12月19日，2020 Techo Park開發(fā)者大會在北京舉辦，騰訊云首席安全官董志強出席并發(fā)表了以《用云原生安全鑄造產(chǎn)業(yè)互聯(lián)網(wǎng)時代的堅實底座》為主題的演講。他表示，云計算已成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來數(shù)字化變革的主要載體，而云上的安全服務也應該像云一樣，讓客戶能夠開箱即用、按需索取、按量付費。

云時代的網(wǎng)絡安全將面臨四大挑戰(zhàn)：第一，算力提升和數(shù)據(jù)量的變化，會導致原有的風險模型和安全機制面臨新的挑戰(zhàn);第二，原來以硬件為核心的防御架構，無法應對基于云計算出現(xiàn)的新風險;第三，云計算環(huán)境下，攻防對抗變成了動態(tài)且持續(xù)變化;第四，由于云的導入，企業(yè)管理經(jīng)營上面也會引發(fā)安全技術和安全機制的一定變化。未來的安全建設要契合云計算的特點，將安全前置，而云原生安全是應對未來安全問題的高效手段。

騰訊安全基于多年來的研究與實踐經(jīng)驗，分別從云原生安全治理、云原生數(shù)據(jù)安全、云原生應用安全、云原生計算安全、以及云原生網(wǎng)絡安全等層面，全面構建了騰訊云原生安全防護體系。

未來，騰訊安全將進一步通過云原生的方式持續(xù)開放騰訊級的安全能力，為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個堅實的安全底座，讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時代數(shù)字化升級帶來的便利，讓安全不再成為數(shù)字化經(jīng)濟發(fā)展的掣肘。

以下是董志強演講全文：

大家好，很高興今天能在Techo Park的現(xiàn)場和各位開發(fā)者交流關于云安全相關的技術趨勢和現(xiàn)狀。我想和大家聊一聊騰訊安全關于云原生安全的一些理解和實踐。

目前基于云計算的各種工具、解決方案非常多，迭代速度也相當快。云和各行各業(yè)的連接越來越緊密，成為產(chǎn)業(yè)互聯(lián)網(wǎng)和未來數(shù)字化變革的主要載體。這個行業(yè)也已經(jīng)成長為幾千億美元的規(guī)模。這肯定是一個共識，即便是傳統(tǒng)企業(yè)，對云的接受度也非常的高。那么云計算的高速發(fā)展，對于IT建設和安全防護帶來了哪些影響呢?

各位都是IT領域、安全行業(yè)的從業(yè)者，大家都知道，過去進行IT建設周期很長，從選型、測試、采購、上線、交付一系列流程，傳統(tǒng)企業(yè)里面如果要新購一個服務器一般要一個半月到三個月，再加上裝操作系統(tǒng)，要測試上線、做系統(tǒng)配置，要做聯(lián)調(diào)等等，周期非常長。而現(xiàn)在，騰訊云里面購買新的虛擬主機，五分鐘之內(nèi)系統(tǒng)就能上線。而使用近兩年大熱的云原生容器技術，幾秒鐘就能創(chuàng)建上線。Serverless無服務器化運行，把這個時間縮短到了以百毫秒為單位。這樣的變化對整個安全又帶來什么影響?

根據(jù)騰訊云和騰訊安全多年的研究與實踐經(jīng)驗，我們認為第一個挑戰(zhàn)是算力提升和數(shù)據(jù)量的變化，會導致原有的風險模型和安全機制面臨新的挑戰(zhàn)。這個其實很好理解，大家不妨回憶一下，同樣是破解MD5加密算法，20年前一臺一萬美元左右的服務器，每分鐘能破解2000多次，但現(xiàn)在一塊云上通常使用的GPU芯片，成本也是一萬美元左右，卻能做到每分鐘55億次。也就是說同樣成本下，我們的算力提升了2300萬倍，很多原來安全的算法在今天已經(jīng)不再安全。與此同時，存儲成本也在飛速下降，存儲的數(shù)據(jù)量卻爆炸式的增長，同樣也會對我們原來機制的有效性帶來挑戰(zhàn)。

第二個挑戰(zhàn)是原來以硬件為核心的防御架構，沒法應對基于云計算出現(xiàn)的新風險。在云上的整個架構變化會非常復雜，比如今天在騰訊云上面運行了超過100萬臺的物理服務器，上千萬以上的虛擬機，這組成了一個非常復雜的系統(tǒng)。導致今天在云上的攻擊面、風險面比以前任何時候更復雜。原來傳統(tǒng)的IT架構，它的物理架構和邏輯架構是統(tǒng)一的，我們只用考慮在哪里放個防火墻，在哪插個盒子，但是這種做法在云上面正在失效。

第三是攻防對抗變成了動態(tài)且持續(xù)變化的。剛剛其實我就提到過，現(xiàn)在整個IT系統(tǒng)的生命周期發(fā)生了很大的變化。相應的，我們進行運維防護的節(jié)奏也要進行調(diào)整。傳統(tǒng)的以年為周期進行安全規(guī)劃，以季度為單位進行漏洞掃描的節(jié)奏已經(jīng)不適用了。因為在云計算環(huán)境下，攻擊的發(fā)生被縮短到秒級，我們處于持續(xù)的風險對抗環(huán)境中。

第四企業(yè)管理經(jīng)營上面，由于云的導入，在資產(chǎn)的所有權、數(shù)據(jù)的購置權和企業(yè)經(jīng)營的成本模型上發(fā)生非常大的變化，也會導致云上很多的安全技術、安全機制有一定的變化。

聊完云時代的變化帶來的安全挑戰(zhàn)，我們會發(fā)現(xiàn)原來打補丁式的安全思路現(xiàn)在已經(jīng)不適用了。未來的安全建設要契合云計算的特點，應該是具有彈性的，隨時能夠跟著服務器體量的變化擴容或者收縮;并且要能完成自我循環(huán)，做到自適應、可迭代，在云上就能完成升級，而不需要花費大量時間、人力和資金成本去更新硬件設備。同時，云上的安全服務也應該像云計算一樣，讓客戶能夠開箱即用、按需索取、按量付費。

這就是云原生安全的價值所在，將安全前置，原生在云上是應對未來安全問題的高效手段。

針對過去的數(shù)據(jù)，未來的趨勢，技術發(fā)展方向和產(chǎn)業(yè)方向進行分析后，我們騰訊安全的云原生安全建設主要圍繞以下幾個方面展開。

首先是云原生安全治理，包括對身份治理、風險治理、數(shù)據(jù)治理幾個方面的研究。整個安全治理體系，分為了風險識別、風險監(jiān)測與防護、響應及恢復、持續(xù)運營幾個重要的部分。

然后是云原生數(shù)據(jù)安全，未來數(shù)據(jù)量越來越大，如果按傳統(tǒng)的方式去構建數(shù)據(jù)安全，它的鏈條非常長，從前端的數(shù)據(jù)發(fā)現(xiàn)到數(shù)據(jù)的加密，還涉及到一系列軟件、硬件、網(wǎng)絡的加密，到數(shù)據(jù)的審計以及數(shù)據(jù)的泄漏監(jiān)控，整個鏈條里面可能涉及到二三十種產(chǎn)品。如果在云上讓一個用戶部署這么多產(chǎn)品，去管理非常復雜。我們通過打造端到端的云原生數(shù)據(jù)安全中臺，逐步把所有數(shù)據(jù)安全的設施、技術、產(chǎn)品全部納入到云本身里面去。從數(shù)據(jù)的發(fā)現(xiàn)和治理、數(shù)據(jù)的加密和保護，數(shù)據(jù)的脫敏、數(shù)據(jù)的審計等等基本的全生命周期的數(shù)據(jù)安全服務都是以云原生方式給客戶提供。

接下來是云原生應用安全，這一層主要包括對安全開發(fā)、安全測試和應用安全防護的研究。在開發(fā)方面，我們一直致力于推行DevSecOps，將安全貫穿開發(fā)生命周期。由于容器的發(fā)展，對于API的調(diào)度成為了云原生時代最核心的特征之一，所以對API的安全防護也是我們研究的重點。

在云原生計算安全層面，容器的安全是我們最為關注的要點之一，通過硬件虛擬化隔離、容器隔離、加密容器運行環(huán)境等辦法，對容器進行安全管理，保障容器在運行時的安全。

最后是云原生網(wǎng)絡安全層面，這里我們不僅給云上的客戶提供SAAS化的云網(wǎng)絡安全產(chǎn)品，并且通過云網(wǎng)絡邊界的治理和融合云原生防火墻等方式來保障云的網(wǎng)絡安全。

目前騰訊安全的云原生安全研究和建設就是圍繞以上幾個層面展開，并且我們已經(jīng)取得了一些實踐成果。首先給大家展示一下我們的云原生安全防護體系。

疫情期間，大量的企業(yè)被迫加速數(shù)字化升級，全國的用云量大規(guī)模增長，即使對于騰訊這樣生長在互聯(lián)網(wǎng)上的企業(yè)，也是一次全新的挑戰(zhàn)。

為了盡快復產(chǎn)復工、恢復經(jīng)濟活力，居家網(wǎng)上辦公、線上展會、直播帶貨等依托互聯(lián)網(wǎng)的數(shù)字經(jīng)濟形勢涌現(xiàn)。

作為一款主打線上視頻會議功能的產(chǎn)品，騰訊會議在此期間用戶規(guī)模高速增長。產(chǎn)品迅速擴容的同時，也對安全防護提出了更高的要求。如何保障網(wǎng)絡服務的穩(wěn)定、如何確保用戶會議內(nèi)容的數(shù)據(jù)安全等等，都需要快速跟進。

如果用傳統(tǒng)的打補丁的安全思路，我們很難跟上產(chǎn)品用戶規(guī)模增長的速度，但是在騰訊會議的產(chǎn)品設計階段我們的安全團隊就參與其中，真正將安全體系內(nèi)置在里面，讓安全能力能夠跟著產(chǎn)品一起升級，成功的保障了騰訊會議在疫情期間的大規(guī)模應用。這就是一種典型的云原生安全思路的體現(xiàn)。

我們不僅用云原生的安全體系來防護我們自己的產(chǎn)品，我們也把這樣的能力通過騰訊云開放給客戶，來保障客戶的安全。

首先是在云原生安全治理方面，我們進行了從風險識別、到風險監(jiān)測與防護、再到響應與恢復，以及持續(xù)運營一系列的治理體系，將騰訊安全的各種安全能力融入其中，從全局上提供防護。為了幫助騰訊云上的用戶快速解決云服務器合規(guī)的問題，我們今年還推出了一套云原生的合規(guī)鏡像，并且將它免費提供給騰訊云上的用戶使用，用戶只需要在官網(wǎng)上進行簡單的操作，就能避免復雜繁瑣的配置過程，獲得一套符合等保要求的云主機;

其次是在數(shù)據(jù)安全層面，我們打造了端到端的云原生數(shù)據(jù)安全中臺，從最底層符合國家標準的硬件加密機，到中間透明加密的中間件，到API，到云產(chǎn)品層的數(shù)據(jù)透明加密，都已經(jīng)具備。

在密碼技術層面，依托云計算交付密碼技術在我國仍是新興的密碼服務模式，將密碼技術嵌入云計算系統(tǒng)中仍面臨諸多的挑戰(zhàn)，包括云系統(tǒng)適配問題、硬件密碼模塊部署問題等等，近期我們正在聚焦云安全訪問代理CASB的研究，CASB組件將敏感數(shù)據(jù)在應用服務內(nèi)加密，除實現(xiàn)將數(shù)據(jù)加密后存入數(shù)據(jù)庫，還能實現(xiàn)數(shù)據(jù)從應用服務到數(shù)據(jù)庫之間以密文形式傳輸。

在業(yè)內(nèi)都很關注的容器安全的前沿領域，騰訊云成為首批通過信通院大規(guī)模容器集群性能測試評估的云服務商，獲得最高級別“卓越級”認證。并且騰訊云容器服務憑借優(yōu)秀的整體防護能力同時收獲“容器平臺安全能力”的最高級別——先進級認證。

而騰訊云主機安全服務今年入選了Gartner CWPP全球市場指南，我們正在將云主機安全、云防火墻，結合云SOC一起打造一個更加完善的云原生安全防護體系，更好的保障云上用戶的安全。

以上只是簡單列舉了一些我們已經(jīng)對外開放的安全能力，未來我們將進一步通過云原生的方式將騰訊級的安全能力對外開放，為產(chǎn)業(yè)互聯(lián)網(wǎng)打造一個堅實的安全底座，讓更多的用戶享受到產(chǎn)業(yè)互聯(lián)網(wǎng)時代數(shù)字化升級帶來的便利，讓安全不再成為數(shù)字化經(jīng)濟發(fā)展的掣肘。

謝謝大家!

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）