文 騰訊云安全總經(jīng)理 李濱

云計算的出現(xiàn)徹底改變了 IT 產(chǎn)業(yè)和傳統(tǒng)企業(yè)的 IT 結(jié)構(gòu)，但大部分企業(yè)的理念和技術(shù)方法還停留在傳統(tǒng)的 IT 時代，很多企業(yè)只是把云當(dāng)成更大的服務(wù)器集群來使用，并沒有認(rèn)識到云所帶來的底層技術(shù)上的本質(zhì)性變革。這種理念的差異造成的最直接后果就是安全管理水平的滯后，云安全需要用新的安全管理思路和技術(shù)手段來應(yīng)對。

一、云計算帶來的新安全變化

云計算的廣泛應(yīng)用，給 IT 產(chǎn)業(yè)帶來了本質(zhì)性的改變，傳統(tǒng)的信息安全也隨之出現(xiàn)了新的挑戰(zhàn)。

（一）安全管理模型的變化

傳統(tǒng)安全領(lǐng)域，IT 資產(chǎn)的所有權(quán)和設(shè)備的控制權(quán)基本是一致的，誰使用誰購買、誰擁有誰管理。例如，企業(yè)的 IT 系統(tǒng)往往包含多個子系統(tǒng)，有歸屬于財務(wù)部門的企業(yè)資源計劃（ERP），有歸屬于人力資源部門的人力資源管理（HRM）等，這些權(quán)責(zé)分明的子系統(tǒng)共同構(gòu)建形成企業(yè)內(nèi)部的 IT網(wǎng)絡(luò)。子系統(tǒng)的所有權(quán)和使用權(quán)都有明確的歸屬，物理邊界非常清晰，相應(yīng)的安全解決方案也容易部署。但在云計算里，IT 資產(chǎn)大部分是“租用的”，資產(chǎn)的所有權(quán)、控制權(quán)以及企業(yè)選擇服務(wù)、產(chǎn)品和技術(shù)模型的方式產(chǎn)生了根本性的變化，這對企業(yè)安全體系建設(shè)造成了巨大的影響。

（二）計算內(nèi)容和技術(shù)的變化

云計算還帶來了算力的變化和數(shù)據(jù)量的變化，這兩個變化導(dǎo)致傳統(tǒng)的安全機制在云上不再適用。算力方面以數(shù)據(jù)加密技術(shù)為例，20 年前一臺標(biāo)準(zhǔn)的服務(wù)器破解信息摘要加密算法（MD5）的次數(shù)基本是每秒幾千次到萬次左右，所以 MD5在 20 年前是比較安全的算法，但是今天一臺普通的臺式機通過圖形處理器（GPU）加速技術(shù)，破解 MD5 加密的速度已經(jīng)達(dá)到每秒鐘 55 億次以上，算力比過去提高了上千萬倍，這會導(dǎo)致傳統(tǒng)安全的機制由于算力的大幅提升而失效。另外數(shù)據(jù)量的增大也對安全機制會產(chǎn)生影響，仍然以數(shù)據(jù)加密技術(shù)為例，如果是對一個較少的數(shù)據(jù)加密，加密的時間、成本和性能的影響可以忽略不計，如果到了 T 級、P 級，加密時長要達(dá)到幾分鐘、幾個小時甚至幾天，在實際的業(yè)務(wù)運行環(huán)境中是無法接受的。

（三）基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)的變化

云時代各種新技術(shù)不斷涌現(xiàn)，例如扁平化的架構(gòu)、虛擬化技術(shù)的應(yīng)用，以及普遍存在的分布式機構(gòu)、異構(gòu)計算、服務(wù)的抽象化等，這些技術(shù)都會導(dǎo)致不管是攻擊面還是攻擊路徑，云安全都會呈現(xiàn)更復(fù)雜的狀態(tài)。

傳統(tǒng)的 IT 系統(tǒng)建設(shè)周期很長，從半年甚至長達(dá)幾年時間，系統(tǒng)的整個生命周期可能有幾年到幾十年的時間。面對生命周期很長的 IT 系統(tǒng)，安全建設(shè)可能是按一年的周期來做整個系統(tǒng)的風(fēng)險評估，按月為單位做漏洞掃描，按月或者季度進(jìn)行系統(tǒng)的補丁管理。安全工作有著嚴(yán)格的流程，可以按部就班進(jìn)行滾動周期的管理。但在云計算里，我們面臨的是一個高速、持續(xù)變化的環(huán)境。例如，無服務(wù)器（Serverless）技術(shù)的應(yīng)用帶來的結(jié)果是，在云上搭建一個 Serverless 應(yīng)用的時間只要 3 毫秒，而一個 Serverless 實例最短生命周期是100 毫秒。如果是一個 Serverless 應(yīng)用實例存在漏洞，導(dǎo)致被攻陷、被入侵，整個攻擊事件的生命周期可能只有百毫秒的時間。當(dāng)前的云上有大量類似的技術(shù)在應(yīng)用，每秒都有大量的實例被拉起、消亡，惡意代碼攻擊可能就在其中流轉(zhuǎn)消除。在云上，我們面臨的是動態(tài)以及迅速變化的生命周期模型，面臨著持續(xù)性對抗的環(huán)境，沒有新的技術(shù)進(jìn)行監(jiān)控和防范，可以說傳統(tǒng)的靜態(tài)或者長周期的安全機制是完全失效的。

二、外部環(huán)境變化帶來的新安全挑戰(zhàn)

在法律層面，全球?qū)π畔踩谋O(jiān)管日益加強，以歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）的發(fā)布為標(biāo)志性事件，幾年間國內(nèi)外陸續(xù)出臺了眾多法律法規(guī)。2021 年，我國出臺《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，加上之前的《網(wǎng)絡(luò)安全法》，明確規(guī)定了企業(yè)需要承擔(dān)的網(wǎng)絡(luò)安全主體責(zé)任。

在技術(shù)層面，伴隨云計算誕生的新技術(shù)帶來了新的生產(chǎn)力，讓企業(yè)在云計算時代實現(xiàn)了快速發(fā)展。但技術(shù)進(jìn)步的另一面是新的安全挑戰(zhàn)，從安全從業(yè)者視角，云就像一個極具誘惑力的“蜜罐”，云上海量的數(shù)據(jù)和業(yè)務(wù)，必然會吸引攻擊者的視線。

過去幾年安全威脅呈現(xiàn)出三個明顯的趨勢。首先，在威脅主體上，專業(yè)化的高級持續(xù)性威脅（APT）組織越來越多，據(jù)不完全統(tǒng)計，當(dāng)前全球范圍內(nèi)具備國家級攻擊力量的黑客組織大概有 40多個，往下還有無政府主義黑客、商業(yè)間諜、有組織犯罪等。在國內(nèi)，黑灰產(chǎn)是商業(yè)攻擊事件的主流。這些威脅主體有更專業(yè)的技術(shù)、武器和組織能力。其次，在受攻擊目標(biāo)上，層次分布得更廣泛，國家關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)商業(yè)數(shù)據(jù)、個人敏感信息等都成為攻擊標(biāo)的。第三，數(shù)實融合潮流勢不可擋，數(shù)字化已經(jīng)成為企業(yè)發(fā)展的必由之路，但前提是必須做好安全體系的建設(shè)，企業(yè)的數(shù)字化發(fā)展才能穩(wěn)定、可預(yù)期。

此外，云安全面臨著資源和人力的缺口。資源缺口主要體現(xiàn)在 IT 建設(shè)，尤其是云的建設(shè)中需要更多的安全投入。人力的缺口既體現(xiàn)在絕對從業(yè)人數(shù)的缺口，也表現(xiàn)在缺乏更專業(yè)的技術(shù)專家。例如近幾年，我國各個領(lǐng)域建設(shè)了數(shù)千個各種規(guī)模的云平臺，每一朵云常規(guī)的安全運營，例如常規(guī)的風(fēng)險評估、漏洞掃描、日常監(jiān)控等，需要的專業(yè)人力是 30 人左右，以此估算，僅在云安全的日常運營領(lǐng)域，就已經(jīng)遠(yuǎn)遠(yuǎn)超出了目前云安全行業(yè)的服務(wù)供給能力。

三、云原生的安全托管服務(wù)

對云安全所帶來的這些新變化，需要用“戰(zhàn)爭思維”來應(yīng)對。戰(zhàn)爭是時刻動態(tài)變化的，戰(zhàn)爭一定會有損失、一定會有取舍，“萬無一失”是不現(xiàn)實的，應(yīng)該用較為合理的投入取得最大化的效果，把安全的整個水位線提升到一定高度。

“戰(zhàn)爭思維”下的安全管理的基本原則有兩個。一是要解決普遍性問題，不能讓低級漏洞影響安全性，造成損失。二是不出重大安全事故，保證安全在一個足夠的水平線上。實現(xiàn)這兩個目標(biāo)，企業(yè)自身的安全能力往往難以做到，首先是沒有足夠多的專業(yè)人力，其次，人本身會懈怠、會疏忽。基于騰訊在云平臺上的實踐經(jīng)驗和儲備，我們認(rèn)為基于云原生的安全托管服務(wù)是當(dāng)前做好云安全工作的可行路徑。從 2021 年開始，騰訊將一系列的云平臺內(nèi)生能力以及自動化工具和流程、專家服務(wù)整合起來，推出了云原生的安全托管服務(wù)（MSS），將絕大多數(shù)的風(fēng)險面通過工具來消除。

基于云原生的安全托管服務(wù)可劃分為三個等級。第一，低級安全事件的對抗和消減。例如，在云上每天會有億級以上的批量漏洞掃描事件，這些事件的響應(yīng)會消耗大量的人力，但如果視而不見，很可能會造成嚴(yán)重的安全事故。通過云平臺層面，可以給每個用戶批量提供風(fēng)險消除機制，做到及時響應(yīng)。第二，通過自動化引擎、數(shù)據(jù)分析和情報驅(qū)動，消減大量的人力需求，例如系統(tǒng)加固、風(fēng)險評估、常規(guī)安全事件的分析和處置，都可以通過自動化進(jìn)行。第三，讓用戶的核心人力集中在安全管理層面，例如架構(gòu)如何設(shè)計更合理、代碼如何開發(fā)、企業(yè)應(yīng)該如何構(gòu)建流程、如何應(yīng)對高等級的合規(guī)需求，這才是安全人才發(fā)揮價值的地方。例如，在很多企業(yè)的重保場合和日常安全值守過程中，MSS 都發(fā)揮了很大的價值。

云原生的安全托管服務(wù)給企業(yè)的安全建設(shè)“減負(fù)”，讓企業(yè)無須考慮復(fù)雜的安全技術(shù)問題，減少人員投入，把重心和思考放在業(yè)務(wù)上，以相對可控的成本獲得安全價值最大化，這是云原生安全托管服務(wù)的價值所在。

（本文刊登于《中國信息安全》雜志2022年第5期）