云計算的出現(xiàn)徹底改變了傳統(tǒng)企業(yè)IT結構和整個IT產(chǎn)業(yè)，伴生在其上的云安全也面臨著非常多的新問題，需要用新的安全管理思路和技術手段來應對。但從現(xiàn)實情況來看，大部分企業(yè)的理念和技術方法還停留在傳統(tǒng)IT時代，很多企業(yè)只是把云當成更大的服務器集群來用，并沒有認識到云所帶來的從底層技術上的本質性變革。理念的差異最直接的后果就是安全管理水平的滯后，會產(chǎn)生非常多的安全問題。

本文中，我們將根據(jù)自身云平臺安全建設以及云租戶安全運營實踐出發(fā)，圍繞云計算給IT產(chǎn)業(yè)帶來了什么變化、企業(yè)在安全建設上的新挑戰(zhàn)，以及我們有哪些應對之道和術，闡述相應觀察。 

一、云計算到底給IT產(chǎn)業(yè)帶來了哪些本質的變化，相應的安全變化是什么？

1.安全管理模型的變化。傳統(tǒng)安全領域里，IT資產(chǎn)的所有權和設備的控制權基本是一致的，誰使用誰購買誰擁有誰管理，比如原來一個企業(yè)一年有1億的IT預算，包含有40多個系統(tǒng)，其中有歸屬于財務部門的ERP，有歸屬于人力資源部門的HRM等等，這些權責分明的子系統(tǒng)共同構建形成企業(yè)內部的大的IT網(wǎng)絡，它的成本模型和組織歸屬是一致的，哪個部門采用了什么軟件系統(tǒng)、用什么解決方案、有哪些網(wǎng)絡支撐這些系統(tǒng)、部署在什么位置，所有權和使用權都有明確的歸屬，物理邊界非常清晰，這個時候大家很容易去做安全的解決方案。但是在云計算里面資產(chǎn)大部分時候是“租用”，資產(chǎn)的所有權、控制權以及企業(yè)在選擇服務和產(chǎn)品和技術模型上面產(chǎn)生了巨大的變化。這雖然不是安全本身的問題，但對安全系數(shù)的選擇以及安全的發(fā)展產(chǎn)生了巨大的影響，這是今天在云時代做安全建設面臨的最大的問題。

2.計算內容和技術的變化。一方面是算力的變化，一方面是數(shù)據(jù)量的變化，這兩個問題導致傳統(tǒng)的安全機制在云上不適用。算力方面以最簡單的安全技術——數(shù)據(jù)加密技術，20年前一臺標準的服務器上面破解MD5的次數(shù)基本是每秒幾千次到萬次左右，所以MD5在20年前算是比較安全的算法，但是今天一臺普通的臺式機通過GPU加速的技術破解MD5的加密速度已經(jīng)達到每秒鐘55億次以上，算力上面比過去已經(jīng)提高了上千萬倍都不止，導致傳統(tǒng)看似安全的機制由于算力的大幅提升而失效。另外一方面是數(shù)據(jù)量的增大，每年的數(shù)據(jù)量都以倍數(shù)甚至十倍數(shù)的數(shù)量在增長，對安全機制會產(chǎn)生影響，仍然以安全加密技術為例，加密技術如果是一個小數(shù)量，加密的時間、成本和性能的影響可以忽略不計，如果到T級、P級，加密時長要達到幾分鐘甚至幾個小時甚至幾天的時候，在實際的業(yè)務運行環(huán)境中是完全不能接受的。

3.基礎設施和應用架構的變化。云時代導入了非常多的新技術，比如扁平化的架構、虛擬化技術的應用，以及普遍存在的分布式機構、異構計算、服務的抽象化等等，這些技術都會導致我們在進行安全分析時，不管是在攻擊面還是攻擊路徑的分析上都會呈現(xiàn)更復雜的狀態(tài)。 傳統(tǒng)的IT建設周期很長，可能是以半年甚至年為單位，服務器采購硬件背后到貨的時間是1-3個月，軟件系統(tǒng)建設周期基本上是半年到幾年時間，系統(tǒng)的整個生命周期是幾年到幾十年的時間。面對5-10年長周期的系統(tǒng)，我們的安全建設可能是按一年的周期來做一次整體的風險評估，評估整個IT系統(tǒng)的風險，然后按月為單位做漏洞掃描，以月或者季度為單位進行系統(tǒng)的補丁管理——有相應非常嚴格的流程，可以按部就班進行滾動周期的管理。 

但是在今天的計算環(huán)境里面，我們面臨的是一個非常高速、持續(xù)變化的環(huán)境。舉個例子，Serverless技術的應用帶來的結果是，今天在云上面基本上拉起一個Servesless應用的時間是3毫秒，而一個Serverless實例最短生命周期是100毫秒，如果是一個運行這樣的函數(shù)的實例存在漏洞，被攻陷、被入侵，那整個攻擊事件的生命周期是百毫秒的級別，在云上有大量應用這樣的技術，每秒都有大量的實例被拉起、迅速消亡，可能惡意代碼攻擊就在其中流轉消除；如果沒有新的技術進行監(jiān)控和防范，可以說傳統(tǒng)的靜態(tài)的或者長周期的機制是完全失效的，所以今天我們面臨的是動態(tài)迅速變化的生命周期模型，面臨著持續(xù)性對抗的環(huán)境。 

二、外部環(huán)境變化給企業(yè)安全建設帶來的新挑戰(zhàn)

 全球各地網(wǎng)絡安全相關的法律法規(guī)的標準也逐漸趨嚴，以GDPR的發(fā)布為標志性事件，之后的幾年間國際國內陸續(xù)出臺了很多重磅的網(wǎng)絡安全相關的法律，國內的《數(shù)據(jù)安全法》、《個人信息保護法》、《關鍵基礎設施保護條例》都是在2021年出臺的。近年來的各種法律，對于網(wǎng)絡安全責任主體的界定已經(jīng)很明晰，《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》明確規(guī)定企業(yè)需要承擔網(wǎng)絡安全的主體責任。 

這個是法律層面的挑戰(zhàn)，就技術層面本身，云計算導入的新技術給帶來了新的生產(chǎn)力，不少傳統(tǒng)企業(yè)在云計算時代也實現(xiàn)了快速的發(fā)展。但技術進步這枚“硬幣”的另一面是新的挑戰(zhàn)，從我們安全從業(yè)者視角，云是一個“大蜜罐”，海量的數(shù)據(jù)和業(yè)務在云上，必然招攬一些黑產(chǎn)和攻擊者。 

過去幾年可以看到幾個安全威脅的大趨勢。首先在威脅主體上，專業(yè)化、APT的組織越來越多，2020年美國的一份報告顯示，現(xiàn)在全球范圍內具備國家級別攻擊力量的黑客組織大概有40多個，往下還有無政府主義黑客、商業(yè)間諜、有組織犯罪，在國內，黑灰產(chǎn)是整個商業(yè)攻擊事件的主流。這些威脅主體有更高深的技術以及武器和組織能力；在受攻擊目標上面，各個層次分布得更廣泛，國家的關鍵基礎設施、企業(yè)的商業(yè)數(shù)據(jù)、個人的敏感信息等等，都成為了攻擊的標的。數(shù)實融合潮流勢不可擋，借助數(shù)字化獲得更好的發(fā)展已經(jīng)企業(yè)發(fā)展必由之路，但前提是必須要做好安全體系，其數(shù)字化發(fā)展才穩(wěn)定、可預期。 

我們在云平臺建設和幫客戶建設云安全的過程中，都發(fā)現(xiàn)這個行業(yè)面臨非常大的缺口：資源的缺口、人力的缺口——人力的缺口既體現(xiàn)在絕對人數(shù)的缺口，也表現(xiàn)在缺乏有足夠專業(yè)技術的專家。在近幾年，我國各個領域建立起了數(shù)千朵各種規(guī)模的云，每一朵云常規(guī)的安全運營——比如常規(guī)的風險評估、漏洞掃描、日常監(jiān)控等等——需要的有攻防實戰(zhàn)經(jīng)驗的專業(yè)人力是30人左右，僅在云安全運營領域，這已經(jīng)遠遠超出了目前云安全行業(yè)的服務供給能力。 

三、當前網(wǎng)絡安全產(chǎn)業(yè)供需不對等，需要如何解決？

 面臨云安全領域的若干制約，產(chǎn)品的制約、技術的制約、人力缺口的制約、思路和架構上的制約，怎么解決這個問題？我們認為，在今天的時代，安全一定要有“戰(zhàn)爭思維”，戰(zhàn)爭是動態(tài)變化的，戰(zhàn)爭一定會有損失、一定會有取舍，“萬無一失”是不現(xiàn)實的，所以今天我們的安全思路應該是用比較合理的投入取得最大化的效果，把整個水位線提升到一定高度。

 戰(zhàn)爭思維下的安全管理的基本原則是兩個：

一，要解決的是普遍性問題，不能讓低級漏洞影響安全性，造成企業(yè)的損失；

二，不出重大安全事故，保證安全在一個足夠的水平線上。要完成這兩個原則，全靠人驅動是不現(xiàn)實的，首先是沒有足夠多的人力、沒有足夠多的專業(yè)人士，其次，人都是會懈怠、會疏忽的。 

基于上述理解，以及過去幾年騰訊在云平臺上的實踐經(jīng)驗和儲備，今天我們推出了新的理念：基于云原生的安全托管服務。過去的幾年運營中我們積累了大量的云原生系統(tǒng)自動化工具，保證逐個解決微小的問題，最終把絕大多數(shù)的風險面通過這樣的工具消除，最終通過數(shù)據(jù)驅動、危險情報的共享、自動化的工作引擎，形成云平臺安全服務的核心引擎，所以最終在安全服務上面我們劃分為三個等級：

 第一、低級事件的對抗和消減，今天在云上每天會有億級以上的批量漏洞掃描事件，如果是客戶的話，不可能每天去響應這么大量的事件，每天去看有多少人在掃描口令，有多少人入侵，但這些都會消耗大量的人力，如果你不管的話，會造成影響足夠影響級別的重要事件，應該會更大。這種就通過云平臺層面，第一層的風險消除機制消除掉，就是整個運營平臺的批量機制，這也是免費給所有用戶提供的。 

第二、通過自動化引擎、數(shù)據(jù)的分析和情報的驅動定向消除某一個大類的快速閉環(huán)，通過自動化消減大量的人力需求，比如系統(tǒng)加固，風險的評估，常規(guī)安全事件的分析和處置，都通過自動化消減。

 第三、把核心的人力集中做安全人員應該做的事情上，比如架構怎么設計更合理、代碼怎么開發(fā)、企業(yè)應該怎么構建流程、怎么應對高等級的合規(guī)需求，這才是真正的安全人才發(fā)揮價值的地方。 

今天在這三個層面上，我們的能力積累基本成熟，去年開始，我們逐漸把一系列的云平臺內生能力以及自動化工具和流程、專家服務整合起來，推出了云原生的安全托管服務（MSS），讓我們的云上用戶在業(yè)務發(fā)展過程中不需要考慮太復雜的安全技術問題，不需要太多的人員投入，以相對可控的成本獲得安全價值最大化，這是我們做的云原生安全托管服務的初衷以及現(xiàn)在正在做的事情。目前，在很多企業(yè)的重保場合和日常安全值守過程中，MSS都發(fā)揮了很大的價值。 

對比傳統(tǒng)的服務模式，安全托管服務對于需要多少成本、多少人力、多少時間資源是可以看到的，我們最終希望實現(xiàn)安全廠商和客戶雙方的資源和成本優(yōu)化，給企業(yè)的安全建設“減負”，讓企業(yè)把重心和思考放在業(yè)務上。?