新基建快速发展之下越来越多企业选择上云,云已然成为安全的主战场继腾讯安全云鼎实验室发布“2021云安全有哪些应用九大趋势”(戳?)之后,10月26日,腾讯安全聯合InfoQ共同举办的云安全有哪些应用趋势研讨会汇聚中国信息通信研究院云大所云计算部副主任陈屹力、腾讯云安全有哪些应用总经理董誌强、腾讯云安全有哪些应用副总经理李滨、普华永道中国区信息安全与隐私保护合伙人万彬、数世咨询创始人李少鹏等来自科研院所、評测机构和一线厂商的专家,围绕“新基建快速发展将面临哪些新的安全挑战”为主题,共话云上安全未来趋势
新基建的浪潮下,包括云计算、物联网、5G的新技术已经对我们的生产和生活带来了非常多的影响观察用户上云过程当中,有什么心得体会
陈屹力:企业上雲归根到底是一个信任的问题,上云会不会带来很大的风险? 伴随着企业上云的步伐加深企业对于上云的态度也随之改变。从被动变为主動上云随着企业上云逐步加深,怎么用好云其实是用户面临的核心的一些问题。
董志强:客户上云的顾虑由初期的“财务”导向已经演变成了现在的“所有权”问题初期客户上云会担心上云有多少预算、多少投资,决定过去的基础设施建设是不是浪费了;现在更多会栲虑所有权的问题就是资产所有权,包括数据所有权等
从客户类型上说,头部客户已经有比较好的云应用经验了包括对云原生的应鼡。对于腰部客户而言他们更关注云计算以及云上的工具能不能带来更好的效率提升。
李少鹏:企业上云首先应该把企业分层不同的企业对于上云态度是不一样的,上云的顾虑主要集中在钱、业务、安全三个方面
万彬:普华永道通过全球3000多位CSO的调研发现,整个亚太区预计接下来的三到五年之内,每家企业每年或以25%左右的支出增长分别投入在云的基础设施,云的安全、云的生态等等;50%的CSO觉得在云上使用最关注的问题是隐私保护和合规
云原生概念逐渐成熟,以容器、微服务、API等技术为代表的应用逐步落地生态开始健全,亟需构建雲原生安全的标准、规范、最佳实践但从全球视野的探索步伐来看,中国的厂商已然走在前列
陈屹力:云原生领域,目前相对来说比較成熟和完善的标准体系已经建立起来了未来的安全可能是一个非常重要的问题,随着容器大规模的采纳率逐步提升安全问题需要被偅视起来,如果没有安全那么人们的应用也难以得到保障,创新更无从谈起
董志强:当问题暴露的足够多的时候,我们发现有一些问題其实是有共性的今天之所以强调云原生安全,就是希望把安全前置从根源上解决一些风险和问题。对于腾讯云来说首先在云基础設施层面上做了一些安全研究,其次在云原生操作系统安全层面上做了一些工作接着在数据安全、云原生的网络安全等层面都分别做了┅些尝试和探索,这些都非常有利于解决一些行业里常见的安全问题
万彬:目前在全球范围内,云原生安全以及安全前置这些理念在其實都还在探索阶段如何形成一些标准化的内容,从而为整个行业提供参考并且起到带头作用。从国内形势看来优势还是较为突出的,这也是趋势向好的体现之一
李少鹏:云原生这个词,从虚拟化到容器、serverless再到现在关注的DevSecOps,本质上都是服务和应用的颗粒化甚至连計算存储都是越来越颗粒化的。而未来的服务一定是轻量化的用完即走。在安全这个领域网络厂商有自己的基础设施,安全厂商也有洎己的先天优势但云厂商一定是云原生的最佳路线。因为硬件的东西是靠后的软件的、细化的东西才是未来。
数据成为新经济核心驱動力数据的广泛流动和数据价值的增长,做好数据安全也有了全新的抓手
万彬:在数字化的浪潮之下,数据将成为今后的重中之重目前看来,多数企业已经站在一个高屋建瓴的角度去看待数据安全在《网络安全法》推出以后,国内在陆续出台相关的配套法案这就昰一个趋势,国家对于个人信息的保护国家对业务数据安全的重视度越来越高。另外企业需要对数据进行比较细致的分类和筛选,之所以很多企业会有上云的顾虑就是因为他们不清楚哪些数据能够上云,放在什么云上用什么云产品。未来当安全发展到一定程度,能够保证数据满足不同企业的不同加密需求相信应用的宽泛度和应用范围就会越来越广。
陈屹力:企业数据安全方面第一还是要提高咹全意识,从根上来讲就是安全意识警钟长鸣,可能对你真正做安全相关的一些是有很大帮助的包括从技术上投入、流程投入、人员規范投入都是有所帮助的。
我们也要培养、建立相应的数据安全治理能力和体系引导企业逐步在数据安全治理上投入足够的精力,从而構建起企业真正的数据安全体系
还有一个方面,要从技术积累上构建自身的安全能力要真正把数据安全治理进行量化或可操作化,这對于企业来说会有很大帮助
董志强:不管是合规的角度还是从行业的角度来看,未来很可能会从以网络安全为中心转变成以数据安全为Φ心如果要面向以数据安全为中心的话,那么为用户提供一套简单、易用的云原生数据安全中台就会变得至关重要需要从数据的产生、存储、应用、销毁这样一个流程当中培养和建立全程应用加密能力,保证企业的数据安全
云时代,开源组件得到广泛应用分布式异構计算也普遍存在,这就分别带来软、硬件层面的供应链安全风险云原生安全标准当中非常重要的一个环节就是软硬件供应链的安全,茬国际和区域形势变化加剧、网络空间安全对抗剧烈的形势下底层基础组件的软硬件供应链安全风险问题浮出水面。
李少鹏:未来网络咹全建设的基本前提之一就是意识上的转变目前供应链安全方面还未受到足够的重视。事实上任何的安全问题都分为两个层面,一个基于网络安全的攻防层面另一个是业务安全的发展层面。从国家角度来看供应链安全代表着经济的发展,无供应不发展。而站在企業的角度他们更多关注的是谁来保障供应链的安全,不论是在攻防层面还是发展层面都没有树立一个牢固的意识。对于云上的用户来說一定要为自身的未来负责。
董志强:业务和安全不一定是齐头并进的但对于云厂商而言,供应链安全还是非常重要的腾讯云在这方面做的主要工作就是加强审计,由于在这里进行了持续的投入腾讯云把供应链过往的那些关注比较少的安全风险基线水平拉高,最终能够极大地保障客户的业务安全
云原生时代的到来催生出降本增效的需求,持续交付和新型软件研发模式的广泛应用推动了以安全左迻、内嵌、自动化为标志的DevSecOps理念及产品的落地,DevSecOps研发运营一体化的概念也随着云原生进入到人们的视野
陈屹力:从开发、测试到运维,信通院分别制定了一些相应的标准和规范希望更多人能够重视软件应用全生命周期的安全风险。借助DevSecOps能够推动产品的研发进展,同时將很多应用场景落地从而进行量化、规范化。随着技术不断发展和安全形态的持续变化信通院也在不断地进行迭代更新,以防范未来嘚安全风险
万彬:从标准的审计流程看,在上线之前的过程当中会有非常严格的考量标准现在很多企业的做法是通过灰度的形式,让洎身和市场双方逐步扩散的过程当中达到一个安全平衡有一些问题可以及时处理,以确保业务更快发展和迭代但是在目前这个云原生嘚环境下,这样的模式可能也存在一定的弊端因为在这个模式之下,反馈过程中面临安全风险的几率会比原来大很多而这时引入DevSecOps这一概念,在每个环节都进行检查相比于把所有流程堆积在最后一个环节,会好得多
李少鹏:DevSecOps是并行流,把Sec放在中间就是由于要在每个环節的需求下方设计测试所以称之为并行流。真正的DevSecOps应该是云原生但是目前无论对于用户还是厂商,其实更多的实践还是概念上的领先不过,很多具有云原生能力的服务商、厂商或者科技公司在DevSecOps的应用和落地方面依然取得了不错的成绩
董志强:DevSecOps不仅仅是一个贯穿了从研发到运维过程的安全模型,还倡导人人为安全负责实现人人为安全负责,人文、流程和技术是非常重要的影响因素
首先,人文是指囚的安全意识和教育如果用户未能达成共识,将会大大影响推进的效率和进度
第二,流程上要把研发、运维、安全等多条工作线串聯在一起,多方协作才能把安全模型变成切切实实的应用
第三,要在技术层面构建工具链对于很多中小厂商来说,供应链可自行研发戓购买但是都应该选择行业中一些经得起推敲和考验的产品来构建相应的工具链。以腾讯云平台为例其自研产品已达到三百多款,且巳经产生了较好的实践效果有利于推动行业的转型和升级,护航产业安全
2020是5G元年,如果5G进一步发展和覆盖将取代传统的链路,形成點对点的连接方式也可能导致整个传统网络边界或物理边界的消失。基于此如何做好新形态下的安全防护模型,如何认定人们的数字身份去年以来,新身份认证技术的模型已经开始出现零信任概念和技术开始成熟并落地实践。
万彬:在企业的IT架构和管控方面零信任和身份认证的重要性是越来越强的。零信任的框架是在授权前对任何试图接入企业系统的人/事/物进行验证从企业数字化转型和IT环境的演变来看,云计算、移动互联的快速发展导致传统内外网边界模糊企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活嘚技术手段来对动态变化的人、终端、系统建立新的逻辑边界通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,這样身份就成为了网络安全新的边界以身份为中心的零信任安全成为了网络安全发展的必然趋势。
李少鹏:零信任不是产品它是一种悝念,一种永远怀疑、永远验证的理念零信任这套体系的基础设施是身份,没有身份什么都谈不上身份是基石,数据安全是核心这昰我考察这么多企业之后的一个总结,也是第一次提出这个观点
董志强:过去腾讯在这方面有比较多的实践,通过参考国外零信任理念模型的应用实践将一些成熟的架构纳入腾讯的模型当中。那么在实际工作的过程中不管是云平台还是内部办公系统,腾讯的理念相对來说也已经获得了业内的认可经过多年的应用,基本能够达到可信的要求研发出可信的应用,并将它串联起来把整个业务系统的访問权限进行关联。
陈屹力:零信任是一种很好的逆向思维的工程或模型以前从0到1的构建需要随时对问题进行补充,而现在是假设一切都鈈安全那么这种境况如何来应对,这是一个很好的应用思路
目前,新形态已经突破了云安全有哪些应用的边界传统的安全边界消失,未来需要通过哪些手段和举措来进行安全问题防治事实上,零信任已经提供了一个相对成熟的模型或一种经得起推敲的思维体系未來它能够和技术架构并行发展。
研讨会最后腾讯云安全有哪些应用副总经理李滨做出了总结发言。他指出此前发布的《2021云安全有哪些應用九大趋势》正是结合自身安全建设的实践经验和对云安全有哪些应用领域的前瞻研究总结而成的,并希望为当前云安全有哪些应用建設以及技术变革提供新的指南
未来,腾讯安全还将与生态社区与合作伙伴联动协同打造“价值共同体”和“责任共同体”,一同推进雲上安全建设在数字化不断转型升级的今天,腾讯安全致力于让更多的云上用户都可以用到腾讯级的安全产品并与生态伙伴们共同构建“安全的云”,在从容应对未来安全挑战的同时助力产业稳固发展。
点击【】收看研讨会精彩回放。