|
6月24日,以“守護云原生安全,構建企業安全‘護城河’”為主題的第四期《2022產業互聯網安全十大趨勢》安全系列線上研討會成功舉行,在CIO時代聯合創始人兼COO、新基建創新研究院秘書長劉晶的主持下,來自北京賽博英杰科技有限公司創始人、董事長譚曉生、高途集團CSO董伊昔、中科院計算所高級工程師李明宇、騰訊安全云鼎實驗室云原生安全產品總監陶芬,共同探討了云原生安全體系建設的實踐路徑。 訂閱式云安全或將引領安全產業發展 北京賽博英杰科技有限公司創始人、董事長譚曉生再次光臨直播間,發表了《云原生安全挑戰與市場分析》主題演講。譚曉生指出,目前云計算處于云原生快速崛起,云網融合需求旺盛發展,云管理和優化需求凸顯,安全體系革新的階段,數字化發展加速進入了云原生時代。 他全面細致地介紹了云原生及云原生安全的發展現狀。如今云原生相關的技術呈井噴式發展,因開發模式、部署方式、運營方式的變化,對云原生安全也提出了全新的挑戰。在介紹最新云原生架構“Service Mesh”時,解釋道:“Service Mesh”提供的“Sidecar”機制非常好,包含了服務發現,負載均衡,服務的降級,調用鏈,故障日志、監控、度量、身份認證、加密、訪問控制等可提供程序測量和安全服務。因此,如何更好地應用“sidecash”來助力云原生架構下的安全,將是非常有意義的一件事情。 同時,他還講解了Gartner《Hyper Cycle for Cloud Security2021》的“Gartner云安全全家桶”。它涵蓋了CSPM(云安全的態勢管理),CSPM(合規性評估,風險識別,操作監控,集成,策略執行,威脅防護等),以及CWPP(云負載保護平臺),通過對主機的防護,漏洞的利用防護,應用的白名單,系統的一致性,網絡分段,系統監控,工作負載配置等,云實現云原生的安全防護。 關于云原生安全在發展中面臨的機遇和挑戰,北京賽博英杰科技有限公司董事長譚曉生進行了預測和分析: “原有的安全產品解決方案僅能解決部分問題,云原生安全的要求是既懂安全又懂云原生開發,這也給國內云原生安全的賽道提供了更多創新和創業的機會。 而訂閱式的云原生安全也會隨著云原生的發展得以快速鋪開,這對于云安全的產業的發展,對于安全產業發展都是一個非常大的利好。” 安全體系中云架構的六大構成 高途集團CSO 董伊昔為我們帶來了《高途云原生安全實踐分享》。董伊昔首先介紹了高途集團的網絡安全體系規劃,參照了ISO和IEC270001、7799等國際和國內的安全標準,并結合以往經驗及各大互聯網廠商的安全體系建設標準,制訂出了高途集團的《ISMS四層安全體系架構》。其中就包括了云環境架構,整個架構體系從外到內將公司進行細粒度劃分,再層層剝離,劃分好再進行最終落地。 其中關于安全體系架構中二層云架構的六大構成,董伊昔也進行了著重介紹。 第一、云的基礎安全。基于高途集團業務層使用了阿里和騰訊云,在云環境上及整個云底層,真正實現落地的是基于兩個云廠商本身提供的主機安全,HIDS等。 第二、應用層的應用安全。作為投入精力最大的重要環節,會從攻擊者角度出發,進行優先防護。 第三、防護層的安全防護。在接觸新產品或是考慮流量壓力時,會在應用級別搭建云安全架構。 第四、業務層面的安全防控。從合規角度出發,進行業務風控及訪問來源的監控,并降低業務運營成本。 第五、解決數據安全。數據安全在云架構來講,是與業務安全,應用安全密切關聯的,也是最核心資產。通過對線上數據或者對C端數據進行分類分級,做脫敏,再從數據安全全生命周期過行API監控。 第六、賬號安全。從管理要求出發,通過堡壘級審計認證去管理,并結合上述五部分,在內部建立安全運營中心。 此外,董伊昔還特別介紹了ISMS四層體系架構的第四層體系: 作為最終的落地的體系,需要解決歷史遺留問題、安全威脅風險。所以,最終落地措施就是整體統一管理,通過指標體系來評價目標建設情況。指標體系包括了建設指標和運營指標,建設指標的兩個參數是覆蓋率和完成率,運營指標的兩個參數是響應時間和發現時間,再通過色彩不同顯示完成情況。 云原生模式保護云原生應用 中科院計算所高級工程師李明宇帶來了《基于云原生的架構創新及實踐》的主題分享。李明宇首先談了從“機器原生”到“云原生”的架構創新的現狀和技術方向。通過實踐案例的分享,為我們講述了企業在進行數字化轉型時,傳統的開發方式和應用構建技術面臨的難點和挑戰,以及云原生助力企業轉型中,在算法模塊、集成框架、部署實施方面發揮的重要作用。 鑒于云原生帶來的敏捷性、可擴展性等方面的優勢,越來越多企業的IT正在向云原生方式轉變,技術的更新顯得尤為重要,云原生技術體系愈發變得更加龐大且復雜,云原生應用在創新上也將面臨技術能力的挑戰。面對企業云原生技術能力參差不齊的問題,李明宇講述了如何通過“云原生應用設計模式”歸納沉淀最佳實踐,助力企業更好的落地云原生應用。 李明宇也為我們分享了關于原生應用保護的思考: “備份與容災是應用保護很重要的方面,云原生應用保護需要以應用為中心,充分考慮云原生應用的特點,支持以應用為粒度去保護,可參考CNCF OAM等應用模型,并且要支持容器、應用和命名空間三個層次。用云原生模式保護云原生應用,通過提供API,讓應用開發者更好地表明保護對象,再以自動手段實現其災備。保護手段本身的實現也遵循云原生模式,采用聲明式API和Operator來實現,并與云原生基礎設施結合起來。” 云原生安全的攻守道 最后,來自騰訊安全云鼎實驗室云原生產品安全總監陶芬為我們帶來了《騰訊云原生安全的攻守道之路》。陶芬首先介紹了云原生架構在逐步成熟落地中面臨的眾多安全風險以及容器的短生命周期、密度大、云原生下的DevSecOps、安全能力云原生等對企業的運營安全運營能力的挑戰。 知攻:容器在野攻擊、安全攻防矩陣 騰訊安全云鼎實驗室在近幾年對容器在野攻擊的研究和監測中發現,絕大多數應用云原生技術的企業都經歷了容器安全事件。而對DockerHub黑產的監控分析顯示,黑產已經攻陷了在網約1.9億個容器,并且攻擊種類和對抗還在持續提升,安全問題已成為影響用戶落地云原生的重要考量因素。 未來,云原生應用的供應鏈攻擊將是安全關注的重點,而云原生安全攻防已進入對抗的實戰化階段。 懂防:騰訊云的云原生安全能力架構 承載了整個騰訊全量云原生業務的騰訊云容器平臺,有著業內最大規模的自研上云容器應用。在安全體系架構中遵循了四大原則:一是安全能力原生化,二是安全左移,三是全生命周期的安全防護,四是零信任的安全架構。 騰訊云的容器安全防護體系框架,按照云原生架構層次化的方式,可以逐層地實現安全防護,打造出承載騰訊業務的云原生安全的容器云,同時也能夠助力企業安全的實現云原生轉型。 內功:騰訊云容器安全管理及運營實踐 安全運營是目標,安全能力是手段。在內部推進容器安全運營時,可以參考NIST的網絡安全框架,將容器的安全運營分為五個并行且連續的步驟,分別是:識別、防護、檢測、響應和恢復。 在云原生場景下,安全運營落地還面臨著眾多挑戰:技術門檻方面,懂安全的不懂云原生,懂云原生的不懂安全,企業的安全運營人員需要逐步地去補齊云原生的知識和運維的知識;流程規范方面,業務野蠻生長,配套的安全能力的建設和安全運營的流程規范跟不上;人和資產方面,角色復雜,設計開發、安全、容器PaaS平臺方、運維,安全意識較為薄弱,資產歸屬不清晰。 企業云原生的安全運營能力建設需注意四個關鍵點:做好鏡像的安全管控;主動容器集群層面的安全加固;強大容器運行時的安全防護;建立基本的容器資產大盤應急。 在分享最后,陶芬分享了目前騰訊安全在云原生安全方面的落地實踐進展。 攻防皆有道的騰訊安全已與信通院、清華大學聯合成立了行業首個云原生安全實驗室,發布了首個云原生安全的測試平臺,目前測試平臺的基礎框架已經建設完成,未來在實戰演練的階段會擴展到實戰演練環境,聚焦云原生的技術實戰化的驗證。 隨著數字時代的發展,云原生技術的使用已經成為必然趨勢,企業在享受云原生技術帶來的便利的同時,也面臨著日益復雜環境帶來的挑戰。我們也希望,本期研討會能夠助力企業明確發展需求,找到應用云原生技術的最佳路徑,構建云原生安全體系,實現企業的創新發展。 至此,《2022產業互聯網安全十大趨勢》安全系列線上研討會的四期主題研討也圓滿結束。后續,CIO時代還將與騰訊安全聯合舉辦其它主題的系列研討會,為助力企業數字化轉型貢獻自己的綿薄之力。 |
