況。
? 最后,是要建立安全運營體系。從攻防角度來說,新的攻擊手段層出不窮,防御體系也需要動態(tài)變化,這就需要一套不斷優(yōu)化迭代的安全運營體系。不管是基于人+工具+流程的PPP,還是基于AI+大數(shù)據(jù)的智能融合,安全運營都是云上安全建設(shè)不可避免的一個環(huán)節(jié)。
小編總結(jié):
從各位專家的闡述總結(jié)來看,近幾年我國的云計算產(chǎn)業(yè)一直處于高速發(fā)展時期,越來越多的企業(yè)為了實現(xiàn)數(shù)字化轉(zhuǎn)型,紛紛選擇業(yè)務(wù)上云,其業(yè)務(wù)也呈現(xiàn)出開放互聯(lián)、高效運轉(zhuǎn)、結(jié)構(gòu)復(fù)雜、快速變化等特點。這些新特點給安全帶來了更為艱巨的挑戰(zhàn)。傳統(tǒng)安全在云和全面數(shù)字化變遷過程中能力有限。新時代,需要新安全。安全需要適配云的基礎(chǔ)設(shè)施,充分API化,能夠融入到業(yè)務(wù)中去,能夠高速迭代和演進。簡言之,就是實現(xiàn)“業(yè)安融合”,具體表現(xiàn)為以下四個特征:
? 敏捷:能夠跟上企業(yè)業(yè)務(wù)和安全威脅的快速變化,具備敏捷發(fā)布和部署的能力。
? 高效:在爆炸式海量數(shù)據(jù)(603138)和行為中實時發(fā)現(xiàn)并根除風(fēng)險和威脅。
? 智能:能夠基于AI進行智能化分析,提高安全防護效果。
? 連接:能夠?qū)崿F(xiàn)人與人、人與系統(tǒng)、系統(tǒng)與系統(tǒng)的連接。
我國已經(jīng)全面進入了云和數(shù)字化時代,順應(yīng)云安全發(fā)展趨勢,建設(shè)有效的云安全防護體系,成為數(shù)字經(jīng)濟發(fā)展的重要保障。
(免責(zé)聲明:此文內(nèi)容為廣告,相關(guān)素材由廣告主提供,廣告主對本廣告內(nèi)容的真實性負(fù)責(zé)。本網(wǎng)發(fā)布目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負(fù)責(zé),請自行核實相關(guān)內(nèi)容。廣告內(nèi)容僅供讀者參考。)
