腾讯安全专家直播分享:云原生安全正在成为安全领域的技术发展趋势
近年来,随着云计算技术在全球的快速普及,上云成为了企业实现数字化转型中的重要路径。凭借能让企业更好地适应和使用云环境的优势,“云原生”这一概念开始被云计算服务商广泛接受和开发,逐渐成为云计算领域中重要的技术发展趋势。
例如在企业上云的初期,大部分应用程序是从本地环境直接移植到云上的,这些应用程序在设计开发时并没有考虑云环境的特殊问题,很容易出现“水土不服”的情况。为了让应用程序更好地适应云环境,以云作为最终部署环境,按照云环境的要求所开发的应用程序——云原生应用被相继开发出来,为加速企业数字化转型进程提供重要助力。
除了应用程序适配性的问题外,云原生应用的普及在为企业带来高效、便捷的使用体验的同时,也带来了传统安全手段无法应对的新型攻击路径和安全问题。如何将安全防护能力与云原生的概念相结合,从而构建出以部署在云环境为基础、能够更加贴合云环境下安全态势的云原生安全体系,成为了广大企业眼下亟需解决的问题。
云原生安全问题解决方法众说纷纭 缺乏行之有效的统一方案
云计算技术作为数字化 经济 时代的基础设施,正逐渐成为支撑各企业正常运转、开拓业务的重要支柱,云原生应用的出现将进一步加速云计算技术的发展和普及。正因如此,企业在考虑如何使用更加高效地通过云原生带来发展机会时,也开始重视如何通过云原生来加强安全防护能力的问题。
然而,云原生应用基金会(CNCF)虽然给出了云原生的定义,但是对于安全层面上的内容却只字未提,导致行业中推出的云原生安全解决方法存在分歧。如Google倾向于通过改写底层代码的方式对安全问题进行“修补”;而网络安全供应商PaloAlto则是通过对各类云上安全问题提供外挂式安全产品的方式,提供具有针对性的云上安全防护功能。但修改代码存在滞后性,外挂挂多了也容易产生产品功能冗余的情况,均不能算是云原生安全的最优解。
现阶段行业中就如何云原生安全的讨论仍在继续,由于尚未合理合规的标准出台,云原生安全领域仍处于群雄割据的“战国时代”,至今仍未有统一的观点和解决方案出现。但对于云上企业来说,眼下只能采用针对现有问题选择单一产品这种“头痛医头、脚痛医脚”的方法来保障云上安全,迫切需要一套切实有效的方案来守护云上安全。
记者注意到,近期腾讯安全和CSDN发起的《产业安全公开课 · 云原生安全专场》一系列直播课程中,七位安全专家在构建云原生安全体系时的实践经验和心得,尝试将时下企业上云所面临的安全痛点与自身的安全防护服务相结合,输出腾讯安全对于云原生安全的独特观点和解决方案。
云上企业最关心数据安全 公开课 详解云原生数据安全解决方案
数据作为新基建时代中重要的生产资料,能够为企业在数字化时代下快速发展提供重要支撑,但也因此成为了不法分子觊觎的对象,外部攻击、内部泄露均威胁着数据的安全。同时,随着云上环境中数据使用场景持续扩大,也进一步提升了维护数据安全的难度,如何根据云原生应用的特点引入相应的安全策略,从而更加高效地为数据提供在产生、流动、存储、使用及销毁过程中的全程安全防护,成为了企业关注的重点。
对此,腾讯安全数据安全专家周京川从等保合规的角度,讲述了建设云原生数据安全体系的必要性。“从法规和监管层面来看,我国正在通过发布相关法规和条例加强对于数据安全的监管力度,迫使企业数据的安全防护和健康稳定放在发展规划的首位。”周京川表示,在企业上云的大潮下,企业就应该从云环境出发,在满足企业数据安全防护需求的同时,制定云原生数据安全体系的架构和策略。
“我们需要根据云原生应用的特点引进数据安全的策略。”腾讯安全云鼎实验室专家姬生利表示,早期大部分服务商所采用的数据安全保护策略是照搬物理机部署的应用模式,各个流程中对数据的安全防护措施相对分离,无法适用于云上数据高速流动的使用场景。
姬生利认为,从传统应用到业务上云再到云原生应用,数据的使用场景也在不断变化。要构建云原生数据安全防护体系,企业需要随着架构的演进提出新的数据安全保护策略。而云原生数据安全防护策略主要可以从3个方面入手。
首先需要进行数据的分类治理,针对敏感数据和重要数据制定相应的保护策略;其次,在数据传输存储的整个过程中,应使用加密技术对上述数据进行加密和脱敏保护,通过密码技术保障数据的完整性和机密性。最后,针对外部攻击和内部员工误操作导致数据泄露的问题,通过身份认证、角色管理等手段对数据获取权限进行统一管理,完善企业对数据访问的控制能力,最终形成云原生数据全生命周期的安全防护。
传统安全威胁云上再升级 以云原生概念为基础打造云上防线
对于企业来说,Web攻击和DDoS攻击都已是耳熟能详的安全威胁了,并且大部分企业已经具备了周全的防护能力。但随着云计算的不断发展和普及,这两种传统威胁在云环境中不断升级进化,再次成为了让云上企业头疼安全问题。 此外,企业迁徙上云后,也为主机安全和防火墙等传统安全防护功能带来更加多元化的安全挑战。
随着技术的升级,DDoS已经能通过电脑、移动设备、IoT设备对云上企业发起攻击,而攻击流量也会随着攻击面的扩展而逐渐增大,目前TB级攻击的时代已经来临。“传统的IP限速和拉黑名单的方式已经无法适应现在的攻击手段了。”腾讯安全网络安全专家王超力表示,腾讯安全将丰富的抗D经验和云环境特点相结合,不仅打造出了云原生防御算法和防护策略,还引入了AI智能引擎和流量行为建模等新兴技术助力抗D。
而在企业上云的过程中,传统IDC环境中部署的硬件防火墙已经无法适应云端的架构;但随着攻击技术、漏洞披露等日趋成熟,针对Web漏洞的攻击愈演愈烈,企业急需构建在云环境下运行无碍的云原生Web防护体系。“企业上云后,首先要考虑的就是如何将Web防护功能接入到云原生的环境之中。”据腾讯安全WAF负责人刘吉赟介绍,在以云原生概念为基础对产品架构进行重新设计后,云WAF会以旁路引擎作为核心功能,并在接入云环境之后将产品所具备的Web防护功能与云上基本安全能力相结合,最终打造出云原生的Web防护体系。
腾讯安全主机安全产品负责人谢奕智表示,在云环境中主机防护的策略需要根据防护规模的扩大而进行变更,还要考虑镜像污染、容器逃逸等云原生安全问题。“要解决云原生安全问题,就要贴合云原生支撑的技术和服务去做,从云的角度去思考和部署。”谢奕智认为,合格的云原生主机安防体系,不仅需要根据企业云上业务的规模对安全防护策略进行灵活调整,还应具备检测能力、响应能力、架构适配能力、满足合规要求的能力。
“在企业迁徙上云后,基于云原生的防护墙技术将取代传统防火墙,成为守护企业云端安全的关键基础设施。“在讲到云防火墙的功能时,腾讯安全云防火墙产品负责人周荃表示,尽管在云原生安全的背景下,计算、存储以及容器serverless等新型的网络基础设施都具备原生的安全能力,但仍缺少针对网络安全和流量的安全检测能力。云防火墙能够为用户提供入侵防护、威胁实时检测、威胁横向移动防护等基于云环境开发的,云原生安全防护功能。
云环境下效率与安全问题并存 以安全运营中心构建云原生安全体系
企业上云后,在享受DevOps模式、容器、云函数等云原生服务所带来高效、便利体验的同时,也需要面对云上新生的安全问题。以DevOps模式为例,借助云原生API驱动的DevOps得到了大规模的应用,企业可以通过DevOps实现产品的敏捷开发以增加整体效率。
但在DevOps模式下产生的新生安全威胁,如异常API调用、SecretKey泄漏则要求企业具备针对性的检测手段才能够发现。在此背景下,企业的运维团队不仅要对云上新型安全威胁和传统 互联网 攻击进行检测和及时响应,还需要通考虑如何对各个安全产品进行统一管理,从而搭建出真正行之有效的云原生安全体系。
为了解决云上新生安全问题并打通云上各类安全产品间的相关数据,腾讯安全高级工程师耿琛在公开课上分享了腾讯安全云原生安全运营体系的构建理念。“针对公有云环境中的安全问题,要以云原生的思路构建云的安全体系,而不是将传统的安全体系搬到云上。”他表示,以云原生为中心,以安全左移、数据驱动及自动化为基本支撑,就是构建云原生安全运营体系的“一个中心和三个基本点”。
其中,安全左移指的是云原生安全运营体系首先应该具备事前感知安全威胁和配置风险检查能力,既以构建安全预防体系的方式提升整体安全水平;而数据驱动则是云原生安全运营的基本要求,通过建立云上安全数据湖对各安全产品上的数据进行收集和统一管理,在为整个安全运营体系提供支撑的同时,也打破了各个安全产品间相互孤立的局面,为安全产品相互协同、形成完整安全闭环打下了基础;最后,通过云上资产自动化盘点及云上威胁自动化响应处置等自动化技术,帮助企业安全运维团队实现对云上新型安全问题的自动应对。
从中短期来看,除非出现能够超越5G传输速率的物理传输技术,否则云平台仍会是未来企业在新基建时代拓展业务的主要阵地。而云原生作为企业数字化转型和持续创新的加速器,将受到广大企业和云服务商的持续关注,对于如何基于云原生应用构建云上安全体系的讨论和探索也将不断深入。本次腾讯安全所发起的产业安全公开课,或将成为行业中云原生安全实践成果分享的最佳范例,引导其他安全服务商对外分享云原生安全的探索成果,为企业提升云上安全水位提供更多助力。