![\" src=]()
6月24日�����,以“守護(hù)云原生安全����,構(gòu)建企業(yè)安全‘護(hù)城河’”為主題的第四期《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》安全系列線上研討會(huì)成功舉行,在CIO時(shí)代聯(lián)合創(chuàng)始人兼COO���、新基建創(chuàng)新研究院秘書長(zhǎng)劉晶的主持下���,來(lái)自北京賽博英杰科技有限公司創(chuàng)始人����、董事長(zhǎng)譚曉生�、高途集團(tuán)CSO董伊昔、中科院計(jì)算所高級(jí)工程師李明宇���、騰訊安全云鼎實(shí)驗(yàn)室云原生安全產(chǎn)品總監(jiān)陶芬���,共同探討了云原生安全體系建設(shè)的實(shí)踐路徑。
![\" src=]()
訂閱式云安全或?qū)⒁I(lǐng)安全產(chǎn)業(yè)發(fā)展
北京賽博英杰科技有限公司創(chuàng)始人�、董事長(zhǎng)譚曉生再次光臨直播間,發(fā)表了《云原生安全挑戰(zhàn)與市場(chǎng)分析》主題演講��。譚曉生指出���,目前云計(jì)算處于云原生快速崛起��,云網(wǎng)融合需求旺盛發(fā)展�����,云管理和優(yōu)化需求凸顯����,安全體系革新的階段,數(shù)字化發(fā)展加速進(jìn)入了云原生時(shí)代�。
他全面細(xì)致地介紹了云原生及云原生安全的發(fā)展現(xiàn)狀。如今云原生相關(guān)的技術(shù)呈井噴式發(fā)展���,因開發(fā)模式���、部署方式、運(yùn)營(yíng)方式的變化�,對(duì)云原生安全也提出了全新的挑戰(zhàn)�����。在介紹最新云原生架構(gòu)“Service Mesh”時(shí)�,解釋道:“Service Mesh”提供的“Sidecar”機(jī)制非常好,包含了服務(wù)發(fā)現(xiàn)����,負(fù)載均衡,服務(wù)的降級(jí)��,調(diào)用鏈����,故障日志���、監(jiān)控、度量���、身份認(rèn)證�����、加密�����、訪問(wèn)控制等可提供程序測(cè)量和安全服務(wù)�。因此�,如何更好地應(yīng)用“sidecash”來(lái)助力云原生架構(gòu)下的安全,將是非常有意義的一件事情����。
同時(shí),他還講解了Gartner《Hyper Cycle for Cloud Security2021》的“Gartner云安全全家桶”�。它涵蓋了CSPM(云安全的態(tài)勢(shì)管理),CSPM(合規(guī)性評(píng)估�����,風(fēng)險(xiǎn)識(shí)別,操作監(jiān)控�����,集成�����,策略執(zhí)行��,威脅防護(hù)等)��,以及CWPP(云負(fù)載保護(hù)平臺(tái))�,通過(guò)對(duì)主機(jī)的防護(hù)��,漏洞的利用防護(hù)���,應(yīng)用的白名單�,系統(tǒng)的一致性�,網(wǎng)絡(luò)分段,系統(tǒng)監(jiān)控�,工作負(fù)載配置等�,云實(shí)現(xiàn)云原生的安全防護(hù)���。
![\" src=]()
關(guān)于云原生安全在發(fā)展中面臨的機(jī)遇和挑戰(zhàn)����,北京賽博英杰科技有限公司董事長(zhǎng)譚曉生進(jìn)行了預(yù)測(cè)和分析:
“原有的安全產(chǎn)品解決方案僅能解決部分問(wèn)題����,云原生安全的要求是既懂安全又懂云原生開發(fā),這也給國(guó)內(nèi)云原生安全的賽道提供了更多創(chuàng)新和創(chuàng)業(yè)的機(jī)會(huì)���。
而訂閱式的云原生安全也會(huì)隨著云原生的發(fā)展得以快速鋪開�����,這對(duì)于云安全的產(chǎn)業(yè)的發(fā)展����,對(duì)于安全產(chǎn)業(yè)發(fā)展都是一個(gè)非常大的利好�。”
安全體系中云架構(gòu)的六大構(gòu)成
高途集團(tuán)CSO 董伊昔為我們帶來(lái)了《高途云原生安全實(shí)踐分享》。董伊昔首先介紹了高途集團(tuán)的網(wǎng)絡(luò)安全體系規(guī)劃���,參照了ISO和IEC270001�、7799等國(guó)際和國(guó)內(nèi)的安全標(biāo)準(zhǔn),并結(jié)合以往經(jīng)驗(yàn)及各大互聯(lián)網(wǎng)廠商的安全體系建設(shè)標(biāo)準(zhǔn)���,制訂出了高途集團(tuán)的《ISMS四層安全體系架構(gòu)》�����。其中就包括了云環(huán)境架構(gòu)�����,整個(gè)架構(gòu)體系從外到內(nèi)將公司進(jìn)行細(xì)粒度劃分��,再層層剝離��,劃分好再進(jìn)行最終落地����。
![\" src=]()
其中關(guān)于安全體系架構(gòu)中二層云架構(gòu)的六大構(gòu)成��,董伊昔也進(jìn)行了著重介紹��。
第一����、云的基礎(chǔ)安全。基于高途集團(tuán)業(yè)務(wù)層使用了阿里和騰訊云��,在云環(huán)境上及整個(gè)云底層����,真正實(shí)現(xiàn)落地的是基于兩個(gè)云廠商本身提供的主機(jī)安全,HIDS等�。
第二、應(yīng)用層的應(yīng)用安全�����。作為投入精力最大的重要環(huán)節(jié)���,會(huì)從攻擊者角度出發(fā)��,進(jìn)行優(yōu)先防護(hù)�。
第三�����、防護(hù)層的安全防護(hù)�����。在接觸新產(chǎn)品或是考慮流量壓力時(shí),會(huì)在應(yīng)用級(jí)別搭建云安全架構(gòu)����。
第四、業(yè)務(wù)層面的安全防控���。從合規(guī)角度出發(fā)��,進(jìn)行業(yè)務(wù)風(fēng)控及訪問(wèn)來(lái)源的監(jiān)控�,并降低業(yè)務(wù)運(yùn)營(yíng)成本�����。
第五�����、解決數(shù)據(jù)安全��。數(shù)據(jù)安全在云架構(gòu)來(lái)講�����,是與業(yè)務(wù)安全���,應(yīng)用安全密切關(guān)聯(lián)的�����,也是最核心資產(chǎn)�。通過(guò)對(duì)線上數(shù)據(jù)或者對(duì)C端數(shù)據(jù)進(jìn)行分類分級(jí)���,做脫敏��,再?gòu)臄?shù)據(jù)安全全生命周期過(guò)行API監(jiān)控��。
第六��、賬號(hào)安全�����。從管理要求出發(fā)�����,通過(guò)堡壘級(jí)審計(jì)認(rèn)證去管理���,并結(jié)合上述五部分�����,在內(nèi)部建立安全運(yùn)營(yíng)中心���。
此外,董伊昔還特別介紹了ISMS四層體系架構(gòu)的第四層體系:
作為最終的落地的體系��,需要解決歷史遺留問(wèn)題����、安全威脅風(fēng)險(xiǎn)。所以�,最終落地措施就是整體統(tǒng)一管理,通過(guò)指標(biāo)體系來(lái)評(píng)價(jià)目標(biāo)建設(shè)情況�����。指標(biāo)體系包括了建設(shè)指標(biāo)和運(yùn)營(yíng)指標(biāo)���,建設(shè)指標(biāo)的兩個(gè)參數(shù)是覆蓋率和完成率����,運(yùn)營(yíng)指標(biāo)的兩個(gè)參數(shù)是響應(yīng)時(shí)間和發(fā)現(xiàn)時(shí)間,再通過(guò)色彩不同顯示完成情況�。
云原生模式保護(hù)云原生應(yīng)用
中科院計(jì)算所高級(jí)工程師李明宇帶來(lái)了《基于云原生的架構(gòu)創(chuàng)新及實(shí)踐》的主題分享。李明宇首先談了從“機(jī)器原生”到“云原生”的架構(gòu)創(chuàng)新的現(xiàn)狀和技術(shù)方向�����。通過(guò)實(shí)踐案例的分享�,為我們講述了企業(yè)在進(jìn)行數(shù)字化轉(zhuǎn)型時(shí)�,傳統(tǒng)的開發(fā)方式和應(yīng)用構(gòu)建技術(shù)面臨的難點(diǎn)和挑戰(zhàn),以及云原生助力企業(yè)轉(zhuǎn)型中��,在算法模塊��、集成框架���、部署實(shí)施方面發(fā)揮的重要作用����。
鑒于云原生帶來(lái)的敏捷性��、可擴(kuò)展性等方面的優(yōu)勢(shì)���,越來(lái)越多企業(yè)的IT正在向云原生方式轉(zhuǎn)變�����,技術(shù)的更新顯得尤為重要����,云原生技術(shù)體系愈發(fā)變得更加龐大且復(fù)雜,云原生應(yīng)用在創(chuàng)新上也將面臨技術(shù)能力的挑戰(zhàn)����。面對(duì)企業(yè)云原生技術(shù)能力參差不齊的問(wèn)題,李明宇講述了如何通過(guò)“云原生應(yīng)用設(shè)計(jì)模式”歸納沉淀最佳實(shí)踐�����,助力企業(yè)更好的落地云原生應(yīng)用��。
![\" src=]()
李明宇也為我們分享了關(guān)于原生應(yīng)用保護(hù)的思考:
“備份與容災(zāi)是應(yīng)用保護(hù)很重要的方面����,云原生應(yīng)用保護(hù)需要以應(yīng)用為中心,充分考慮云原生應(yīng)用的特點(diǎn)�����,支持以應(yīng)用為粒度去保護(hù)�����,可參考CNCF OAM等應(yīng)用模型,并且要支持容器�����、應(yīng)用和命名空間三個(gè)層次���。用云原生模式保護(hù)云原生應(yīng)用,通過(guò)提供API����,讓應(yīng)用開發(fā)者更好地表明保護(hù)對(duì)象,再以自動(dòng)手段實(shí)現(xiàn)其災(zāi)備����。保護(hù)手段本身的實(shí)現(xiàn)也遵循云原生模式,采用聲明式API和Operator來(lái)實(shí)現(xiàn)��,并與云原生基礎(chǔ)設(shè)施結(jié)合起來(lái)���。”
云原生安全的攻守道
最后��,來(lái)自騰訊安全云鼎實(shí)驗(yàn)室云原生產(chǎn)品安全總監(jiān)陶芬為我們帶來(lái)了《騰訊云原生安全的攻守道之路》��。陶芬首先介紹了云原生架構(gòu)在逐步成熟落地中面臨的眾多安全風(fēng)險(xiǎn)以及容器的短生命周期�、密度大、云原生下的DevSecOps�、安全能力云原生等對(duì)企業(yè)的運(yùn)營(yíng)安全運(yùn)營(yíng)能力的挑戰(zhàn)。
知攻:容器在野攻擊���、安全攻防矩陣
騰訊安全云鼎實(shí)驗(yàn)室在近幾年對(duì)容器在野攻擊的研究和監(jiān)測(cè)中發(fā)現(xiàn)�,絕大多數(shù)應(yīng)用云原生技術(shù)的企業(yè)都經(jīng)歷了容器安全事件���。而對(duì)DockerHub黑產(chǎn)的監(jiān)控分析顯示���,黑產(chǎn)已經(jīng)攻陷了在網(wǎng)約1.9億個(gè)容器,并且攻擊種類和對(duì)抗還在持續(xù)提升��,安全問(wèn)題已成為影響用戶落地云原生的重要考量因素����。
未來(lái),云原生應(yīng)用的供應(yīng)鏈攻擊將是安全關(guān)注的重點(diǎn)�,而云原生安全攻防已進(jìn)入對(duì)抗的實(shí)戰(zhàn)化階段。
懂防:騰訊云的云原生安全能力架構(gòu)
承載了整個(gè)騰訊全量云原生業(yè)務(wù)的騰訊云容器平臺(tái)��,有著業(yè)內(nèi)最大規(guī)模的自研上云容器應(yīng)用。在安全體系架構(gòu)中遵循了四大原則:一是安全能力原生化���,二是安全左移�,三是全生命周期的安全防護(hù)�����,四是零信任的安全架構(gòu)��。
騰訊云的容器安全防護(hù)體系框架��,按照云原生架構(gòu)層次化的方式�,可以逐層地實(shí)現(xiàn)安全防護(hù),打造出承載騰訊業(yè)務(wù)的云原生安全的容器云���,同時(shí)也能夠助力企業(yè)安全的實(shí)現(xiàn)云原生轉(zhuǎn)型。
內(nèi)功:騰訊云容器安全管理及運(yùn)營(yíng)實(shí)踐
安全運(yùn)營(yíng)是目標(biāo)����,安全能力是手段。在內(nèi)部推進(jìn)容器安全運(yùn)營(yíng)時(shí)�,可以參考NIST的網(wǎng)絡(luò)安全框架,將容器的安全運(yùn)營(yíng)分為五個(gè)并行且連續(xù)的步驟���,分別是:識(shí)別��、防護(hù)��、檢測(cè)��、響應(yīng)和恢復(fù)��。
在云原生場(chǎng)景下�,安全運(yùn)營(yíng)落地還面臨著眾多挑戰(zhàn):技術(shù)門檻方面,懂安全的不懂云原生����,懂云原生的不懂安全,企業(yè)的安全運(yùn)營(yíng)人員需要逐步地去補(bǔ)齊云原生的知識(shí)和運(yùn)維的知識(shí)���;流程規(guī)范方面�����,業(yè)務(wù)野蠻生長(zhǎng)���,配套的安全能力的建設(shè)和安全運(yùn)營(yíng)的流程規(guī)范跟不上;人和資產(chǎn)方面�,角色復(fù)雜���,設(shè)計(jì)開發(fā)、安全��、容器PaaS平臺(tái)方��、運(yùn)維��,安全意識(shí)較為薄弱����,資產(chǎn)歸屬不清晰。
企業(yè)云原生的安全運(yùn)營(yíng)能力建設(shè)需注意四個(gè)關(guān)鍵點(diǎn):做好鏡像的安全管控��;主動(dòng)容器集群層面的安全加固��;強(qiáng)大容器運(yùn)行時(shí)的安全防護(hù)�����;建立基本的容器資產(chǎn)大盤應(yīng)急����。
![\" src=]()
在分享最后�,陶芬分享了目前騰訊安全在云原生安全方面的落地實(shí)踐進(jìn)展。
攻防皆有道的騰訊安全已與信通院、清華大學(xué)聯(lián)合成立了行業(yè)首個(gè)云原生安全實(shí)驗(yàn)室���,發(fā)布了首個(gè)云原生安全的測(cè)試平臺(tái)��,目前測(cè)試平臺(tái)的基礎(chǔ)框架已經(jīng)建設(shè)完成����,未來(lái)在實(shí)戰(zhàn)演練的階段會(huì)擴(kuò)展到實(shí)戰(zhàn)演練環(huán)境����,聚焦云原生的技術(shù)實(shí)戰(zhàn)化的驗(yàn)證。
隨著數(shù)字時(shí)代的發(fā)展��,云原生技術(shù)的使用已經(jīng)成為必然趨勢(shì)�����,企業(yè)在享受云原生技術(shù)帶來(lái)的便利的同時(shí)�����,也面臨著日益復(fù)雜環(huán)境帶來(lái)的挑戰(zhàn)��。我們也希望���,本期研討會(huì)能夠助力企業(yè)明確發(fā)展需求����,找到應(yīng)用云原生技術(shù)的最佳路徑,構(gòu)建云原生安全體系�,實(shí)現(xiàn)企業(yè)的創(chuàng)新發(fā)展。
至此����,《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》安全系列線上研討會(huì)的四期主題研討也圓滿結(jié)束。后續(xù)����,CIO時(shí)代還將與騰訊安全聯(lián)合舉辦其它主題的系列研討會(huì),為助力企業(yè)數(shù)字化轉(zhuǎn)型貢獻(xiàn)自己的綿薄之力�����。
