文 騰訊云安全總經(jīng)理 李濱

云計(jì)算的出現(xiàn)徹底改變了 IT 產(chǎn)業(yè)和傳統(tǒng)企業(yè)的 IT 結(jié)構(gòu)，但大部分企業(yè)的理念和技術(shù)方法還停留在傳統(tǒng)的 IT 時(shí)代，很多企業(yè)只是把云當(dāng)成更大的服務(wù)器集群來(lái)使用，并沒(méi)有認(rèn)識(shí)到云所帶來(lái)的底層技術(shù)上的本質(zhì)性變革。這種理念的差異造成的最直接后果就是安全管理水平的滯后，云安全需要用新的安全管理思路和技術(shù)手段來(lái)應(yīng)對(duì)。

一、云計(jì)算帶來(lái)的新安全變化

云計(jì)算的廣泛應(yīng)用，給 IT 產(chǎn)業(yè)帶來(lái)了本質(zhì)性的改變，傳統(tǒng)的信息安全也隨之出現(xiàn)了新的挑戰(zhàn)。

（一）安全管理模型的變化

傳統(tǒng)安全領(lǐng)域，IT 資產(chǎn)的所有權(quán)和設(shè)備的控制權(quán)基本是一致的，誰(shuí)使用誰(shuí)購(gòu)買(mǎi)、誰(shuí)擁有誰(shuí)管理。例如，企業(yè)的 IT 系統(tǒng)往往包含多個(gè)子系統(tǒng)，有歸屬于財(cái)務(wù)部門(mén)的企業(yè)資源計(jì)劃（ERP），有歸屬于人力資源部門(mén)的人力資源管理（HRM）等，這些權(quán)責(zé)分明的子系統(tǒng)共同構(gòu)建形成企業(yè)內(nèi)部的 IT網(wǎng)絡(luò)。子系統(tǒng)的所有權(quán)和使用權(quán)都有明確的歸屬，物理邊界非常清晰，相應(yīng)的安全解決方案也容易部署。但在云計(jì)算里，IT 資產(chǎn)大部分是“租用的”，資產(chǎn)的所有權(quán)、控制權(quán)以及企業(yè)選擇服務(wù)、產(chǎn)品和技術(shù)模型的方式產(chǎn)生了根本性的變化，這對(duì)企業(yè)安全體系建設(shè)造成了巨大的影響。

（二）計(jì)算內(nèi)容和技術(shù)的變化

云計(jì)算還帶來(lái)了算力的變化和數(shù)據(jù)量的變化，這兩個(gè)變化導(dǎo)致傳統(tǒng)的安全機(jī)制在云上不再適用。算力方面以數(shù)據(jù)加密技術(shù)為例，20 年前一臺(tái)標(biāo)準(zhǔn)的服務(wù)器破解信息摘要加密算法（MD5）的次數(shù)基本是每秒幾千次到萬(wàn)次左右，所以 MD5在 20 年前是比較安全的算法，但是今天一臺(tái)普通的臺(tái)式機(jī)通過(guò)圖形處理器（GPU）加速技術(shù)，破解 MD5 加密的速度已經(jīng)達(dá)到每秒鐘 55 億次以上，算力比過(guò)去提高了上千萬(wàn)倍，這會(huì)導(dǎo)致傳統(tǒng)安全的機(jī)制由于算力的大幅提升而失效。另外數(shù)據(jù)量的增大也對(duì)安全機(jī)制會(huì)產(chǎn)生影響，仍然以數(shù)據(jù)加密技術(shù)為例，如果是對(duì)一個(gè)較少的數(shù)據(jù)加密，加密的時(shí)間、成本和性能的影響可以忽略不計(jì)，如果到了 T 級(jí)、P 級(jí)，加密時(shí)長(zhǎng)要達(dá)到幾分鐘、幾個(gè)小時(shí)甚至幾天，在實(shí)際的業(yè)務(wù)運(yùn)行環(huán)境中是無(wú)法接受的。

（三）基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)的變化

云時(shí)代各種新技術(shù)不斷涌現(xiàn)，例如扁平化的架構(gòu)、虛擬化技術(shù)的應(yīng)用，以及普遍存在的分布式機(jī)構(gòu)、異構(gòu)計(jì)算、服務(wù)的抽象化等，這些技術(shù)都會(huì)導(dǎo)致不管是攻擊面還是攻擊路徑，云安全都會(huì)呈現(xiàn)更復(fù)雜的狀態(tài)。

傳統(tǒng)的 IT 系統(tǒng)建設(shè)周期很長(zhǎng)，從半年甚至長(zhǎng)達(dá)幾年時(shí)間，系統(tǒng)的整個(gè)生命周期可能有幾年到幾十年的時(shí)間。面對(duì)生命周期很長(zhǎng)的 IT 系統(tǒng)，安全建設(shè)可能是按一年的周期來(lái)做整個(gè)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，按月為單位做漏洞掃描，按月或者季度進(jìn)行系統(tǒng)的補(bǔ)丁管理。安全工作有著嚴(yán)格的流程，可以按部就班進(jìn)行滾動(dòng)周期的管理。但在云計(jì)算里，我們面臨的是一個(gè)高速、持續(xù)變化的環(huán)境。例如，無(wú)服務(wù)器（Serverless）技術(shù)的應(yīng)用帶來(lái)的結(jié)果是，在云上搭建一個(gè) Serverless 應(yīng)用的時(shí)間只要 3 毫秒，而一個(gè) Serverless 實(shí)例最短生命周期是100 毫秒。如果是一個(gè) Serverless 應(yīng)用實(shí)例存在漏洞，導(dǎo)致被攻陷、被入侵，整個(gè)攻擊事件的生命周期可能只有百毫秒的時(shí)間。當(dāng)前的云上有大量類(lèi)似的技術(shù)在應(yīng)用，每秒都有大量的實(shí)例被拉起、消亡，惡意代碼攻擊可能就在其中流轉(zhuǎn)消除。在云上，我們面臨的是動(dòng)態(tài)以及迅速變化的生命周期模型，面臨著持續(xù)性對(duì)抗的環(huán)境，沒(méi)有新的技術(shù)進(jìn)行監(jiān)控和防范，可以說(shuō)傳統(tǒng)的靜態(tài)或者長(zhǎng)周期的安全機(jī)制是完全失效的。

二、外部環(huán)境變化帶來(lái)的新安全挑戰(zhàn)

在法律層面，全球?qū)π畔踩谋O(jiān)管日益加強(qiáng)，以歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）的發(fā)布為標(biāo)志性事件，幾年間國(guó)內(nèi)外陸續(xù)出臺(tái)了眾多法律法規(guī)。2021 年，我國(guó)出臺(tái)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，加上之前的《網(wǎng)絡(luò)安全法》，明確規(guī)定了企業(yè)需要承擔(dān)的網(wǎng)絡(luò)安全主體責(zé)任。

在技術(shù)層面，伴隨云計(jì)算誕生的新技術(shù)帶來(lái)了新的生產(chǎn)力，讓企業(yè)在云計(jì)算時(shí)代實(shí)現(xiàn)了快速發(fā)展。但技術(shù)進(jìn)步的另一面是新的安全挑戰(zhàn)，從安全從業(yè)者視角，云就像一個(gè)極具誘惑力的“蜜罐”，云上海量的數(shù)據(jù)和業(yè)務(wù)，必然會(huì)吸引攻擊者的視線。

過(guò)去幾年安全威脅呈現(xiàn)出三個(gè)明顯的趨勢(shì)。首先，在威脅主體上，專(zhuān)業(yè)化的高級(jí)持續(xù)性威脅（APT）組織越來(lái)越多，據(jù)不完全統(tǒng)計(jì)，當(dāng)前全球范圍內(nèi)具備國(guó)家級(jí)攻擊力量的黑客組織大概有 40多個(gè)，往下還有無(wú)政府主義黑客、商業(yè)間諜、有組織犯罪等。在國(guó)內(nèi)，黑灰產(chǎn)是商業(yè)攻擊事件的主流。這些威脅主體有更專(zhuān)業(yè)的技術(shù)、武器和組織能力。其次，在受攻擊目標(biāo)上，層次分布得更廣泛，國(guó)家關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)商業(yè)數(shù)據(jù)、個(gè)人敏感信息等都成為攻擊標(biāo)的。第三，數(shù)實(shí)融合潮流勢(shì)不可擋，數(shù)字化已經(jīng)成為企業(yè)發(fā)展的必由之路，但前提是必須做好安全體系的建設(shè)，企業(yè)的數(shù)字化發(fā)展才能穩(wěn)定、可預(yù)期。

此外，云安全面臨著資源和人力的缺口。資源缺口主要體現(xiàn)在 IT 建設(shè)，尤其是云的建設(shè)中需要更多的安全投入。人力的缺口既體現(xiàn)在絕對(duì)從業(yè)人數(shù)的缺口，也表現(xiàn)在缺乏更專(zhuān)業(yè)的技術(shù)專(zhuān)家。例如近幾年，我國(guó)各個(gè)領(lǐng)域建設(shè)了數(shù)千個(gè)各種規(guī)模的云平臺(tái)，每一朵云常規(guī)的安全運(yùn)營(yíng)，例如常規(guī)的風(fēng)險(xiǎn)評(píng)估、漏洞掃描、日常監(jiān)控等，需要的專(zhuān)業(yè)人力是 30 人左右，以此估算，僅在云安全的日常運(yùn)營(yíng)領(lǐng)域，就已經(jīng)遠(yuǎn)遠(yuǎn)超出了目前云安全行業(yè)的服務(wù)供給能力。

三、云原生的安全托管服務(wù)

對(duì)云安全所帶來(lái)的這些新變化，需要用“戰(zhàn)爭(zhēng)思維”來(lái)應(yīng)對(duì)。戰(zhàn)爭(zhēng)是時(shí)刻動(dòng)態(tài)變化的，戰(zhàn)爭(zhēng)一定會(huì)有損失、一定會(huì)有取舍，“萬(wàn)無(wú)一失”是不現(xiàn)實(shí)的，應(yīng)該用較為合理的投入取得最大化的效果，把安全的整個(gè)水位線提升到一定高度。

“戰(zhàn)爭(zhēng)思維”下的安全管理的基本原則有兩個(gè)。一是要解決普遍性問(wèn)題，不能讓低級(jí)漏洞影響安全性，造成損失。二是不出重大安全事故，保證安全在一個(gè)足夠的水平線上。實(shí)現(xiàn)這兩個(gè)目標(biāo)，企業(yè)自身的安全能力往往難以做到，首先是沒(méi)有足夠多的專(zhuān)業(yè)人力，其次，人本身會(huì)懈怠、會(huì)疏忽?；隍v訊在云平臺(tái)上的實(shí)踐經(jīng)驗(yàn)和儲(chǔ)備，我們認(rèn)為基于云原生的安全托管服務(wù)是當(dāng)前做好云安全工作的可行路徑。從 2021 年開(kāi)始，騰訊將一系列的云平臺(tái)內(nèi)生能力以及自動(dòng)化工具和流程、專(zhuān)家服務(wù)整合起來(lái)，推出了云原生的安全托管服務(wù)（MSS），將絕大多數(shù)的風(fēng)險(xiǎn)面通過(guò)工具來(lái)消除。

基于云原生的安全托管服務(wù)可劃分為三個(gè)等級(jí)。第一，低級(jí)安全事件的對(duì)抗和消減。例如，在云上每天會(huì)有億級(jí)以上的批量漏洞掃描事件，這些事件的響應(yīng)會(huì)消耗大量的人力，但如果視而不見(jiàn)，很可能會(huì)造成嚴(yán)重的安全事故。通過(guò)云平臺(tái)層面，可以給每個(gè)用戶批量提供風(fēng)險(xiǎn)消除機(jī)制，做到及時(shí)響應(yīng)。第二，通過(guò)自動(dòng)化引擎、數(shù)據(jù)分析和情報(bào)驅(qū)動(dòng)，消減大量的人力需求，例如系統(tǒng)加固、風(fēng)險(xiǎn)評(píng)估、常規(guī)安全事件的分析和處置，都可以通過(guò)自動(dòng)化進(jìn)行。第三，讓用戶的核心人力集中在安全管理層面，例如架構(gòu)如何設(shè)計(jì)更合理、代碼如何開(kāi)發(fā)、企業(yè)應(yīng)該如何構(gòu)建流程、如何應(yīng)對(duì)高等級(jí)的合規(guī)需求，這才是安全人才發(fā)揮價(jià)值的地方。例如，在很多企業(yè)的重保場(chǎng)合和日常安全值守過(guò)程中，MSS 都發(fā)揮了很大的價(jià)值。

云原生的安全托管服務(wù)給企業(yè)的安全建設(shè)“減負(fù)”，讓企業(yè)無(wú)須考慮復(fù)雜的安全技術(shù)問(wèn)題，減少人員投入，把重心和思考放在業(yè)務(wù)上，以相對(duì)可控的成本獲得安全價(jià)值最大化，這是云原生安全托管服務(wù)的價(jià)值所在。

（本文刊登于《中國(guó)信息安全》雜志2022年第5期）