云計算的出現(xiàn)徹底改變了傳統(tǒng)企業(yè)IT結(jié)構(gòu)和整個IT產(chǎn)業(yè)，伴生在其上的云安全也面臨著非常多的新問題，需要用新的安全管理思路和技術(shù)手段來應(yīng)對。但從現(xiàn)實情況來看，大部分企業(yè)的理念和技術(shù)方法還停留在傳統(tǒng)IT時代，很多企業(yè)只是把云當(dāng)成更大的服務(wù)器集群來用，并沒有認(rèn)識到云所帶來的從底層技術(shù)上的本質(zhì)性變革。理念的差異最直接的后果就是安全管理水平的滯后，會產(chǎn)生非常多的安全問題。

本文中，我們將根據(jù)自身云平臺安全建設(shè)以及云租戶安全運(yùn)營實踐出發(fā)，圍繞云計算給IT產(chǎn)業(yè)帶來了什么變化、企業(yè)在安全建設(shè)上的新挑戰(zhàn)，以及我們有哪些應(yīng)對之道和術(shù)，闡述相應(yīng)觀察。 

一、云計算到底給IT產(chǎn)業(yè)帶來了哪些本質(zhì)的變化，相應(yīng)的安全變化是什么？

1.安全管理模型的變化。傳統(tǒng)安全領(lǐng)域里，IT資產(chǎn)的所有權(quán)和設(shè)備的控制權(quán)基本是一致的，誰使用誰購買誰擁有誰管理，比如原來一個企業(yè)一年有1億的IT預(yù)算，包含有40多個系統(tǒng)，其中有歸屬于財務(wù)部門的ERP，有歸屬于人力資源部門的HRM等等，這些權(quán)責(zé)分明的子系統(tǒng)共同構(gòu)建形成企業(yè)內(nèi)部的大的IT網(wǎng)絡(luò)，它的成本模型和組織歸屬是一致的，哪個部門采用了什么軟件系統(tǒng)、用什么解決方案、有哪些網(wǎng)絡(luò)支撐這些系統(tǒng)、部署在什么位置，所有權(quán)和使用權(quán)都有明確的歸屬，物理邊界非常清晰，這個時候大家很容易去做安全的解決方案。但是在云計算里面資產(chǎn)大部分時候是“租用”，資產(chǎn)的所有權(quán)、控制權(quán)以及企業(yè)在選擇服務(wù)和產(chǎn)品和技術(shù)模型上面產(chǎn)生了巨大的變化。這雖然不是安全本身的問題，但對安全系數(shù)的選擇以及安全的發(fā)展產(chǎn)生了巨大的影響，這是今天在云時代做安全建設(shè)面臨的最大的問題。

2.計算內(nèi)容和技術(shù)的變化。一方面是算力的變化，一方面是數(shù)據(jù)量的變化，這兩個問題導(dǎo)致傳統(tǒng)的安全機(jī)制在云上不適用。算力方面以最簡單的安全技術(shù)——數(shù)據(jù)加密技術(shù)，20年前一臺標(biāo)準(zhǔn)的服務(wù)器上面破解MD5的次數(shù)基本是每秒幾千次到萬次左右，所以MD5在20年前算是比較安全的算法，但是今天一臺普通的臺式機(jī)通過GPU加速的技術(shù)破解MD5的加密速度已經(jīng)達(dá)到每秒鐘55億次以上，算力上面比過去已經(jīng)提高了上千萬倍都不止，導(dǎo)致傳統(tǒng)看似安全的機(jī)制由于算力的大幅提升而失效。另外一方面是數(shù)據(jù)量的增大，每年的數(shù)據(jù)量都以倍數(shù)甚至十倍數(shù)的數(shù)量在增長，對安全機(jī)制會產(chǎn)生影響，仍然以安全加密技術(shù)為例，加密技術(shù)如果是一個小數(shù)量，加密的時間、成本和性能的影響可以忽略不計，如果到T級、P級，加密時長要達(dá)到幾分鐘甚至幾個小時甚至幾天的時候，在實際的業(yè)務(wù)運(yùn)行環(huán)境中是完全不能接受的。

3.基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)的變化。云時代導(dǎo)入了非常多的新技術(shù)，比如扁平化的架構(gòu)、虛擬化技術(shù)的應(yīng)用，以及普遍存在的分布式機(jī)構(gòu)、異構(gòu)計算、服務(wù)的抽象化等等，這些技術(shù)都會導(dǎo)致我們在進(jìn)行安全分析時，不管是在攻擊面還是攻擊路徑的分析上都會呈現(xiàn)更復(fù)雜的狀態(tài)。 傳統(tǒng)的IT建設(shè)周期很長，可能是以半年甚至年為單位，服務(wù)器采購硬件背后到貨的時間是1-3個月，軟件系統(tǒng)建設(shè)周期基本上是半年到幾年時間，系統(tǒng)的整個生命周期是幾年到幾十年的時間。面對5-10年長周期的系統(tǒng)，我們的安全建設(shè)可能是按一年的周期來做一次整體的風(fēng)險評估，評估整個IT系統(tǒng)的風(fēng)險，然后按月為單位做漏洞掃描，以月或者季度為單位進(jìn)行系統(tǒng)的補(bǔ)丁管理——有相應(yīng)非常嚴(yán)格的流程，可以按部就班進(jìn)行滾動周期的管理。 

但是在今天的計算環(huán)境里面，我們面臨的是一個非常高速、持續(xù)變化的環(huán)境。舉個例子，Serverless技術(shù)的應(yīng)用帶來的結(jié)果是，今天在云上面基本上拉起一個Servesless應(yīng)用的時間是3毫秒，而一個Serverless實例最短生命周期是100毫秒，如果是一個運(yùn)行這樣的函數(shù)的實例存在漏洞，被攻陷、被入侵，那整個攻擊事件的生命周期是百毫秒的級別，在云上有大量應(yīng)用這樣的技術(shù)，每秒都有大量的實例被拉起、迅速消亡，可能惡意代碼攻擊就在其中流轉(zhuǎn)消除；如果沒有新的技術(shù)進(jìn)行監(jiān)控和防范，可以說傳統(tǒng)的靜態(tài)的或者長周期的機(jī)制是完全失效的，所以今天我們面臨的是動態(tài)迅速變化的生命周期模型，面臨著持續(xù)性對抗的環(huán)境。 

二、外部環(huán)境變化給企業(yè)安全建設(shè)帶來的新挑戰(zhàn)

 全球各地網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)的標(biāo)準(zhǔn)也逐漸趨嚴(yán)，以GDPR的發(fā)布為標(biāo)志性事件，之后的幾年間國際國內(nèi)陸續(xù)出臺了很多重磅的網(wǎng)絡(luò)安全相關(guān)的法律，國內(nèi)的《數(shù)據(jù)安全法》、《個人信息保護(hù)法》、《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》都是在2021年出臺的。近年來的各種法律，對于網(wǎng)絡(luò)安全責(zé)任主體的界定已經(jīng)很明晰，《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》明確規(guī)定企業(yè)需要承擔(dān)網(wǎng)絡(luò)安全的主體責(zé)任。 

這個是法律層面的挑戰(zhàn)，就技術(shù)層面本身，云計算導(dǎo)入的新技術(shù)給帶來了新的生產(chǎn)力，不少傳統(tǒng)企業(yè)在云計算時代也實現(xiàn)了快速的發(fā)展。但技術(shù)進(jìn)步這枚“硬幣”的另一面是新的挑戰(zhàn)，從我們安全從業(yè)者視角，云是一個“大蜜罐”，海量的數(shù)據(jù)和業(yè)務(wù)在云上，必然招攬一些黑產(chǎn)和攻擊者。 

過去幾年可以看到幾個安全威脅的大趨勢。首先在威脅主體上，專業(yè)化、APT的組織越來越多，2020年美國的一份報告顯示，現(xiàn)在全球范圍內(nèi)具備國家級別攻擊力量的黑客組織大概有40多個，往下還有無政府主義黑客、商業(yè)間諜、有組織犯罪，在國內(nèi)，黑灰產(chǎn)是整個商業(yè)攻擊事件的主流。這些威脅主體有更高深的技術(shù)以及武器和組織能力；在受攻擊目標(biāo)上面，各個層次分布得更廣泛，國家的關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)的商業(yè)數(shù)據(jù)、個人的敏感信息等等，都成為了攻擊的標(biāo)的。數(shù)實融合潮流勢不可擋，借助數(shù)字化獲得更好的發(fā)展已經(jīng)企業(yè)發(fā)展必由之路，但前提是必須要做好安全體系，其數(shù)字化發(fā)展才穩(wěn)定、可預(yù)期。 

我們在云平臺建設(shè)和幫客戶建設(shè)云安全的過程中，都發(fā)現(xiàn)這個行業(yè)面臨非常大的缺口：資源的缺口、人力的缺口——人力的缺口既體現(xiàn)在絕對人數(shù)的缺口，也表現(xiàn)在缺乏有足夠?qū)I(yè)技術(shù)的專家。在近幾年，我國各個領(lǐng)域建立起了數(shù)千朵各種規(guī)模的云，每一朵云常規(guī)的安全運(yùn)營——比如常規(guī)的風(fēng)險評估、漏洞掃描、日常監(jiān)控等等——需要的有攻防實戰(zhàn)經(jīng)驗的專業(yè)人力是30人左右，僅在云安全運(yùn)營領(lǐng)域，這已經(jīng)遠(yuǎn)遠(yuǎn)超出了目前云安全行業(yè)的服務(wù)供給能力。 

三、當(dāng)前網(wǎng)絡(luò)安全產(chǎn)業(yè)供需不對等，需要如何解決？

 面臨云安全領(lǐng)域的若干制約，產(chǎn)品的制約、技術(shù)的制約、人力缺口的制約、思路和架構(gòu)上的制約，怎么解決這個問題？我們認(rèn)為，在今天的時代，安全一定要有“戰(zhàn)爭思維”，戰(zhàn)爭是動態(tài)變化的，戰(zhàn)爭一定會有損失、一定會有取舍，“萬無一失”是不現(xiàn)實的，所以今天我們的安全思路應(yīng)該是用比較合理的投入取得最大化的效果，把整個水位線提升到一定高度。

 戰(zhàn)爭思維下的安全管理的基本原則是兩個：

一，要解決的是普遍性問題，不能讓低級漏洞影響安全性，造成企業(yè)的損失；

二，不出重大安全事故，保證安全在一個足夠的水平線上。要完成這兩個原則，全靠人驅(qū)動是不現(xiàn)實的，首先是沒有足夠多的人力、沒有足夠多的專業(yè)人士，其次，人都是會懈怠、會疏忽的。 

基于上述理解，以及過去幾年騰訊在云平臺上的實踐經(jīng)驗和儲備，今天我們推出了新的理念：基于云原生的安全托管服務(wù)。過去的幾年運(yùn)營中我們積累了大量的云原生系統(tǒng)自動化工具，保證逐個解決微小的問題，最終把絕大多數(shù)的風(fēng)險面通過這樣的工具消除，最終通過數(shù)據(jù)驅(qū)動、危險情報的共享、自動化的工作引擎，形成云平臺安全服務(wù)的核心引擎，所以最終在安全服務(wù)上面我們劃分為三個等級：

 第一、低級事件的對抗和消減，今天在云上每天會有億級以上的批量漏洞掃描事件，如果是客戶的話，不可能每天去響應(yīng)這么大量的事件，每天去看有多少人在掃描口令，有多少人入侵，但這些都會消耗大量的人力，如果你不管的話，會造成影響足夠影響級別的重要事件，應(yīng)該會更大。這種就通過云平臺層面，第一層的風(fēng)險消除機(jī)制消除掉，就是整個運(yùn)營平臺的批量機(jī)制，這也是免費給所有用戶提供的。 

第二、通過自動化引擎、數(shù)據(jù)的分析和情報的驅(qū)動定向消除某一個大類的快速閉環(huán)，通過自動化消減大量的人力需求，比如系統(tǒng)加固，風(fēng)險的評估，常規(guī)安全事件的分析和處置，都通過自動化消減。

 第三、把核心的人力集中做安全人員應(yīng)該做的事情上，比如架構(gòu)怎么設(shè)計更合理、代碼怎么開發(fā)、企業(yè)應(yīng)該怎么構(gòu)建流程、怎么應(yīng)對高等級的合規(guī)需求，這才是真正的安全人才發(fā)揮價值的地方。 

今天在這三個層面上，我們的能力積累基本成熟，去年開始，我們逐漸把一系列的云平臺內(nèi)生能力以及自動化工具和流程、專家服務(wù)整合起來，推出了云原生的安全托管服務(wù)（MSS），讓我們的云上用戶在業(yè)務(wù)發(fā)展過程中不需要考慮太復(fù)雜的安全技術(shù)問題，不需要太多的人員投入，以相對可控的成本獲得安全價值最大化，這是我們做的云原生安全托管服務(wù)的初衷以及現(xiàn)在正在做的事情。目前，在很多企業(yè)的重保場合和日常安全值守過程中，MSS都發(fā)揮了很大的價值。 

對比傳統(tǒng)的服務(wù)模式，安全托管服務(wù)對于需要多少成本、多少人力、多少時間資源是可以看到的，我們最終希望實現(xiàn)安全廠商和客戶雙方的資源和成本優(yōu)化，給企業(yè)的安全建設(shè)“減負(fù)”，讓企業(yè)把重心和思考放在業(yè)務(wù)上。?