程式設計師刪庫被判 6 年,公司損失近億,雲原生時代如何打造安全防線?
採訪嘉賓 | 鄭赳
作者 | 阿司匹林
出品 | CSDN(ID:CSDNnews)
9 月 20 日訊息,微盟「刪庫」主角被判處 6 年有期徒刑。
2 月 23 日,微盟研發中心運維部核心運維人員通過 VPN 登入伺服器,破壞 SaaS 線上生產環境並刪除資料庫,隨後微盟內部系統監控報警,導致大面積服務叢集無法響應。
根據最新財報,微盟上半年淨虧損為 5.46 億元,其刪庫事件預計賠付 0.87 億元。當然,受損的不只是微盟,還有微盟的一眾客戶。
微盟事件不是必然的,卻是巨量資料和雲端計算時代的產物。雲上安全的問題需要引起足夠的重視,因為只要上了雲,一旦出問題,就面臨業務停擺,甚至倒閉的風險。
安恆資訊高階副總裁兼首席雲安全戰略官鄭赳告訴 CSDN,刪庫事件一再發生,很多都是許可權管理或者內部的人員管理風險導致的,而這僅僅是上雲之後眾多安全隱患之一,因此企業迫切需要將運維管理跟安全管理進行結合,真正實現統一的安全管理。
作為一家從 2007 創立之初就開始專注於安全領域的公司,安恆的業務範圍已經從最初的應用安全、資料安全拓展到如今的雲端計算安全、工業網際網路安全、巨量資料安全、智慧城市安全。
為何安恆資訊這麼早就開始重視並佈局安全,從傳統安全到雲安全的變遷過程中有哪些機遇和挑戰,未來雲安全會是怎樣的形態?CSDN 採訪到安恆資訊高階副總裁兼首席雲安全戰略官鄭赳,一起探討雲安全的發展和變遷。
安恆資訊高階副總裁兼首席雲安全戰略官 鄭赳
安全領域變遷:從有形到無形,從有界到無疆
鄭赳表示,中國安全領域發展的背後主要有兩大驅動力。一是技術的變化,比如巨量資料、雲端計算的發展,技術的發展導致安全產品的形態發生了很大的變化;二是應用場景的變化,比如物聯網、智慧城市的出現,而場景的變化會帶來新的安全挑戰和安全問題。
在數位化與上雲的趨勢下,越來越多的企業選擇將業務與資料放在雲端,進而使用更為高效、低成本、安全穩定的雲端服務,因而 IT 基礎設施逐漸雲化。雲改變了企業的底層基礎設施架構,安全也隨之往雲化,傳統安全架構也不再適用於雲上。
隨著 DDoS 攻擊、勒索攻擊、資料洩露等安全事件頻發,我們清晰地認知到,無論是 5G、雲端計算、人工智慧、物聯網等細分的技術,還是雲平臺、伺服器及硬體等服務,無一不是安全的突破口與防護口,而傳統的「壁壘式建高牆」防護手段早已失效。
在這個萬物互聯的時代,當有人在不加前提約束的條件下簡單問「你的系統安全否?」就變成一個偽命題。因此,安全領域不再有邊界,而是應該成為無處不在的防護盾。
安全上雲,不只是「生搬硬套」
由於外部安全攻擊趨於智慧化、複雜化、規模化,雲上防護的方式變得更多元化、複雜化,部署強大的安全架構是企業迫在眉睫的事。
傳統安全的能力對雲有一定的賦能作用,但是安全的遷移並不是單純的「生搬硬套」,傳統的安全防護模式也並不適用於雲安全。
鄭赳告訴 CSDN,雲安全和傳統安全是完全不同的,兩者的架構邏輯存在很大的差異。比如以前傳統的網路防火牆不能簡單的搬到雲上,傳統的防火牆設定在流量的入口和出口之間就能進行防護,但是在雲上實現這一點就非常困難,因為雲是可以遷移的,因此防火牆的策略也需要可以遷移。
相對於傳統場景,雲上的風險也發生了變化:一是風險的優先順序發生變化,因為雲端計算的出現,資料安全和終端安全也變得更加突出和重要,而且不斷湧現出新的理念;二是新風險的出現,比如容器的安全、存取邊界的安全等。
在進行安全的遷移時,很多傳統安全裝置廠商寄希望於「安全盒子」的雲化,比如把FW變成vFW,裝到雲主機、虛擬機器器裡,再輔以SDN/NFV的理念,一次來解決雲上的安全問題。不過,在雲廠商看來,這不是雲原生安全,只能算是「雲夾生」安全。
因此,雲原生時代的安全不可能用傳統的硬體盒子來實現,而是需要充分利用雲的能力和技術,比如雲的負載能力、彈性伸縮能力、備份能力、熱遷移能力、計算能力、巨量資料能力等等。此外,還要用到雲的模式,比如 SaaS 化的服務模式,並根據應用場景提供按需服務。這些是雲安全和傳統安全最大的差異。
傳統安全只有經過雲化改造才能夠適用,這也是現在安全公司包括所面臨的一些挑戰。
構建雲安全能力,需要「系統性思考」
在雲端計算時代,安全廠商、雲端計算廠商和客戶是共用責任。即便我們使用的是雲上的 IaaS、PaaS、SaaS 服務,但並不意味著企業和客戶把相應的安全責任轉移給雲廠商。
雲廠商更多的是提供技術層面的武器,但是如何利用好這技術,這是企業的責任,需從企業安全架構層面、從安全實現技術路線上來做分析。
那麼在具體實現時,企業如何加強自身的雲安全防禦架構?
鄭赳表示,構建一個完整的雲安全體系需要系統性的思考,這是非常大的挑戰。由於資源的分佈不同,如何執行統一的安全策略和安全管理是企業面臨的最大問題,而安恆雲可以幫助企業構建一個相對系統的安全防護框架。
目前安恆雲提供的解決方案就是針對雲上使用者的痛點,首次將雲管理和雲安全進行結合,簡化運維的複雜度,通過更低的成本,提供更高效的安全能力和更好的體驗。
從「一朵雲」到「多朵雲」,管理和安全如何真正統一?
隨著伴隨著雲端計算技術走向成熟以及使用者對成本、備份等多類訴求,「多雲」的趨勢已經非常明顯。在鄭赳看來,沒有使用者希望被一家雲服務鎖定,而是希望充分利用各家雲的服務和價格優勢,因此會有越來越多的企業選擇多雲架構。
中國信通院的資料顯示,多雲架構已經成為企業主流的部署模式,2020 年高達 93% 受訪企業是多雲架構。但多雲架構也給企業帶來了一些新挑戰,比如多雲安全就是最大的挑戰之一,高達 83% 的調查物件認為多雲安全對其挑戰最大。
目前,多雲管理和多雲安全存在以下 3 大難題:
1、多雲管理孤島:多雲異構,各雲服務商架構差異大,各資源相對獨立,難以統一管理;
2、多雲安全建設成本高:每朵雲都需要獨立建設安全,安全建設成本高;
3、安全能力無法統一分配、管理與運維:各朵雲的雲安全能力參差不齊,無法實現統一的安全設定、運維與安全態勢分析,造成應用被入侵、資料被竊取等嚴重安全問題。
這時就需要一個多雲管理平臺,將分散的資源統一起來,集中進行管理。安恆資訊也看到了其中的問題,一方面是多雲如何進行統一的運營管理,另一方面是多雲如何進行統一的安全管理。
正是基於這些考慮,安恆資訊率先提出了多雲管理和多雲安全相結合的理念和解決方案,並推出了一站式多雲管理和多雲安全管理服務平臺——安恆雲。
鄭赳表示,提供統一的安全策略有很大的難度,從管理維度上來講,只有將不同的雲連線起來之後,才能將進行統一的的監控和分析,然後實施統一的安全策略。如果想要做好多雲管理,需要從以下幾個維度出發:
1、雲資產的管理,通過API對各種雲上資產進行識別重組,建立資產庫,然後進行統一的管理;2、對雲資源進行統一的監控,分析其使用情況;3、構建雲的同業成本分析,幫助使用者優化雲資源,節約成本;4、實現統一的自動化運維。
目前,安恆雲平臺可以無縫對接阿里雲、AWS、華為雲、騰訊雲、Ucloud、百度雲、Azure、京東雲、青雲等公有云,同時覆蓋阿里雲、OpenStack、華為雲等私有云平臺,讓使用者能在一個平臺上完成多雲統一管理,並提供主機監控與自動運維、成本分析與優化、合規運維與審計,實現多雲一站式管理。
然而,目前在國內做多雲管理和多雲安全最大的挑戰就是公有云API的穩定性和開放性問題。
鄭赳告訴 CSDN,很多公有云的 API 都號稱是完整開放的,但是真正使用的時候,就會發現這些函數的水平參差不齊,與國外的能力差距很大。一些公有云的 API 不夠完整,還有一些能力沒有開放出來,因此一些多雲管理的想法在這些雲上就無法實現。
不過我們並不需要悲觀,在鄭赳看牢,這其實是雲成熟度的問題。因為現在很多雲上的開發和運維都依賴於 API,因此它不可能隨意變化,未來一定會開放,而且會標準化,需要一個發展成熟的過程。
未來,多雲管理平臺的核心功能將不斷演進,與企業IT系統的整合更加緊密,並且與安全和網路產品深度融合。
雲原生時代,安全「左移」,DevOps 變 DevSecOps
雲原生這個概念現在很火,統計資料顯示,到 2021 年將有 92% 的公司成為雲原生公司。從基礎架構到應用程式的開發,堆疊在傳統方法與更現代的基於雲的方法之間形成了鮮明的對比,其中大多數已對成功的模式和實踐達成了主流觀點:DevOps文化、持續交付和微服務架構 。
然而為什麼我們還沒有重新構想雲原生的安全性呢?要知道,通常使企業陷入困境的是因為對開發投入太多,而對安全投入太少。
在鄭赳看來,我們需要充分利用雲原生的能力來去構建安全能力,如巨量資料分析能力、網路虛擬化能力、伺服器快照、儲存備份等。然而云原生的利用同時也帶來了一些新的風險,比如容器的風險等。
鄭赳表示,未來安全需求方面也會有一些變化,那就是開發運維會跟安全結合,實現DevSecOps,也就是「安全左移」。
關於「安全左移」,微軟企業服務大中華區 Cybersecurity 首席架構師張美波曾對CSDN表示,「軟體有規劃、設計、構建、測試、部署階段,但往往在軟體的部署階段,我們再去評估安全性,這是非常不好的。如今我們想從開始規劃、設計、構建、階段時就該考慮安全性。」
企業進行架構轉型時,對應的安全架構也將轉型,安全是任何技術的基礎。因此,企業應該將安全也納入速度、敏捷性和連續交付流程中,這樣才能保證企業不會因為安全問題而陷入困境。
結語
資料時代的背景下,無論運用哪一種前沿技術,最終都將體現到海量資料的採集、流轉、應用的流程之中。因為資料的邊界愈加模糊,所以安全能力必須在雲-邊-端實現更細粒度的防護。
而構建這道看不見摸不著且無處不在的安全防護門,是時代的機遇,也是挑戰。