关于安全:腾讯安全董志强用云原生安全铸造产业互联网时代的坚实底座

48次阅读

共计 3764 个字符,预计需要花费 10 分钟才能阅读完成。

12 月 19 日,2020 Techo Park 开发者大会在北京举办,腾讯云首席平安官董志强缺席并发表了以《用云原生平安铸造产业互联网时代的松软底座》为主题的演讲。他示意,云计算已成为产业互联网和将来数字化改革的次要载体,而云上的平安服务也应该像云一样,让客户可能开箱即用、按需索取、按量付费

云时代的网络安全将面临四大挑战:第一,算力晋升和数据量的变动,会导致原有的危险模型和平安机制面临新的挑战;第二,原来以硬件为外围的进攻架构,无奈应答基于云计算呈现的新危险;第三,云计算环境下,攻防反抗变成了动静且继续变动;第四,因为云的导入,企业治理经营下面也会引发平安技术和平安机制的肯定变动。将来的平安建设要符合云计算的特点,将平安前置,而云原生平安是应答将来平安问题的高效伎俩

腾讯平安基于多年来的钻研与实践经验,别离从 云原生平安治理、云原生数据安全、云原生利用平安、云原生计算平安、以及云原生网络安全 等层面,全面构建了腾讯云原生平安防护体系。

将来,腾讯平安将进一步通过云原生的形式继续凋谢腾讯级的平安能力,为产业互联网打造一个松软的平安底座,让更多的用户享受到产业互联网时代数字化降级带来的便当,让平安不再成为数字化经济倒退的掣肘。

以下是董志强演讲全文

大家好,很快乐明天能在 Techo Park 的现场和各位开发者交换对于云平安相干的技术趋势和现状。我想和大家聊一聊腾讯平安对于云原生平安的一些了解和实际。

目前基于云计算的各种工具、解决方案十分多,迭代速度也相当快。云和各行各业的连贯越来越严密,成为 产业互联网和将来数字化改革的次要载体。这个行业也曾经成长为几千亿美元的规模。这必定是一个共识,即使是传统企业,对云的接受度也十分的高。那么云计算的高速倒退,对于 IT 建设和平安防护带来了哪些影响呢?

各位都是 IT 畛域、平安行业的从业者,大家都晓得,过来进行 IT 建设周期很长,从选型、测试、洽购、上线、交付一系列流程,传统企业外面如果要新购一个服务器个别要一个半月到三个月,再加上装操作系统,要测试上线、做系统配置,要做联调等等,周期十分长。而当初,腾讯云外面购买新的虚拟主机,五分钟之内零碎就能上线。而应用近两年大热的云原生容器技术,几秒钟就能创立上线。Serverless 无服务器化运行,把这个工夫缩短到了以百毫秒为单位。这样的变动对整个平安又带来什么影响?

依据腾讯云和腾讯平安多年的钻研与实践经验,咱们认为 第一个挑战是算力晋升和数据量的变动,会导致原有的危险模型和平安机制面临新的挑战。这个其实很好了解,大家无妨回顾一下,同样是破解 MD5 加密算法,20 年前一台一万美元左右的服务器,每分钟能破解 2000 屡次,但当初一块云上通常应用的 GPU 芯片,老本也是一万美元左右,却能做到每分钟 55 亿次。也就是说同样老本下,咱们的算力晋升了 2300 万倍,很多原来平安的算法在明天曾经不再平安。与此同时,存储老本也在飞速降落,存储的数据量却爆炸式的增长,同样也会对咱们原来机制的有效性带来挑战。

第二个挑战是原来以硬件为外围的进攻架构,没法应答基于云计算呈现的新危险。在云上的整个架构变动会非常复杂,比方明天在腾讯云下面运行了超过 100 万台的物理服务器,上千万以上的虚拟机,这组成了一个非常复杂的零碎。导致明天在云上的攻击面、危险面比以前任何时候更简单。原来传统的 IT 架构,它的物理架构和逻辑架构是对立的,咱们只用思考在哪里放个防火墙,在哪插个盒子,然而这种做法在云下面正在生效。

第三是攻防反抗变成了动静且继续变动的。刚刚其实我就提到过,当初整个 IT 零碎的生命周期产生了很大的变动。相应的,咱们进行运维防护的节奏也要进行调整。传统的以年为周期进行平安布局,以季度为单位进行破绽扫描的节奏曾经不实用了。因为在云计算环境下,攻打的产生被缩短到秒级,咱们处于继续的危险反抗环境中。

第四企业治理经营下面,因为云的导入,在资产的所有权、数据的购买权和企业经营的老本模型上产生十分大的变动,也会导致云上很多的平安技术、平安机制有肯定的变动

聊完云时代的变动带来的平安挑战,咱们会发现原来打补丁式的平安思路当初曾经不实用了。将来的平安建设要符合云计算的特点,应该是具备弹性的,随时可能跟着服务器体量的变动扩容或者膨胀;并且要能实现自我循环,做到自适应、可迭代,在云上就能实现降级,而不须要破费大量工夫、人力和资金老本去更新硬件设施。同时,云上的平安服务也应该像云计算一样,让客户可能开箱即用、按需索取、按量付费。

这就是 云原生平安的价值所在,将平安前置,原生在云上是应答将来平安问题的高效伎俩

针对过来的数据,将来的趋势,技术倒退方向和产业方向进行剖析后,咱们腾讯平安的云原生平安建设次要围绕以下几个方面开展。

首先是 云原生平安治理,包含对身份治理、危险治理、数据治理几个方面的钻研。整个平安治理体系,分为了危险辨认、危险监测与防护、响应及复原、继续经营几个重要的局部。

而后是 云原生数据安全,将来数据量越来越大,如果按传统的形式去构建数据安全,它的链条十分长,从前端的数据发现到数据的加密,还波及到一系列软件、硬件、网络的加密,到数据的审计以及数据的透露监控,整个链条外面可能波及到二三十种产品。如果在云上让一个用户部署这么多产品,去治理非常复杂。咱们通过打造端到端的云原生数据安全中台,逐渐把所有数据安全的设施、技术、产品全副纳入到云自身外面去。从数据的发现和治理、数据的加密和爱护,数据的脱敏、数据的审计等等根本的全生命周期的数据安全服务都是以云原生形式给客户提供。

接下来是 云原生利用平安,这一层次要包含对平安开发、平安测试和利用平安防护的钻研。在开发方面,咱们始终致力于推广 DevSecOps,将平安贯通开发生命周期。因为容器的倒退,对于 API 的调度成为了云原生时代最外围的特色之一,所以对 API 的平安防护也是咱们钻研的重点。

云原生计算平安 层面,容器的平安是咱们最为关注的要点之一,通过硬件虚拟化隔离、容器隔离、加密容器运行环境等方法,对容器进行平安治理,保障容器在运行时的平安。

最初是 云原生网络安全 层面,这里咱们不仅给云上的客户提供 SAAS 化的云网络安全产品,并且通过云网络边界的治理和交融云原生防火墙等形式来保障云的网络安全。

目前腾讯平安的云原生平安钻研和建设就是围绕以上几个层面开展,并且咱们曾经获得了一些实际成绩。首先给大家展现一下咱们的云原生平安防护体系。

疫情期间,大量的企业被迫减速数字化降级,全国的用云量大规模增长,即便对于腾讯这样成长在互联网上的企业,也是一次全新的挑战。

为了尽快复产停工、复原经济生机,居家网上办公、线上展会、直播带货等依靠互联网的数字经济局势涌现。

作为一款主打线上视频会议性能的产品,腾讯会议在此期间用户规模高速增长。产品迅速扩容的同时,也对平安防护提出了更高的要求。如何保障网络服务的稳固、如何确保用户会议内容的数据安全等等,都须要疾速跟进。

如果用传统的打补丁的平安思路,咱们很难跟上产品用户规模增长的速度,然而在腾讯会议的产品设计阶段咱们的平安团队就参加其中,真正将平安体系内置在外面,让平安能力可能跟着产品一起降级,胜利的保障了腾讯会议在疫情期间的大规模利用。这就是一种典型的云原生平安思路的体现。

咱们不仅用云原生的平安体系来防护咱们本人的产品,咱们也把这样的能力通过腾讯云凋谢给客户,来保障客户的平安

首先是 在云原生平安治理方面,咱们进行了从危险辨认、到危险监测与防护、再到响应与复原,以及继续经营一系列的治理体系,将腾讯平安的各种平安能力融入其中,从全局上提供防护。为了帮忙腾讯云上的用户疾速解决云服务器合规的问题,咱们往年还推出了一套云原生的合规镜像,并且将它收费提供给腾讯云上的用户应用,用户只须要在官网上进行简略的操作,就能防止简单繁琐的配置过程,取得一套合乎等保要求的云主机;

其次是 在数据安全层面,咱们打造了端到端的云原生数据安全中台,从最底层合乎国家标准的硬件加密机,到两头通明加密的中间件,到 API,到云产品层的数据通明加密,都曾经具备。

在明码技术层面,依靠云计算交付明码技术在我国仍是新兴的明码服务模式,将明码技术嵌入云计算零碎中仍面临诸多的挑战,包含云零碎适配问题、硬件明码模块部署问题等等,近期 咱们正在聚焦云平安拜访代理 CASB 的钻研,CASB 组件将敏感数据在应用服务内加密,除实现将数据加密后存入数据库,还能实现数据从应用服务到数据库之间以密文模式传输。

在业内都很关注的容器平安的前沿畛域,腾讯云成为首批通过信通院大规模容器集群性能测试评估的云服务商,取得最高级别“卓越级”认证。并且腾讯云容器服务凭借优良的整体防护能力同时播种“容器平台平安能力”的最高级别——先进级认证。

腾讯云主机平安服务往年入选了 Gartner CWPP 寰球市场指南,咱们正在将云主机平安、云防火墙,联合云 SOC 一起打造一个更加欠缺的云原生平安防护体系,更好的保障云上用户的平安。

以上只是简略列举了一些咱们曾经对外开放的平安能力,将来咱们将进一步通过云原生的形式将腾讯级的平安能力对外开放,为产业互联网打造一个松软的平安底座,让更多的用户享受到产业互联网时代数字化降级带来的便当,让平安不再成为数字化经济倒退的掣肘。

谢谢大家!

正文完
 0