近日,在2022騰訊全球數字生態大會上,以“安全守護,行穩致遠”為主題的「云原生安全專場」順利召開。在深入討論云原生安全的行業發展趨勢、技術探索、產品創新和落地實踐的同時,騰訊安全提出了云原生安全“一體化”戰略,并發布騰訊云原生安全“3+1”一體化解決方案,以“一體化”的思路重構云上安全防御體系。
基于“安全極簡”思路下的一體化解決方案
在全球數字經濟浪潮的沖擊下,數字化轉型已成為企業和組織應對未來不確定性的唯一選擇。云計算作為企業數字化轉型的得力武器,正從傳統 IT 架構向云原生架構轉型,并已成為企業數字化的一條必由之路,亦是企業數字創新的最短路徑。
Gartner報告曾指出,到2022年,將有75%的全球化企業將在生產中使用云原生的容器化應用。現實中我們也看到越來越多的企業和開發者開始把業務與技術向云原生演進,在這一進程中,云原生化后的安全問題也開始凸顯,成為當前企業要面臨的一大挑戰。
信通院在對云原生技術應用的調研結果顯示,安全性連續兩年成為企業用戶的最大顧慮,2021年近七成用戶擔心在生產環境中大規模應用云原生技術時的安全性。而在企業內部,云原生安全領域的能力建設剛剛起步,20%的用戶云原生環境沒有任何安全防護。另外,根據騰訊安全的統計數據顯示,在2022年間,已披露的漏洞數量超過了2.5萬個,而其中高危漏洞數量更是超過4000個,但整體的修復率卻不足20%,這背后所潛藏的風險可想而知。
同時,針對云上的攻擊還呈現出一種令人更加不安的趨勢——復雜攻擊大幅增長,這意味著攻擊者已經開始動用多種攻擊手法對目標實施入侵行為,相較于以往單一攻擊手法的攻擊方式而言,大大提升了企業的防御難度,也對企業的安全建設提出更高、更復雜的要求。
一方面是云安全態勢愈加嚴峻,企業對安全性也有了較高的重視,但另一方面,企業云原生安全建設卻依然較為緩慢,那這背后有著怎樣的原因呢?據了解,在2022年間,騰訊安全對云上用戶進行了深度的溝通和調研,發現僅有不到15%的客戶配備了安全運營團隊,并且其中只有23%是有專業安全背景的。可以看出,目前安全對于客戶來說還是有很高的門檻,處于 “敵強我弱”的狀態。
而網絡安全本身具備較高的復雜度,往往需要很強的專業背景和復雜的操作配置。
總結來看,網絡安全呈現三大特點:1、形勢嚴峻,漏洞多攻擊多;2、敵暗我明,不知道怎么防;3、門檻又高,要求專業背景高,人手嚴重不足。
可見安全的門檻依然相對較高,無論是知識、人才還是實操能力都相當匱乏,這也意味著多且復雜的安全概念及相關產品不僅會給用戶帶來高昂的學習、管理成本,也難以充分利用并發揮安全產品所能提供的防護能力,進而無法有效應對風險。
騰訊安全認為安全能力持續演進的同時更應該降低使用的門檻,讓安全變得足夠簡單,最好是能一鍵搞定。因此在2022年,騰訊安全提出云原生安全一體化戰略。騰訊安全認為,如何將安全進一步簡化,讓云上用戶以較低成本實現更有效、更便捷的應用就成為整體安全建設過程中的關鍵。
董文輝表示,基于“安全極簡”的思路,幫助客戶實現低成本且快速地搭建安全防御體系,在降低運營成本的同時還能做到提升整體安全水平,是提出云原生安全一體化戰略的主體思想,而此次推出的云原生安全“3+1”一體化解決方案正是這一戰略的落地,通過產品一體化、技術架構一體化、安全能力一體化和運維體系一體化,令企業安全運營“化繁為簡”。
據介紹,云原生“3+1”一體化解決方案可以簡單理解為3道安全防線+1個安全中心,它覆蓋了網絡安全、應用安全、主機安全和安全運營管理4個維度,建立立體縱深的安全防護體系。具體到產品層面,“3”對應的則是云防火墻、云WAF以及云主機安全產品,而“1”則是上個月(2022年11月)剛剛推出的新品——云安全中心。
龍海表示:“通過‘1’個云安全中心提供中心化的視角,幫助企業用戶看到整個云上的資產、風險、事件,與‘3’個單品所提供的原子能力打通,彼此之間形成網格化的聯動,依靠它們之間的相互關聯和支撐去提升防護效率和使用效率,進而可幫助用戶解決大多數的安全問題。”
這里我們以2021年12月發現的log4j漏洞為例,如果我們以傳統的防御方式去處理,那么從漏洞的爆發,到企業檢測受影響的資產、開啟防護的補丁,再到最終漏洞的修復或者隔離,企業一般需要在至少5款產品中進行數十項的操作配置,整個流程往往需要花費180個小時以上的時間。而在騰訊云安全中心,整個流程可以縮短至2個小時以內。
而騰訊安全的“3+1”一體化安全解決方案之下,由于各個安全產品所提供的原子能力已經以插件化的形式串聯起來,在為客戶提供網格化安全能力的同時,其各自產生的數據匯集至云安全中心,并進一步提供中心化的資產視角、場景視角以及事件視角,進行關聯分析、溯源,在對人員的安全能力要求不高的情況下即可實現高效的處置,整個流程可以縮短至2個小時以內,相比傳統的處置方式提高數十倍。
由此可見,云原生安全一體化戰略的本質重點體現在兩點:一是降低客戶使用安全產品的門檻;二是提高客戶使用安全產品的效率,以一種利于企業用戶降本增效的方式提升安全建設水平,從而開創一幅雙贏局面。
SaaS企業用戶安全建設的更優解
從需求到應用 銷售易談騰訊安全一體化方案實踐效果
銷售易作為一家以SaaS模式提供CRM系統及服務的企業,一方面要做好自身的安全運營和保障,相當于自己扮演一個甲方的角色;另一方面作為軟件服務提供商也要充分保障給客戶提供的SaaS應用系統及其數據的安全性,相當于還要扮演一個乙方的角色。這種身兼兩種角色的定位,也讓銷售易深知安全性對企業發展乃至生存的重要性。在談及為何會選擇騰訊安全的這套云原生安全一體化解決方案時,李哲祎也為我們分享了他在當時的一些思考。
安全需求——云原生架構是必要的優先選項
據了解,銷售易的整體安全建設需求主要集中在三點:
1 數據重要且敏感,對系統安全性要求極高:由于CRM系統承接的數據是企業核心商業機密,因此其安全性必須得到強有力的保障,對系統的抗攻擊能力、數據防泄漏能力、安全可配置能力、安全審計能力都有著極高的要求;
2 應對業務上下游集成所帶來的安全挑戰。這也是CRM與其他一般業務系統有所區別的特點之一,銷售易為客戶提供了包括系統平臺層的自定義代碼能力,客戶可以直接將自己制作的代碼上傳到銷售易平臺,以提供滿足其部分業務場景所需的功能。那么由此產生兩個安全挑戰——一是如何保護這部分功能產生的業務數據;二是如何規避客戶制作的代碼中可能會出現的漏洞,以避免后續由此引發更大的安全風險。
3 云原生安全架構。由于銷售易CRM系統自身是基于云原生構建的,廣泛使用了包括云端IaaS、PaaS能力,因此對云原生產品的安全特性和相關安全產品有著更嚴格的要求。
基于上述三點需求,意味著銷售易初期就確定必須要優先考慮以云原生理念設計的安全產品、平臺。在李哲祎看來,為更好地滿足上述需求,還應重點考察以下幾點:
1 安全產品的規則方面需重點考量完整度、可配置程度以及更新速度。其中完整度要看是否能廣泛覆蓋當前大多數的攻擊場景;可配置程度則關注其是否可以充分滿足用戶對產品安全規則的個性化配置需求;規則的更新速度則在一定程度上決定了產品幫助企業規避風險能力的高低,且應做到在不影響產品正常使用的情況下達成第一時間快速防護目的。
2 運營的復雜度。由于銷售易是多云、多租戶的架構,因而必須要考慮包括接入、部署、維護(如定制規則、告警處理)等涉及安全運營的復雜度以及對工作量的要求,應盡可能達到便捷且高效的水平。
3 安全產品的資質。這依然體現在兩個方面,一是安全產品資質能否滿足客戶對銷售易供應商資質的考核;二是能否滿足銷售易對于安全產品供應商的考核。如果安全產品能夠具備如銷售許可、測評報告等國內外專業機構認可的資質,將會有利于像銷售易這樣的企業在其客戶層面贏得更多認可。
為何騰訊安全一體化解決方案會成為銷售易的第一選擇?
可以看出,銷售易在安全產品選型方面有著嚴格且細致的要求,那么騰訊安全所推出的云原生安全一體化解決方案最終是如何脫穎而出成為銷售易的第一選擇呢?現場嘉賓也為我們作了較為詳盡的闡述。
● 在涉及安全規則的能力方面,恰好是騰訊安全作為一家綜合性安全廠商所擁有的優勢,一方面是借助其內部大量的后端能力,包括各種引擎、安全專家團隊都在時刻關注各類風險,并可實現快速響應。以漏洞舉例,當一個新的漏洞出現在權威機構發布的最新公告中,或是出現在一個社交媒體的消息中,都可做到敏銳地察覺,隨后根據漏洞級別進行不同等級的快速響應。董文輝表示,如Log4j這種級別的漏洞,一般在2-3個小時內即刻完成響應;另一方面,騰訊安全旗下的眾多產品幾乎每日都能發現各種形式的攻擊行為,各個產品團隊都會第一時間去更新和完善相應的安全規則,其速度可以快到分鐘級。需要強調的是,這些更新不僅針對被發現風險的應用,而是會聯動到一體化解決方案下的所有產品,可在用戶完全無感知的情況下實現全面的更新和完善,令整體安全防護效率大幅提升。
騰訊云原生安全3+1一體化架構圖
● 在運營的復雜度方面則更容易解釋,因為降低復雜度恰好是騰訊安全推出云原生安全“3+1”一體化解決方案的初衷之一。董文輝介紹道,“3+1”一體化解決方案甚至可以做到即開即用,無需部署。在使用過程中,該方案也始終堅持“一鍵化”的思路,將三道防線的安全產品串聯起來,在云安全中心就能實現一鍵開啟、一鍵體檢、一鍵處置,這大大降低了用戶的使用和認知門檻,既提高了產品的使用效率,也提高了威脅處置的效率。
● 在安全產品資質方面,李哲祎表示,有著20年防護經驗的騰訊安全本就具有較強的品牌效應,其安全產品也可以令銷售易的客戶為之信服。此外,騰訊安全的產品不僅擁有包括完整的各類相關許可資質,還屢屢收獲國內外權威機構的認證,在銷售易與客戶關于安全性的溝通過程中,都有著非常好的效果。
收獲肯定——兩大超預期“驚喜”贏得“物超所值”評價
相信大家和筆者一樣,在了解了該一體化解決方案的理念、特色和優勢之后,更關心它的實際落地成果,那么作為真實用戶,李哲祎則用簡短的四個字概括了在應用該方案后的切身感受——物超所值。
在溝通中我們得知,銷售易早前曾部署和使用過其他廠商的云安全產品,但在應用過程中發現存在包括網絡延遲高、配置復雜度高以及防護規則精細度不夠等諸多問題,進而導致對業務產生影響,經多方面的審慎評估后,銷售易決定使用騰訊云WAF產品來替換舊有的安全產品,李哲祎也重點以騰訊云WAF在實際應用過程中給他帶來的“驚喜”點做了分享。
1 整體漏洞規則的及時快速更新。這也是李哲祎在本次訪談中反復強調的重點,因為每當有可與系統關聯的新漏洞在網絡上曝光時,大量客戶會就這一漏洞及相關風險來與銷售易進行溝通,對其嚴重性、處置進度等高度關注,因為一旦造成嚴重后果,就會觸發雙方合同中的安全相關條款,還要承擔部分賠償責任。在應用了騰訊安全的云WAF之后,在包括去年的Log4j以及Spring框架相關的嚴重漏洞曝光后,該產品都實現了第一時間對規則進行更新,其速度之快令人驚喜,既保證業務系統的正常運行,又對相關風險實現了有效防護。在李哲祎眼中,這無疑是與騰訊在威脅情報的收集整理、漏洞研究、規則引擎能力以及安全專家團隊方面的優勢不無關系,也是其產品能力強大的重要體現。
2 騰訊云WAF的AI能力。“在初次使用這款云WAF產品時,它的AI能力給我非常大的驚喜。”李哲祎回憶道。“以往傳統的產品能力可以將其視為規則化的能力,但騰訊安全將AI利用到安全產品中的能力值得肯定,比如Bot的能力,只需要通過一個簡單的開關就可以將能力啟用,而通過其學習算法,還可做到及時發現存在于我們系統中之中的惡意行為。”在他看來,這相當于給他們提供了對未知威脅的識別能力,完全超出此前的預期。
騰訊云WAF產品架構圖
“以業內對比來看,騰訊安全的一體化解決方案在總體成本方面是可控的,并且能夠幫助我們在云原生架構下形成整體的縱深防御,完全達到了我們預期的防控效果,有些功能甚至是超預期的。除此之外,在我們合作的過程中,我們會將自己的一些SaaS化業務專有的特殊需求提交給騰訊安全的相關團隊,他們對此表現出極高的重視,在很短的時間內就完成了從產品設計到最終的迭代上線全過程,從產品到服務都給我們很好的體驗。”李哲祎總結道。
通過上述內容不難看出,騰訊安全在產品方面為銷售易提供了“超預期”的能力和服務,是令李哲祎選擇用“物超所值”來形容這套一體化解決方案的根本原因。
橫向+縱向擴展
助力企業用戶實現云上安全“一鍵”化
云原生安全一體化作為騰訊安全未來的戰略之一,“3+1”一體化解決方案肯定是需要持續演進的。未來,騰訊安全在這一戰略指引下又會有什么樣的規劃和舉措呢?
董文輝表示,從總體規劃思路角度看,未來這一戰略將會有兩個擴展的方向:
01 橫向擴展
“騰訊云的邊界延伸到哪里,我們的云原生安全一體化解決方案就會覆蓋到哪里。”董文輝表示,目前云原生一體化解決方案除了覆蓋公有云之外,在私有云上也已覆蓋。比如,有大量的用戶(如金融行業)因各種原因需要工作在專有云(私有云)的場景之下,他們都會用騰訊專有云企業版(Tencent Cloud Enterprise,簡稱 TCE)。
“如今,多云部署和混合云部署正快速增長,所以騰訊云原生一體化解決方案將橫向擴展會到覆蓋混合云,這一規劃目前已處于實施階段。”董文輝提到。
02 縱向擴展
“除了當前我們在公有云上會更多地在‘右側’防護(如基礎環境安全等)做覆蓋之外,未來我們還會把關注點進一步‘左移’,做到兩端同步演進發展,滿足用戶的更多訴求。”董文輝談道,騰訊安全目前已經在開發安全領域擁有較強的能力積累,下一步會考慮將代碼安全、軟件成分分析、DevSecOps等“安全左移”理念下的產品,與包括情報等在內的能力進行整合,都會納入云原生安全一體化的戰略之下,“相信明年會在這方面看到一些進展,而且我們會用很巧妙的方式去做。”
目前尚不知他描述中的“巧妙”一詞作何解釋,但這的確讓我們增加了些許期待。
隨著企業上云動作的不斷提速,安全上云的趨勢已不可逆,而云化帶來的邊界消失,也令傳統的安全架構面臨嚴峻的挑戰,花費重金堆砌的眾多安全產品各自為戰,大量的安全告警令安全運營人員應接不暇甚至顧此失彼,難以有效、高效應對安全風險。相比之下,基于云原生的安全架構則具備較強優勢——更簡單的資產梳理、更快的響應速度、更具彈性的抗攻擊能力。
騰訊安全在此基礎上通過將旗下各個產品進行融合,彼此之間進行有效的聯動,并以云原生安全“3+1”一體化解決方案的方式交付,更進一步地降低了用戶側的安全建設復雜度,同時提高了安全產品的使用效率,在快速構建云上安全體系的同時,克服傳統安全產品架構的眾多缺陷,快速有效地提升了企業整體安全防護能力,這些特點也通過來自銷售易的應用實踐分享而有了真切的感受,更令我們對騰訊安全云原生安全一體化戰略的未來——云上安全“一鍵”化有了諸多期待。
更多信息可以來這里獲取==>>電子技術應用-AET<<
