本文是WOT2016互聯(lián)網(wǎng)運維與開發(fā)者大會的現(xiàn)場干貨，新一屆主題為WOT2016企業(yè)安全技術(shù)峰會將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開！

云時代的有哪些新挑戰(zhàn)?有哪些老問題?企業(yè)對云安全的真實需求是什么?針對這些問題，在WOT2016互聯(lián)網(wǎng)運維與開發(fā)者大會的運維安全專場中，青藤云安全創(chuàng)始人張福在主題為《面向未來的自適應(yīng)安全架構(gòu)》的精彩演講進行了詮釋，并展示了青藤的解決方案——自適應(yīng)安全架構(gòu)。他表示：“就像云遷移是一個遞進構(gòu)成，云安全落地最需要的是自適應(yīng)。”

【嘉賓簡介】

[[167572]]

張福，青藤創(chuàng)始人，自初中起張福就是安全攻防技術(shù)的愛好者、研究者，大學畢業(yè)后歷任盛大技術(shù)總監(jiān)，MochiMedia中國CTO、昆侖萬維游戲和移動互聯(lián)網(wǎng)事業(yè)部技術(shù)負責人，長期結(jié)合互聯(lián)網(wǎng)業(yè)務(wù)和產(chǎn)品，對企業(yè)安全需求有深入的理解和實踐。

多年來，張福一直在企業(yè)內(nèi)部做安全相關(guān)工作，創(chuàng)業(yè)后通過與多位企業(yè)運維負責人的溝通，大家都認為企業(yè)的安全很難做。因為現(xiàn)在在企業(yè)內(nèi)部沒有自己的安全架構(gòu)，而且資源和安全人員也很匱乏。在企業(yè)內(nèi)部做安全，缺乏人才，整個IT技術(shù)設(shè)施的架構(gòu)管理不是很好。

云計算時代的新挑戰(zhàn)

云計算時代的新挑戰(zhàn)是什么呢?張福表示，主要有兩大挑戰(zhàn)：

第一，IT環(huán)境動態(tài)變化帶來的挑戰(zhàn)。隨著云計算的興起普及，網(wǎng)絡(luò)邊界越來越模糊，業(yè)務(wù)變得越來越動態(tài)。比如：以前部署幾千臺機器上的應(yīng)用，可能需要規(guī)劃很久，然后逐步去部署。但是現(xiàn)在云計算時代，部署非常的快，在短時間內(nèi)即可把整個都換一遍。這種高動態(tài)性，以及越來越復(fù)雜的軟件架構(gòu)，使得安全變得越來越難做。

第二，對于行業(yè)來說，黑客攻擊日益隱蔽、專業(yè)。黑客攻擊越來越活躍，黑客攻擊越來越偏向商業(yè)化。早期的黑客可能僅僅是炫耀自己的技能，而現(xiàn)在的很多黑客要的是實際的經(jīng)濟利益。而且，黑客賺的錢遠比一個安全從業(yè)者賺的要多。在黑客的世界里，黑客既能夠賺錢，有很拽，而安全從業(yè)者又苦逼，又不被重視，賺錢還少。這就導(dǎo)致了一家企業(yè)的安全難以做好，無論這家企業(yè)是大公司還是小公司。即使公司非常有錢，在安全上投入很大，但是也未必能夠把安全做好，因為最大的問題在于人員的匱乏，而且缺乏一種好的理念和技術(shù)做事情。

企業(yè)對云安全的真實需求是什么?

通過對多個企業(yè)的調(diào)研，張福發(fā)現(xiàn)談到對安全的想法，企業(yè)搞不清楚是老問題還是新問題，企業(yè)的想法很簡單，就是需要一種方法，能夠把新老問題都解決，徹底解決企業(yè)的需求。也就是，企業(yè)需要跨越式一舉解決新老問題，既立足于解決當前需求，又能提供適應(yīng)業(yè)務(wù)變化，面向未來，可擴展升級。

云安全落地最需要的是自適應(yīng)

索尼《刺殺金正恩》等安全事件的發(fā)生，以及軍工、金融企業(yè)遭遇到非常嚴重的定向攻擊，給這些企業(yè)帶來了很大損失。因此，整個行業(yè)開始反思，安全究竟哪里做的不好?其實并不是安全的產(chǎn)品做的不好，而是整個安全的體系在過去是有缺陷的。為什么這么說呢?是因為過去的安全，過于強調(diào)于防御。企業(yè)以為購買了防火墻等安全設(shè)備，就可以防住一切攻擊。而安全廠商僅僅是滿足客戶的需求?，F(xiàn)在企業(yè)終于意識到將去太多的投入或太多的期望都放在防御上，是錯誤的。因為對于黑客來講，你的防御措施只能擋住一部分已知的攻擊，有大量的攻擊或者新的方法是你現(xiàn)有的防御體系擋不住的。所以如果假設(shè)一家企業(yè)不能擋住所有的攻擊，那他應(yīng)該怎么辦呢?假設(shè)黑客如果成功攻擊了一家企業(yè)，你能在第一時間發(fā)現(xiàn)并且采取快速的有效的處理，其實他也不會遭遇很大的損失。盡管防不住，但是能夠第一時間發(fā)現(xiàn)，其實損失還是能夠控制在很小的范圍內(nèi)的。所以這就是自適應(yīng)安全的第二個象限，叫監(jiān)測。因為監(jiān)測的能力，使得我防不住，但是我能夠即使處理。所以在近幾年，就是美國或者全球的安全市場上，監(jiān)測能力是被大家尤其強調(diào)的。做好防御和監(jiān)測體系是不是就沒問題了呢?其實也不是不能的。其實我們可以想像一下，比如說公司里管理的服務(wù)器，有一臺突然產(chǎn)生了報警，他告訴你監(jiān)測到了黑客活動的跡象，接下來你會怎么辦?你肯定心里很緊張，但是有三個東西你一定會想了解。第一個問題，企業(yè)的防御很強，監(jiān)測也到位，黑客是怎么進來的呢?因為他穿透了你的防御體系，而你的監(jiān)測只能知道他存在，但是你不知道他是怎么存在的。第二個問題，黑客在個業(yè)務(wù)系統(tǒng)范圍里到底干了些什么，這也是不知道的。第三個，除了已發(fā)現(xiàn)的，他究竟還潛伏在了哪些地方。這三個問題回答不了其實對于一家企業(yè)來講是致命的。

所以對于一家大企業(yè)來講，他一定想把這個東西搞清楚。所以整個大數(shù)據(jù)，在安全領(lǐng)域的應(yīng)用，主要是集中在這個方向。這就需要自適應(yīng)安全的最重要的能力，就是做回溯分析。通過回溯分析了解黑客是怎么進來的，做了什么，干了什么，將整個場景還原，然后反過來加強企業(yè)的防御和監(jiān)測體系。所以這樣就使得安全成了一個閉環(huán)，它不再是一個孤立的東西，而是一個可以持續(xù)改進的東西。

假設(shè)青藤盡可能去建立防御體系，發(fā)現(xiàn)被穿透的后立刻做分析，從而再改進企業(yè)的防御和監(jiān)測體系。當這個閉環(huán)形成后，一家企業(yè)安全的系統(tǒng)，它就不是一個死的東西了，而是一個有生命力、有活力的東西，它會一直跟隨你的變化而不停的演進。那這個系統(tǒng)的核心是什么?是人，正是由于人的持續(xù)對業(yè)務(wù)的監(jiān)控和分析，使得這個體系是活躍的。所以在未來，大家看安全的時候，一定會發(fā)現(xiàn)人在安全里面是不可替代的，在最新的安全體系里面，人的作用是更加重要的。所以以人為核心的持續(xù)監(jiān)控和分析，來驅(qū)動這套體系，就形成了自適應(yīng)安全。

然而在一家企業(yè)內(nèi)部，這樣的一個循環(huán)迭代，這種改進是很慢的。因為第一，你必須得發(fā)現(xiàn)你防不住的攻擊才能去改進它，但是如果這種攻擊本身就是發(fā)現(xiàn)不了的，那你也沒有辦法去改進。所以就有了第四象限，就叫威脅聯(lián)動?，F(xiàn)在講的比較活的威脅情報，其實是放在第四象限的。為什么會有這個東西呢?就是假設(shè)如果能夠把千千萬萬的企業(yè)聯(lián)結(jié)在一起，一家企業(yè)產(chǎn)生的問題能夠進行有效的分析之后，然后同步給其他企業(yè)，那我作為其他企業(yè)來講，并沒有被黑客攻擊，但是我能夠知道這種黑客攻擊的方法，在我的業(yè)務(wù)系統(tǒng)里面，是不是能夠繞開我的防御系統(tǒng)，是不是能夠逃避我的監(jiān)測能力?所以我就能夠有針對性的在我自己體系內(nèi)去修改，去加強我的防御和監(jiān)測。所以使得這個圈就不再是每家公司孤立的轉(zhuǎn)，而是整個行業(yè)的公司，有一家在轉(zhuǎn)這一個圈的時候，其他的企業(yè)也跟著轉(zhuǎn)一圈，這樣對于每家企業(yè)來講安全體系的進化就會變得非常快速，而且能夠很好的跟進最新的情況。所以這個就是第四象限，那防御、監(jiān)測、回溯、分析和威脅聯(lián)動，就構(gòu)成了自適應(yīng)的安全體系，它的核心就是人的持續(xù)監(jiān)控和分析。

自2014年6月Gartner提出這個體系后，整個安全行業(yè)特別是美國的和以色列的，都在往這個體系上走。如果大家會硅谷看一下的話，就會發(fā)現(xiàn)各個公司都在做自適應(yīng)安全。在未來越來越動態(tài)和復(fù)雜的環(huán)境下，如何把安全做好，如何抵御哪怕是最專業(yè)的黑客的攻擊，設(shè)計這個自適應(yīng)的安全體系就是為了解決這個問題。

自適應(yīng)安全體系

因為自適應(yīng)安全的體系，在國外是由眾多硬件構(gòu)成的，但是由硬件構(gòu)成的體系有一個問題。第一，各個廠商的設(shè)備之間沒法很好的做溝通協(xié)作。第二，它的成本也會非常的高。第三，即便你有很多產(chǎn)品來構(gòu)成這個體系，但其實還是需要去做一個管理系統(tǒng)的，就是把這些零散的產(chǎn)品能夠整合在一起，變成一個統(tǒng)一的、完整的東西，所以在國外雖然自適應(yīng)安全提出來之后，大家都看到是一個未來的方向，但是事實上他的落地是非常慢的，可能就是真的需要比如說五年到十年的時間，才能慢慢落地，但是在中國情況不一樣。因為中國的安全廠商數(shù)量其實也比較少，細分也沒那么高，相比美國來講，中國安全的行業(yè)，還是一個比較狹窄，并且就是比較傳統(tǒng)和保守的行業(yè)。

所以，構(gòu)建這個體系時青藤云安全選擇從底層做起，先做了一個最基本的架構(gòu)，這個架構(gòu)是一個軟件的架構(gòu)，它是由三種Agent加sever構(gòu)成的。這三種Agent，第一種是需要裝在每臺服務(wù)器上的。它可以裝在虛擬機里面，也可以裝在物理機，可以裝在阿里云上，也可以裝在UCloud和AWS上，所以它是跟基礎(chǔ)架構(gòu)無關(guān)的。第二種Agent，能夠把任意一臺虛擬機或者物理機變成一個流量分析的設(shè)備，只要你把流量丟給它，它就能夠從流量中分析出東西來。那這兩個東西最大的特點是什么呢?就是它是相互聯(lián)動和配合的，它是一個整體，而不是零散的東西，而且它們干的事情跟傳統(tǒng)的安全IPS、IDS、防火墻都是截然不同的。第三個Agent是一個分布式的外部系統(tǒng)。它能夠站在外部來看待問題，所以這三種Agent其實代表了看待問題的三個角度，第一個角度就是一家企業(yè)內(nèi)部的角度，因為在每臺機器上都有Agent，所以它能夠像人一樣的站在內(nèi)部來看待問題。第二個角度就是站在網(wǎng)絡(luò)和邊界的角度，也就是站在業(yè)務(wù)內(nèi)部和業(yè)務(wù)外部的邊界處，來感知你很多的信息。第三個角度，就是站在一個獨立第三方的角度，就是作為一個獨立第三方，我是怎么來看待這些資產(chǎn)和問題的?所以這三種角度，就帶來了一個非常完整的視角。

演講視頻：http://edu.51cto.com/lesson/id-100718.html