【51CTO.com原創(chuàng)稿件】近幾年，越來越多的企業(yè)選擇能夠讓自身業(yè)務(wù)更加聚焦的專有云。伴隨專有云所承載的業(yè)務(wù)量及系統(tǒng)重要性的不斷提升，專有云的安全防護(hù)也成為企業(yè)機(jī)構(gòu)重點(diǎn)關(guān)注方向。那么，相較于公有云，專有云/私有云場景下安全管理有何特殊之處?難點(diǎn)在哪?企業(yè)應(yīng)該如何做好專有云安全防護(hù)?可以采用哪些措施來提升專有云的這種安全管理運(yùn)營能力……

近日，51CTO記者采訪了騰訊安全運(yùn)營中心SOC產(chǎn)品負(fù)責(zé)人洪春華。針對企業(yè)專有云安全管理問題，記者連發(fā)十問，看專家如何接招。

[[322555]]

騰訊安全運(yùn)營中心SOC產(chǎn)品負(fù)責(zé)人洪春華

Q1：您好！請問相較于公有云，專有云/私有云場景下安全管理有何特殊之處?難點(diǎn)在哪?

洪春華：云與業(yè)務(wù)相輔相成，業(yè)務(wù)依靠云平臺快速發(fā)展，同時(shí)也推動(dòng)云平臺建設(shè)。很多機(jī)構(gòu)或行業(yè)根據(jù)自身業(yè)務(wù)特點(diǎn)，需要選擇專有云平臺。其實(shí)專有云平臺對他們來說，相當(dāng)于是一個(gè)公有云平臺，以公有云的方式向子公司提供云服務(wù)。類比騰訊的公有云，我們需要做哪些安全的管理?首先是云平臺管理，騰訊安全中的云鼎實(shí)驗(yàn)室就是專門來負(fù)責(zé)云平臺安全的，面對的是云租戶，作為云平臺提供方，騰訊云有責(zé)任提供安全的產(chǎn)品和工具給租戶使用。這里的挑戰(zhàn)在于，采用專有云的企業(yè)，是否有足夠的安全團(tuán)隊(duì)去同時(shí)覆蓋云平臺和云租戶的安全。

其次，在公有云上，基于騰訊云責(zé)任共擔(dān)模型，騰訊提供產(chǎn)品和工具給租戶，租戶也有責(zé)任和義務(wù)一起實(shí)現(xiàn)安全運(yùn)營。而此時(shí)就出現(xiàn)了另一個(gè)挑戰(zhàn)點(diǎn)，采用專有云的企業(yè)是否能夠與租戶或著旗下子公司有這樣一個(gè)責(zé)任共擔(dān)模型，大家的權(quán)責(zé)是否統(tǒng)一。

綜上所述，主要有兩大挑戰(zhàn)：一是，基于云平臺側(cè)整體，是否有能力實(shí)現(xiàn)整體安全運(yùn)營。二是，你與你的租戶/子公司，是否有權(quán)責(zé)分明的租戶模式，落地了責(zé)任共擔(dān)模式。

Q2：針對專有云安全的特殊性和防護(hù)難點(diǎn)，企業(yè)一般會如何應(yīng)對，存在哪些問題，應(yīng)該如何改進(jìn)?

洪春華:多數(shù)企業(yè)在上云或者構(gòu)建專有云過程中，選擇防火墻、IDS、IPS等傳統(tǒng)安全設(shè)備，甚至硬件化的方式部署在云中。這種方式與云的自身特性不是十分契合的，因此我們建議：一定是要用云的方式來保護(hù)云!

可采用安全運(yùn)營平臺形式統(tǒng)一管理，在保證彈性的同時(shí)實(shí)現(xiàn)安全。比如騰訊安全運(yùn)營中心將端、管、云三點(diǎn)結(jié)合，形成一個(gè)較為完善的云平臺解決方案。在租戶安全的防護(hù)上，讓租戶或者是個(gè)子公司的業(yè)務(wù)方，一定要參與到云的整個(gè)運(yùn)營管理過程當(dāng)中。在騰訊安全運(yùn)營中心(專有云SOC)中內(nèi)置了多租戶運(yùn)營模式，每個(gè)租戶只能看到和運(yùn)營自己的數(shù)據(jù)。一方面實(shí)現(xiàn)了安全責(zé)任共擔(dān)，另一方面也方便安全人員清晰了解每個(gè)租戶的安全情況，了解對哪些租戶投入的時(shí)間較多，同時(shí)也能得出在安全運(yùn)營上的人效比。

Q3：目前選擇專有云的企業(yè)主要來自于哪些行業(yè)?這些不同行業(yè)的企業(yè)，在專有云的安全防護(hù)上是否應(yīng)有所不同?

洪春華：一般選擇構(gòu)建專有云的企業(yè)對安全性要求較高，也為了滿足國家政策法規(guī)的要求。所以目前選擇專有云的企業(yè)主要來自于政務(wù)行業(yè)、金融行業(yè)、傳媒行業(yè)。以政務(wù)行業(yè)為例，其業(yè)務(wù)數(shù)據(jù)敏感度較高，采用專有云模式更安全。再比如傳媒行業(yè)，由于其業(yè)務(wù)特點(diǎn)通常會涉及三種云，該行業(yè)需要在安全的環(huán)境下，實(shí)現(xiàn)對視頻的錄制、編輯以及存儲。同時(shí)，為了保證視頻能夠安全地對外開放給用戶觀看，就選擇了采用專有云形式對外提供服務(wù)。最終，傳媒的內(nèi)容要分發(fā)出去，就可能會采用公有云上的CDN模式，從而形成了一個(gè)非常復(fù)雜的混合云態(tài)勢感知的場景。

Q4：作為企業(yè)安全管理人員，他們可以采用哪些措施來提升專有云的這種安全管理運(yùn)營能力，能否從您的角度給他們一些安全建議?

洪春華：安全運(yùn)營一定是體系化的，不僅僅包括產(chǎn)品、技術(shù)，還包括人員、流程等。首先，企業(yè)必須組建專業(yè)專職的運(yùn)營團(tuán)隊(duì)。其次，規(guī)范流程。例如：與租戶間的責(zé)任共擔(dān)流程，事件處理流程等。第三，選用較好的安全運(yùn)營產(chǎn)品，比如通過騰訊安全運(yùn)營中心實(shí)現(xiàn)統(tǒng)一的安全運(yùn)營。通過以上三點(diǎn)，即可解決大多數(shù)安全問題。

另外，從技術(shù)角度來說，采用“端、管、云”模式，在主機(jī)端，采用EDR模式對主機(jī)端進(jìn)行檢測與響應(yīng);在管道上，基于傳統(tǒng)的規(guī)則和行為分析進(jìn)行全流量檢測;在云端，構(gòu)建統(tǒng)一協(xié)調(diào)的安全運(yùn)營中心，實(shí)現(xiàn)云租戶和云平臺雙重保障。

Q5：上面也談到了技術(shù)層面的問題，當(dāng)前AI發(fā)展的勢頭正猛，所以想請您聊一下，現(xiàn)階段在云安全的領(lǐng)域中有哪些已經(jīng)落地的AI應(yīng)用實(shí)例?未來對專有云的安全運(yùn)營工作會帶來哪些影響?

洪春華：其實(shí)，大家都十分看好AI，并做了很多嘗試。AI在安全運(yùn)營中的應(yīng)用主要有兩方面：

一方面，用于流量檢測。通過AI檢測發(fā)現(xiàn)未知的東西。我們知道，很多產(chǎn)品都是基于規(guī)則發(fā)現(xiàn)已知威脅，那么對于未知威脅，可以利用AI去檢測發(fā)現(xiàn)，找出潛在高級威脅。

另一方面，用于安全事件分析。面對檢測產(chǎn)生的大量告警，可通過AI進(jìn)行安全事件分析。在這里騰訊采用了“點(diǎn)、線、面”的方式，所謂點(diǎn)，就是根據(jù)點(diǎn)對點(diǎn)見得關(guān)聯(lián)關(guān)系，做關(guān)聯(lián)規(guī)則的運(yùn)營。所謂線，就是將某一臺主機(jī)或者某一個(gè)資產(chǎn)上發(fā)生的安全事件連成線，得到一個(gè)時(shí)序圖，采用機(jī)器學(xué)習(xí)的一些算法找出表現(xiàn)異常的那些點(diǎn)，得到最終的異常情況。所謂面，因?yàn)楣敉际菣M向的，將安全事件用知識圖譜的方式表示出來，能夠很清晰的看到假如設(shè)備A被攻陷后，黑客是否又橫向攻擊了B甚至是C設(shè)備。如果BC設(shè)備被攻陷，是否又對其他設(shè)備進(jìn)行了橫向滲透?這樣整個(gè)鏈條就會非常清晰。最終，通過將“點(diǎn)、線、面”關(guān)聯(lián)，給這臺A設(shè)備打異常分。

總之，在安全運(yùn)營中應(yīng)用AI后，檢測覆蓋面更廣，分析效率更高，為安全運(yùn)營人員的工作效率帶來了很大程度上的提升。此外，通過對安全運(yùn)營專家在日常工作中的記錄，采用AI技術(shù)的騰訊安全運(yùn)營平臺可自動(dòng)學(xué)習(xí)，在處理已經(jīng)出現(xiàn)過的類似安全事件的時(shí)候，可以給出相應(yīng)的安全建議。相當(dāng)于降低了安全人員的操作門檻，讓高級安全運(yùn)營人員的經(jīng)驗(yàn)得以積累、傳承、優(yōu)化和迭代，甚至平臺可以新入職的安全人員在遇到某個(gè)問題時(shí)該如何處理。

Q6：專有云環(huán)境下安全威脅多樣，購買多種安全產(chǎn)品是否就可以完全防范外部攻擊?另外，在重保時(shí)期，企業(yè)應(yīng)如何有效協(xié)調(diào)這些安全產(chǎn)品，應(yīng)對大流量下的集中攻擊?

洪春華：企業(yè)購買多種安全產(chǎn)品是非常常見的現(xiàn)象，雖然看似多種多樣的產(chǎn)品做到全方位的保障，實(shí)際并非如此。部署多種多樣的安全產(chǎn)品后，隨之而來的就是多樣化的大量告警，給安全運(yùn)營人員的分析帶來了巨大挑戰(zhàn)，畢竟人的精力和時(shí)間是有限的。往往，有效的攻擊會被淹沒在海量的告警中。此時(shí)，告警的處理，對檢測效率和響應(yīng)效率要求很高，所以我們推薦使用高效統(tǒng)一的安全運(yùn)營平臺來協(xié)調(diào)，由其充當(dāng)“大腦”的作用，協(xié)調(diào)各個(gè)產(chǎn)品間的聯(lián)動(dòng)與響應(yīng)，對所有告警進(jìn)行高效分析，找到可疑攻擊，評出威脅等級，給出響應(yīng)措施，最終形成統(tǒng)一的、規(guī)范的指揮作戰(zhàn)系統(tǒng)。

Q7：還有一種情況，有些企業(yè)購買了各個(gè)供應(yīng)商的云環(huán)境來構(gòu)建多云環(huán)境，在這種情況下如何做好多云環(huán)境的安全運(yùn)維工作?不同供應(yīng)商的云環(huán)境能否有效打通并進(jìn)行統(tǒng)一管理?

洪春華：前面我提到了傳媒行業(yè)的多云，這里我們還是以傳媒行業(yè)為例。比如，某媒體的內(nèi)容分發(fā)放在騰訊公有云上，內(nèi)容的生產(chǎn)放在自家私有云上，一些業(yè)務(wù)邏輯服務(wù)放到專有云平臺，那么這就是一個(gè)典型的混合云模式。這種情況下，就要將三朵云拉通做統(tǒng)一運(yùn)營。利用騰訊的公有云安全運(yùn)營中心，實(shí)現(xiàn)公有云上數(shù)據(jù)的采集和資產(chǎn)匯聚，然后將信息匯集到專有云。再講私有云的數(shù)據(jù)統(tǒng)一匯聚，統(tǒng)一管理。此時(shí)，運(yùn)營人員即可在這樣一個(gè)一站式的平臺上高效工作，實(shí)現(xiàn)多云環(huán)境跨平臺的安全防護(hù)。

但是當(dāng)機(jī)構(gòu)采用了多個(gè)云品牌時(shí)，安全防御又面臨更大的挑戰(zhàn)。比如，騰訊云提供了安全運(yùn)營中心(專有云SOC)，能夠自動(dòng)盤點(diǎn)CDM、CLB(負(fù)載均衡Cloud Load Balancer)、數(shù)據(jù)庫等所有資產(chǎn)。那么在支持其他云平臺時(shí)，則需要與供應(yīng)商協(xié)同，而多供應(yīng)商之間的協(xié)同也是頗具挑戰(zhàn)性的工作。

Q8：在全國連鎖的大型企業(yè)中，各個(gè)分公司可能會根據(jù)自身和當(dāng)?shù)氐膶?shí)際情況來設(shè)置不同的云環(huán)境。針對這種情況，總部要如何打通區(qū)隔，在安全層面上進(jìn)行統(tǒng)一管理?

洪春華：其實(shí)，這是一個(gè)大型企業(yè)必然會遇到的問題。要想實(shí)現(xiàn)安全上的統(tǒng)一管理，建議采用多級架構(gòu)。為什么?對于分公司和總部來說，他們想要看到的內(nèi)容是不同的。分部想要看到整體的安全情況，每個(gè)細(xì)節(jié)的安全運(yùn)營情況。而總部可能只是履行監(jiān)管類職責(zé)，希望看到的是分部的大概情況，并不承擔(dān)整體的安全運(yùn)營狀態(tài)。因此，分部只需將最終的一些安全狀態(tài)同步上報(bào)總部即可，通過安全管理平臺，總部就能掌握每個(gè)分部的安全情況。當(dāng)發(fā)現(xiàn)問題時(shí)，總部可以采用簡單的工單模式，下發(fā)到分公司中，以便IT團(tuán)隊(duì)響應(yīng)。

此外，也可采用總部統(tǒng)管模式，分部的模式是采用分級架構(gòu)，將安全信息全量同步至總部，由總部安全運(yùn)營人員掌控整體安全情況，將得到的結(jié)論反饋給分公司安全運(yùn)維人員落地執(zhí)行，從而實(shí)現(xiàn)統(tǒng)一管理。

Q9：智慧城市建設(shè)中，安全也是重要的一部分，針對整個(gè)城市范圍內(nèi)多個(gè)部門、機(jī)構(gòu)的復(fù)雜狀況，比單個(gè)企業(yè)復(fù)雜太多，目前城市安全管理一般如何開展，后續(xù)如何優(yōu)化?

洪春華：Wecity智慧城市是騰訊云的重要業(yè)務(wù)之一，在智慧城市的建設(shè)過程中，關(guān)于政務(wù)云的建設(shè)必不可少，因?yàn)楦鞣N涉及民生的智慧業(yè)務(wù)需要基于政務(wù)云落地實(shí)現(xiàn)。城市安全運(yùn)營中心需要從兩個(gè)層面考慮：

一是，針對政務(wù)云自身的安全，及該云平臺上的業(yè)務(wù)安全。騰訊Wecity包括應(yīng)用中臺、數(shù)據(jù)中臺和AI中臺，在上層中臺層面還有安全中臺，安全中臺是騰訊安全運(yùn)營中心的一個(gè)整體集合，也就是基于政務(wù)云本身的安全運(yùn)營。城市安全運(yùn)營涉及云平臺和安全中臺的能力。二是，滿足政府的各個(gè)委辦局的獨(dú)特需求。比如衛(wèi)健委需要對下屬醫(yī)院進(jìn)行監(jiān)管，履行安全保障的職責(zé)，需要做統(tǒng)一的安全運(yùn)營管理。舉一個(gè)新冠疫情期間的案例，此次疫情催生了很多疫情小程序，比如：健康碼業(yè)務(wù)就部署在專有云平臺，也有可能是部署在騰訊云上。這些云平臺都是用騰訊安全運(yùn)營中心的能力實(shí)現(xiàn)的安全運(yùn)營。

Q10：最后，我想問下關(guān)于等保的問題。等保2.0的全面實(shí)施后，上云企業(yè)的合規(guī)需求更加強(qiáng)烈。那么，等保2.0對專有云安全管理如何規(guī)定，要達(dá)到合規(guī)企業(yè)要怎么做?

洪春華：我們知道，安全運(yùn)營中心是等保的必須品。等保2.0提出了“一個(gè)中心，三重防護(hù)”，其中“一個(gè)中心”指的便是安全管理中心，即針對安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全的安全合規(guī)進(jìn)行方案設(shè)計(jì)，建立以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障體系。

在此背景下，騰訊安全運(yùn)營中心(專有云SOC)貼合等保相關(guān)要求，并輔助企業(yè)制定等保方案，首先是通過安全運(yùn)營中心解決這樣一個(gè)安全管理，一個(gè)中心有與無的問題。第二，我們在這個(gè)產(chǎn)品里面其實(shí)內(nèi)置了很多關(guān)于等保的持續(xù)性評估的一個(gè)手段建議的方法，這樣客戶就能夠依托于我們這個(gè)產(chǎn)品去滿足自身的查缺補(bǔ)漏。

目前騰訊安全運(yùn)營中心(專有云SOC)已在國家人社部、醫(yī)保局等專有云建設(shè)項(xiàng)目中落地應(yīng)用，通過對安全事件、漏洞、資產(chǎn)等安全要素的全方位運(yùn)營，在政府、金融、能源、醫(yī)療等多個(gè)行業(yè)助力政企客戶滿足等保合規(guī)中對安全管理中心的相關(guān)要求。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】