導讀:6月24日,以“守護云原生安全,構(gòu)建企業(yè)安全‘護城河’”為主題的第四期《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》安全系列線上研討會成功舉行。
6月24日,以“守護云原生安全,構(gòu)建企業(yè)安全‘護城河’”為主題的第四期《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》安全系列線上研討會成功舉行,在CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長劉晶的主持下,來自北京賽博英杰科技有限公司創(chuàng)始人、董事長譚曉生、高途集團CSO董伊昔、中科院計算所高級工程師李明宇、騰訊安全云鼎實驗室云原生安全產(chǎn)品總監(jiān)陶芬,共同探討了云原生安全體系建設的實踐路徑。
訂閱式云安全或?qū)⒁I安全產(chǎn)業(yè)發(fā)展
北京賽博英杰科技有限公司創(chuàng)始人、董事長譚曉生再次光臨直播間,發(fā)表了《云原生安全挑戰(zhàn)與市場分析》主題演講。譚曉生指出,目前云計算處于云原生快速崛起,云網(wǎng)融合需求旺盛發(fā)展,云管理和優(yōu)化需求凸顯,安全體系革新的階段,數(shù)字化發(fā)展加速進入了云原生時代。
他全面細致地介紹了云原生及云原生安全的發(fā)展現(xiàn)狀。如今云原生相關的技術呈井噴式發(fā)展,因開發(fā)模式、部署方式、運營方式的變化,對云原生安全也提出了全新的挑戰(zhàn)。在介紹最新云原生架構(gòu)“Service Mesh”時,解釋道:“Service Mesh”提供的“Sidecar”機制非常好,包含了服務發(fā)現(xiàn),負載均衡,服務的降級,調(diào)用鏈,故障日志、監(jiān)控、度量、身份認證、加密、訪問控制等可提供程序測量和安全服務。因此,如何更好地應用“sidecash”來助力云原生架構(gòu)下的安全,將是非常有意義的一件事情。
同時,他還講解了Gartner《Hyper Cycle for Cloud Security2021》的“Gartner云安全全家桶”。它涵蓋了CSPM(云安全的態(tài)勢管理),CSPM(合規(guī)性評估,風險識別,操作監(jiān)控,集成,策略執(zhí)行,威脅防護等),以及CWPP(云負載保護平臺),通過對主機的防護,漏洞的利用防護,應用的白名單,系統(tǒng)的一致性,網(wǎng)絡分段,系統(tǒng)監(jiān)控,工作負載配置等,云實現(xiàn)云原生的安全防護。
關于云原生安全在發(fā)展中面臨的機遇和挑戰(zhàn),北京賽博英杰科技有限公司董事長譚曉生進行了預測和分析:
“原有的安全產(chǎn)品解決方案僅能解決部分問題,云原生安全的要求是既懂安全又懂云原生開發(fā),這也給國內(nèi)云原生安全的賽道提供了更多創(chuàng)新和創(chuàng)業(yè)的機會。
而訂閱式的云原生安全也會隨著云原生的發(fā)展得以快速鋪開,這對于云安全的產(chǎn)業(yè)的發(fā)展,對于安全產(chǎn)業(yè)發(fā)展都是一個非常大的利好?!?/p>
安全體系中云架構(gòu)的六大構(gòu)成
高途集團CSO董伊昔為我們帶來了《高途云原生安全實踐分享》。董伊昔首先介紹了高途集團的網(wǎng)絡安全體系規(guī)劃,參照了ISO和IEC270001、7799等國際和國內(nèi)的安全標準,并結(jié)合以往經(jīng)驗及各大互聯(lián)網(wǎng)廠商的安全體系建設標準,制訂出了高途集團的《ISMS四層安全體系架構(gòu)》。其中就包括了云環(huán)境架構(gòu),整個架構(gòu)體系從外到內(nèi)將公司進行細粒度劃分,再層層剝離,劃分好再進行最終落地。
其中關于安全體系架構(gòu)中二層云架構(gòu)的六大構(gòu)成,董伊昔也進行了著重介紹。
第一、云的基礎安全。基于高途集團業(yè)務層使用了阿里和騰訊云,在云環(huán)境上及整個云底層,真正實現(xiàn)落地的是基于兩個云廠商本身提供的主機安全,HIDS等。
第二、應用層的應用安全。作為投入精力最大的重要環(huán)節(jié),會從攻擊者角度出發(fā),進行優(yōu)先防護。
第三、防護層的安全防護。在接觸新產(chǎn)品或是考慮流量壓力時,會在應用級別搭建云安全架構(gòu)。
第四、業(yè)務層面的安全防控。從合規(guī)角度出發(fā),進行業(yè)務風控及訪問來源的監(jiān)控,并降低業(yè)務運營成本。
第五、解決數(shù)據(jù)安全。數(shù)據(jù)安全在云架構(gòu)來講,是與業(yè)務安全,應用安全密切關聯(lián)的,也是最核心資產(chǎn)。通過對線上數(shù)據(jù)或者對C端數(shù)據(jù)進行分類分級,做脫敏,再從數(shù)據(jù)安全全生命周期過行API監(jiān)控。
第六、賬號安全。從管理要求出發(fā),通過堡壘級審計認證去管理,并結(jié)合上述五部分,在內(nèi)部建立安全運營中心。
此外,董伊昔還特別介紹了ISMS四層體系架構(gòu)的第四層體系:
作為最終的落地的體系,需要解決歷史遺留問題、安全威脅風險。所以,最終落地措施就是整體統(tǒng)一管理,通過指標體系來評價目標建設情況。指標體系包括了建設指標和運營指標,建設指標的兩個參數(shù)是覆蓋率和完成率,運營指標的兩個參數(shù)是響應時間和發(fā)現(xiàn)時間,再通過色彩不同顯示完成情況。
云原生模式保護云原生應用
中科院計算所高級工程師李明宇帶來了《基于云原生的架構(gòu)創(chuàng)新及實踐》的主題分享。李明宇首先談了從“機器原生”到“云原生”的架構(gòu)創(chuàng)新的現(xiàn)狀和技術方向。通過實踐案例的分享,為我們講述了企業(yè)在進行數(shù)字化轉(zhuǎn)型時,傳統(tǒng)的開發(fā)方式和應用構(gòu)建技術面臨的難點和挑戰(zhàn),以及云原生助力企業(yè)轉(zhuǎn)型中,在算法模塊、集成框架、部署實施方面發(fā)揮的重要作用。
鑒于云原生帶來的敏捷性、可擴展性等方面的優(yōu)勢,越來越多企業(yè)的IT正在向云原生方式轉(zhuǎn)變,技術的更新顯得尤為重要,云原生技術體系愈發(fā)變得更加龐大且復雜,云原生應用在創(chuàng)新上也將面臨技術能力的挑戰(zhàn)。面對企業(yè)云原生技術能力參差不齊的問題,李明宇講述了如何通過“云原生應用設計模式”歸納沉淀最佳實踐,助力企業(yè)更好的落地云原生應用。
李明宇也為我們分享了關于原生應用保護的思考:
“備份與容災是應用保護很重要的方面,云原生應用保護需要以應用為中心,充分考慮云原生應用的特點,支持以應用為粒度去保護,可參考CNCF OAM等應用模型,并且要支持容器、應用和命名空間三個層次。用云原生模式保護云原生應用,通過提供API,讓應用開發(fā)者更好地表明保護對象,再以自動手段實現(xiàn)其災備。保護手段本身的實現(xiàn)也遵循云原生模式,采用聲明式API和Operator來實現(xiàn),并與云原生基礎設施結(jié)合起來?!?/p>
云原生安全的攻守道
最后,來自騰訊安全云鼎實驗室云原生產(chǎn)品安全總監(jiān)陶芬為我們帶來了《騰訊云原生安全的攻守道之路》。陶芬首先介紹了云原生架構(gòu)在逐步成熟落地中面臨的眾多安全風險以及容器的短生命周期、密度大、云原生下的DevSecOps、安全能力云原生等對企業(yè)的運營安全運營能力的挑戰(zhàn)。
知攻:容器在野攻擊、安全攻防矩陣
騰訊安全云鼎實驗室在近幾年對容器在野攻擊的研究和監(jiān)測中發(fā)現(xiàn),絕大多數(shù)應用云原生技術的企業(yè)都經(jīng)歷了容器安全事件。而對DockerHub黑產(chǎn)的監(jiān)控分析顯示,黑產(chǎn)已經(jīng)攻陷了在網(wǎng)約1.9億個容器,并且攻擊種類和對抗還在持續(xù)提升,安全問題已成為影響用戶落地云原生的重要考量因素。
未來,云原生應用的供應鏈攻擊將是安全關注的重點,而云原生安全攻防已進入對抗的實戰(zhàn)化階段。
懂防:騰訊云的云原生安全能力架構(gòu)
承載了整個騰訊全量云原生業(yè)務的騰訊云容器平臺,有著業(yè)內(nèi)最大規(guī)模的自研上云容器應用。在安全體系架構(gòu)中遵循了四大原則:一是安全能力原生化,二是安全左移,三是全生命周期的安全防護,四是零信任的安全架構(gòu)。
騰訊云的容器安全防護體系框架,按照云原生架構(gòu)層次化的方式,可以逐層地實現(xiàn)安全防護,打造出承載騰訊業(yè)務的云原生安全的容器云,同時也能夠助力企業(yè)安全的實現(xiàn)云原生轉(zhuǎn)型。
內(nèi)功:騰訊云容器安全管理及運營實踐
安全運營是目標,安全能力是手段。在內(nèi)部推進容器安全運營時,可以參考NIST的網(wǎng)絡安全框架,將容器的安全運營分為五個并行且連續(xù)的步驟,分別是:識別、防護、檢測、響應和恢復。
在云原生場景下,安全運營落地還面臨著眾多挑戰(zhàn):技術門檻方面,懂安全的不懂云原生,懂云原生的不懂安全,企業(yè)的安全運營人員需要逐步地去補齊云原生的知識和運維的知識;流程規(guī)范方面,業(yè)務野蠻生長,配套的安全能力的建設和安全運營的流程規(guī)范跟不上;人和資產(chǎn)方面,角色復雜,設計開發(fā)、安全、容器PaaS平臺方、運維,安全意識較為薄弱,資產(chǎn)歸屬不清晰。
企業(yè)云原生的安全運營能力建設需注意四個關鍵點:做好鏡像的安全管控;主動容器集群層面的安全加固;強大容器運行時的安全防護;建立基本的容器資產(chǎn)大盤應急。
在分享最后,陶芬分享了目前騰訊安全在云原生安全方面的落地實踐進展。
攻防皆有道的騰訊安全已與信通院、清華大學聯(lián)合成立了行業(yè)首個云原生安全實驗室,發(fā)布了首個云原生安全的測試平臺,目前測試平臺的基礎框架已經(jīng)建設完成,未來在實戰(zhàn)演練的階段會擴展到實戰(zhàn)演練環(huán)境,聚焦云原生的技術實戰(zhàn)化的驗證。
隨著數(shù)字時代的發(fā)展,云原生技術的使用已經(jīng)成為必然趨勢,企業(yè)在享受云原生技術帶來的便利的同時,也面臨著日益復雜環(huán)境帶來的挑戰(zhàn)。我們也希望,本期研討會能夠助力企業(yè)明確發(fā)展需求,找到應用云原生技術的最佳路徑,構(gòu)建云原生安全體系,實現(xiàn)企業(yè)的創(chuàng)新發(fā)展。
至此,《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》安全系列線上研討會的四期主題研討也圓滿結(jié)束。后續(xù),CIO時代還將與騰訊安全聯(lián)合舉辦其它主題的系列研討會,為助力企業(yè)數(shù)字化轉(zhuǎn)型貢獻自己的綿薄之力。