为什么“安全”是产业上云的关键命题?
稳定、安全已经成为产业互联网时代的最值得关注的核心命题,也是未来云计算服务商的常态化能力。
当下,无论是数据的处理和分析,还是生产线、客户关系的流程管理,产业互联网已经与云计算进行了深入的绑定。从IaaS服务器,到与PaaS相关的数据中台,再到上层的SaaS应用,云计算已经成为企业进入产业互联网、向数字化转型的重要基础设施。
产业互联网规模越大,用云量就越大,产业的云上安全也就越重要。当然,如果反过来推,站在云服务商的角度来讲,在企业都在加码产业互联网的背景下,产业安全正在面临越来越多的挑战,重视云计算安全上的投入,在未来必定是一种常态。
产业互联网时代的云上安全新挑战
还记得2017年5月,影响全球的网络病毒WannaCry吗?
这款病毒在当时影响巨大,全球上百个国家的数十万台电脑被感染,人们向来以为安全系数最高、与互联网系统隔离的医院、教育、能源、通信、制造业以及政府等多个领域的计算机终端设备却成了这次网络攻击的重灾区。这其中,中国也难以Windows系统用户不同程度遭到勒索,特别是校园网用户,大量实验室数据以及毕业设计被锁定加密。
现在来看,WannaCry其实可以理解为产业互联网之初,有组织的黑客们对核心系统的攻击预演,未来还有多少次这种攻击是无法预测的。
“当前,网络攻击的危害与上一个时代不可同日而语,黑客可以通过攻击摧毁一条庞大的产业链,黑产可以利用勒索病毒做空一个市场,具备国家级网络攻击能力的国家超过40个。”有业内人士表示。
这也近乎成为一种共识。相关报告显示,从2018-2019宏观安全态势的变化来看,黑客们的攻击技术已经可以对固件,对硬件,对无线电和网络协议,对系统供应链等等发起攻击,而且针对IOT、ICS等基础设施的目标攻击技术越来越成熟。
此前,在上云的过程中,企业的CEO和CIO们经常会问这样一个问题:“上云是不是安全的”,“公有云安全还是私有云安全”等等。在现阶段,我们可以肯定,无论是云上还是云下,无论是公有云还是私有云,“安全”都将会是一个被高度关注的词,并且企业需要与有专业技术的安全团队合作,才能够应对“专业黑客”的杀伤性攻击。
随着云计算部署模式的多元化,一种新型的安全威胁——Intercloud(可以理解为“跨云”),也已经产生。
GeekPwn去年年末发布的《2019云安全威胁报告》表示,在多云时代,IT 组织需要通过一个统一的实时视图来掌握所有私有云、公有云和分布式云的状况。但是,跨云就需要实现网络互通、数据访问,此时云间的身份管理和身份认证、实践,良好的跨云服务安全架构、跨云间的数据加密传输、以及云的安全合规性都将成为尤其重要的关键环节。
除了核心系统以及Intercloud面临的安全威胁,在零售、金融等领域,黑灰产劫持、数据泄漏事件也早已不足为奇。但就是这样的安全威胁,企业自己处理起来也有些捉襟见肘——不是自己做不到,一旦认真做了,从人才到安全管理系统搭建,再到威胁情报数据库的建立,都会让CEO口中的“降本增效”成为一句空话。
一个发生在我们身边的真实的案例:东鹏特饮是一款国产保健饮品品牌,为了增加与消费者的互动,东鹏特饮曾在2015年推出了扫码领红包的促销活动,每个红包从2.8元到888元不等。数据显示,活动一上线,就吸引了单天150万左右的消费者参与,在最高峰的时候,单天参与人数可以达到近200多万。
但这时,问题也出现了。
“扫码记录存在很多异常,比如会出现同一个ID号,在短时间内出现非常大量的扫码行为。我们被黑产盯上了。”东鹏特饮技术负责人董文波曾接受钛媒体采访时表示。经第三方数据测算,东鹏被羊毛党薅掉的金额已高达8%-10%。按照这个比例,东鹏损失的营销金为1600万-2000万。
能不能将损失比例再降一降?东鹏特饮希望得到产业界伙伴们的帮助。“我们后来采用了一款第三方的风控产品,从营销风控、金融风控、内容安全等领域预防欺诈识别风险,他们也有大量的黑灰产数据,最终让我们的损失比例降到了1%。”董文波表示。
君子生非异也,善假于物也。在产业互联网时代,应对产业云安全上的新挑战,让专业的人做专业的事,这是企业需要学会的新技能,同时这也对云安全服务商提出了“更专业”的要求。
如何成为那个更专业的人?
从消费互联网到产业互联网,云计算、AI等技术需要一个角色将其下沉至传统产业,这背后是巨大的To B市场机会。
2019年10月,中国国务院发展研究中心国际技术经济研究所发布的《中国云计算产业发展白皮书》显示,未来数字经济将引领中国云计算产业快速发展,预计2023年,中国云计算产业规模将超过3000亿元人民币。
于是,我们可以看到,在2018、2019这两年,盯上To B企业服务这条赛道的互联网巨头们纷纷进行了架构调整,希望集中所有力量,以团战的形式争取到更多To B份额。
以阿里为例,在过去一年多的时间里,阿里进行了多次组织架构调整,其中最重要的节点是2018年11月,阿里云事业群升级为阿里云智能事业群,2019年虽然阿里也经历了数次调整,但无论是钉钉入云,还是天猫精灵升级为独立事业部,这些其实都是集齐公司内部的资源帮助阿里云智能构建产业触角,以实现阿里巴巴数字经济体的最终愿景。用阿里巴巴CEO张勇的话说,阿里正在实施着“一张图、一颗心、一场仗”的一体化战略。
说到To B,华为2019年也开始了这方面的密集重整。虽然2019年对华为来说是攻坚克难的一年,但从超6000亿的营收来看,华为这一年的努力也算有了收获。
2019年全联接大会,华为将全公司上下“计算”方面的能力进行了整体打包。在云上,2019年一季度,华为还将原来的IoT、私有云团队合入了Cloud BU,并加强了云在各个产业侧的渗透实践;刚刚进入2020年,华为近日又对组织架构进行了新一轮调整,其中Cloud&AI升至华为第四大BG,实施Cloud Only战略。
“通过对资源和组织的整合,从芯片到数据中心、从硬件到软件、从IT基础设施到云服务、从边缘计算到云计算,将资源全部集结。这样做是希望通过加强投入,将华为云打造成业界唯一的拥有全栈能力的云。”华为ICT战略与Marketing总裁汪涛曾表示。
早在2018年9月,腾讯就做出了比较大的组织架构调整,将原来七大事业群拆分整合为六大事业群,在产业端,新成立了云与智慧产业事业群(CSIG)。
CSIG的主要任务可以理解为腾讯云+智慧产业的的结合体。与阿里聚焦“数字经济体”、华为聚焦“全栈云”一样,腾讯云的这次重整,也逐渐梳理出了一条清晰的产业互联网红线。
“未来的三到五年,产业互联网安全市场有望跃升到千亿规模,安全将成为CEO的一把手工程。”腾讯公司云与智慧产业事业群(CSIG)总裁汤道生在一个公开场合表示。
腾讯梳理出的这条红线,就是产业云的安全与稳定。这也是为什么在腾讯的所有调整中,腾讯安全团队的调整看起来“动静”最大:跟随2018年9月30日腾讯公司的组织架构调整,原隶属于MIG的腾讯安全团队正式划归CSIG事业群,其核心职责也从用户安全,转向为腾讯云及智慧产业发展提供通用安全保障。而与之一同调整的,还有腾讯内规模超过3500人的安全专家团队,他们将以“全栈工作组”的协同机制“All in”腾讯云。这可以看作产业云安全领域“团战”策略的一个经典案例。
3500人怎么“All in”?
钛媒体了解到,在团队上,腾讯安全仍然保持独立的团队,但在业务上,腾讯安全将与腾讯云有更多交叉互助。
以腾讯安全的七个安全实验室为例,我们知道,腾讯安全旗下有七个安全实验室(钛媒体注:这七大实验室为,科恩实验室、玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室),在“All in”腾讯云之前,这七大实验室中,只有云鼎实验室的部分业务跟腾讯云深度捆绑,但在“All in”之后,这七大实验室或多或少都成为了腾讯云在产业云安全上的左膀右臂。
“你可以理解为,腾讯安全调整了攻坚方向,在消费互联网时期,腾讯安全更多精力放在消费侧,跟随公司在产业互联网上的大战略转型,这3500人已经调转航向,将焦点对准了产业侧。”一位接近腾讯安全的人士向钛媒体表示。
这种调整之后,表现最为明显的是腾讯云内部已经常态化的红蓝军对抗。事情起源于云鼎实验室联合其他六大实验室针对腾讯内部业务的红蓝军对抗模拟行动。据云鼎实验室负责人Killer介绍,红蓝军对抗模拟主要目的是为了提升腾讯自身的安全能力,往小了说,这是私心;往大了说,这是对腾讯云上上百万台服务器安全运营的负责。
一次,云鼎实验室的enlighten在工作中突然收到一份防御系统警报:有黑客已经侵入到了腾讯云的支撑环境。在迅速响应的同时,enlighten也有些震惊:因为腾讯的防御体系分为三层,第一层是产品自身安全与防护;第二层是业务服务器安全加固防御与入侵检测;第三层则是腾讯内网隔离、访问控制与风险感知,每一层都有极其严密的防御措施和复杂的安全规则。
“如果一个外部黑客对腾讯的安全防御体系完全不了解,他应该在第一次尝试的时候就会被发现”,enlighten回忆说:“当时其实既惊讶又兴奋,因为这么多年来,基本没有哪一次攻击能够突破第二层防御到达支撑环境。觉得这一次遇上对手了。”
接到警报后,enlighten和小伙伴一起迅速控制住攻击的势头,并对攻击进行溯源,找到入侵的源头,对漏洞进行封堵。当enlighten终于忙完,长舒一口气的时候,却发现才意识到事情不对劲。
原来,这正是Killer所说的内部红蓝军对抗演习。
“通常情况下,如果安全部门发现黑客通过腾讯云外网进入腾讯内部IDC系统,业务部门会觉得,你们搞安全的去修复一下就好了。他们不会有很深的感受。”这是Killer希望通过红蓝军对抗的意外收获。
“这个渗透过程让我们发现了很多问题。不仅仅是产品问题,我们也发现了一些组织和人员问题,比如员工很容易被钓鱼等等。”
以往在我们的认知中,黑客一般会通过系统漏洞进行攻击,但是在腾讯红蓝对抗的过程中,蓝方的攻击可以在不利用任何漏洞的情况下、在都是标准行为的情况下,黑掉整个系统。“这些对腾讯云业务部门来说,他们的触动是非常大的。”Killer表示。
一次关于云安全的系统重构
除了红蓝军对抗,另外一边就是我们前面提到的“云全栈安全研究工作组”。这个研究组由上述七大安全实验室和腾讯安全平台部超过300人的顶尖人员组成,目标在于通过对云平台的合规管理、基础设施、系统安全、数据安全、应用安全、网络访问固件自身安全等领域展开全面、前瞻性的研究。
在之后的调整中,腾讯超过3500名的安全专家和技术人员共同投入到云全栈安全的建设当中,他们最终构建了一套基于云的原生安全体系,这不仅能够保障云平台的安全性和稳定性,同时也将安全服务内置到云中。例如:
- 在安全合规和管理的层面,从顶层设计上不断提升腾讯云的安全性和规划能力,满足国内外重要的安全标准和资质,并通过全员的安全培训不断提高云产品开发人员的安全意识,输出安全开发和运维的标准流程;
- 从数据中心的物理安全层面,对包括安防、设备、水、空调、消防、电力这样一些基础设施的安全进行研究和建设;
- 再到整个网络层面的安全,进行更高量级DDoS防护的研究、打造更先进的云防火墙、通过红蓝对抗和日常漏洞挖掘不断收敛云上的安全漏洞;
- 再到服务器的硬件安全层面,展开可信计算架构与供应链安全保证方面的研究,保证主机里面所有的硬件、固件、代码完全经过腾讯的审核,从硬件的设计开始经过腾讯云自己的审计和安全评估。
- 最后到操作系统的安全,一直到租户的安全保障迭代,最后完成整个云上面全栈基础设施的安全构建。
腾讯云端到端云原生数据安全中台
总的来说可以概括为“一个基础底座、两个中台、一个中心”。一个基础底座指的是腾讯云的全栈基础设施,两个中台指“云数据安全中台”和“租户安全运营中台”,一个中心是指“云安全管理中心”。
“企业要在数字化时代深化发展,就必须全方位升维安全能力。”腾讯副总裁丁珂这样描述安全生态能力的重要性。
钛媒体了解到,在全栈基础设施建设上,腾讯云未来会把全球110万台主机逐步从底层迭代为全新的安全体系,从物理环境和基础架构、可信云网络、可信硬件、操作系统直到租户安全,从合规治理、运维管理到供应链安全,全方位的给云用户提供一个安全的计算基础。
要从“价值”角度考虑业务问题
在一番团队整合和业务重塑后,虽然最终取得了一定成果,但回望这段历程,腾讯安全与腾讯云团队交叉互助其实也出现了一些插曲,“多从业务价值角度考虑问题”,这是腾讯团队在踩过一次坑之后告诉大家的答案。
“腾讯安全3500人团队要全部All in腾讯云,听起来是团队调整,但这背后我们经历了一段阵痛期。”腾讯安全云鼎实验室负责人Killer回忆。
Killer提到的阵痛,包含两个方面:一是,腾讯安全3500人团队与腾讯云业务模式、服务模式的磨合;二是,腾讯云网络、存储等的全栈服务都要接受来自腾讯安全团队的加固、再加固的整体复盘。
“每天晚上猫在家里挖漏洞”,这是腾讯安全云鼎实验室的张祖优在“All In”之前主要干也非常擅长干的事儿。但是现在,张祖优的工作从“挖漏洞”变成了“做云产品安全”。
Killer心里明白,做云产品安全,就好像是给跑在高速路上的汽车换轮胎。
“不敢动。有些产品已经跑了两三年刚稳定,现在进行安全策略调整,首先云业务的伙伴们就会抵触。”这同样也是张祖优的压力来源,业务面向客户,动了业务安全策略,这里面可能会产生什么样的风险和责任,风险产生之后,责任谁来承担?都难以说清。
今年上半年,张祖优一边梳理安全产品架构,一遍着手协调如何将这个架构在腾讯云上付诸实践。没想到在方案落地的第一步就现了问题。张祖优试图用技术人员“霸道总裁”的思维来说服业务部门:“反正我是为你好,我现在要做什么事你就给我弄!”
这种方法在云鼎实验室内部或许能行得通,但放到整个腾讯跨部门体系下,就显得有点儿捉襟见肘。
祖优在跟Killer私下交谈时表达了这种困惑:“工作不被那些产品团队理解,包括去给业务团队培训、去指出他们问题的时候,产品团队就会觉得耽误了他们的开发效率和进度,害怕全部都要重来。”
“我们首先要让腾讯云业务团队明白,腾讯安全做这件事,是有价值的。”这是Killer找了QA团队开了几次会,拉着总监王敏做了反复交流之后做出的结论。
于是,腾讯安全团队迅速调整战术,将原来“把代码给我,我要审计”的口吻,变成了“我们通过黑盒的方式帮你看看?”腾讯公司规定,部门代码是有保密权限的,所以Killer他们也很理解同事们对此事的抵触。
后来通过黑盒的方式,Killer团队帮助业务部门发现了很多需要进一步完善的问题:“他们会觉得,原来你们真的可以帮我们发现问题,产生价值,他们会认为我们是真的来帮他们的,而不是添乱。”
让Killer更加惊喜的是,在做了一系列工作后,业务团队开始主动找上来:“我们想提升安全标准,你们有什么样的思路、什么样的工具来帮我们把这件事情做好?”
现在,云鼎实验室的主要工作之一就是和七大实验室的小伙伴们一起对腾讯云上的200多款产品进行扫描,及时发现并封堵漏洞。enlighten的另外一项重要工作就是把好新产品上线的最后一道关。
“安全不过关产品不上线”,这是云鼎实验室定下的军规。哪怕耽误了产品上线的重要时间节点也在所不惜。
“为这个事儿其实和很多产品开发团队闹过不愉快”,enlighten苦笑着说,“但是没办法,为了整个腾讯云的安全,这个恶人我们必须要当。”
安全团队日常技术讨论
一箭双雕:人才、资源的双向流通
腾讯安全All in腾讯云不仅提升了腾讯云的云原生安全能力,同时也打通了腾讯整个安全系统的任督二脉,腾讯安全团队的人才、技术、资源都将自动融为腾讯云产业互联网的血液。
拿Killer来说,这位腾讯安全云鼎实验室负责人的另一身份是一位顶尖白帽黑客,曾在2007年创建“超级巡警”,一举截杀“熊猫烧香”病毒,在安全行业内声名鹊起。
在Killer对面,是腾讯安全玄武实验室掌门人、红蓝对抗蓝军带头人于旸(TK)。今年年初,于旸获得了国家科技部、国家科学技术奖励工作办公室批准,中华国际科学交流基金会联合苏州市人民政府、中国教育电视台共同颁发的“杰出工程师青年奖”。
另一边科恩实验室掌门人吴石(wushi)曾经是全世界提交漏洞数量最多的个人,他曾在一个月完成了微软一年的工作量,是腾讯一段时间内唯一的T5专家。
在腾讯云全栈安全研究工作组,像Killer、于旸、吴石这样的人才还有很多,他们累计服务客户数量已经超过10000+。基于这些优秀的人才,腾讯也正在与安全生态合作伙伴不断推出安全联合解决方案,这些联合解决方案占腾讯安全全品类销售比例达到26%,而在2019年上半年,腾讯安全产品通过渠道伙伴销售的增速达到200%。
腾讯安全联合GeekPwn发起首个云上真实环境攻防挑战赛
比如在广东省政务数字化项目中,腾讯与超过10家腾讯安全生态伙伴共同合作,协助政府从0到1构建了完整的数字化安全防护体系,涉及基础安全、业务安全、内容安全等全栈能力。这套系统,在去年中央主管部门组织的50余家测评机构测评中,获得了零失分成绩,树立了智慧政务安全标杆。
知识产权出版社i智库刚刚发布的《中国互联网云技术专利分析报告》显示,截止2019年12月,腾讯公司云技术专利申请量达到4899件,专利申请量、授权量、有效专利数量、专利价值度等均排名首位,发明人团队规模达到5948人。在云技术细分领域,腾讯在安全、大数据等多个维度保持行业第一,其中在安全领域的专利申请数量达到1599件,领先第二名高达32%。
目前,腾讯全网服务器总量已经超过110万台,成为国内率先破百万的公司。腾讯云的基础设施已经覆盖全球五大洲25个地区,拥有53个可用区。上个月,腾讯云也宣布其营业收入在2019年第三季度首次实现了100亿的突破,这是2018年一年都未达到的数字。
腾讯公司高级执行副总裁、云与智慧产业事业群总裁汤道生在前不久也重申了腾讯产业互联网的雄心:“2020年,腾讯会全方位加速推动产业互联网生态建设,持续加大投入,和合作伙伴一起做好产业数字化的支撑平台,持续挖掘并扶持,具备高成长性、高协同价值的生态合作伙伴。”
接下来腾讯在自身实验成功的红蓝军对抗以及云原生安全全栈规划便会向全行业推广,腾讯安全团队全力构建安全并All in腾讯云的战略,或将成为腾讯推进产业互联网的一个重要突破口。(本文首发钛媒体,作者/秦聪慧)
更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App