让安全更简单 “一体化”防护体系会是云原生时代的更优解吗?
近日,在2022腾讯全球数字生态大会上,以“安全守护,行稳致远”为主题的「云原生安全专场」顺利召开。在深入讨论云原生安全的行业发展趋势、技术探索、产品创新和落地实践的同时,腾讯安全提出了云原生安全“一体化”战略,并发布腾讯云原生安全“3+1”一体化解决方案,以“一体化”的思路重构云上安全防御体系。
会后,安全419与腾讯安全副总经理董文辉、腾讯安全副总经理及云原生安全技术负责人龙海以及销售易安全负责人李哲祎围绕这一战略及相关产品、落地实践等话题展开交流。
基于“安全极简”思路下的一体化解决方案
在全球数字经济浪潮的冲击下,数字化转型已成为企业和组织应对未来不确定性的唯一选择。云计算作为企业数字化转型的得力武器,正从传统 IT 架构向云原生架构转型,并已成为企业数字化的一条必由之路,亦是企业数字创新的最短路径。
Gartner报告曾指出,到2022年,将有75%的全球化企业将在生产中使用云原生的容器化应用。现实中我们也看到越来越多的企业和开发者开始把业务与技术向云原生演进,在这一进程中,云原生化后的安全问题也开始凸显,成为当前企业要面临的一大挑战。
信通院在对云原生技术应用的调研结果显示,安全性连续两年成为企业用户的最大顾虑,2021年近七成用户担心在生产环境中大规模应用云原生技术时的安全性。而在企业内部,云原生安全领域的能力建设刚刚起步,20%的用户云原生环境没有任何安全防护。
另外,根据腾讯安全的统计数据显示,在2022年间,已披露的漏洞数量超过了2.5万个,而其中高危漏洞数量更是超过4000个,但整体的修复率却不足20%,这背后所潜藏的风险可想而知。
同时,针对云上的攻击还呈现出一种令人更加不安的趋势——复杂攻击大幅增长,这意味着攻击者已经开始动用多种攻击手法对目标实施入侵行为,相较于以往单一攻击手法的攻击方式而言,大大提升了企业的防御难度,也对企业的安全建设提出更高、更复杂的要求。
一方面是云安全态势愈加严峻,企业对安全性也有了较高的重视,但另一方面,企业云原生安全建设却依然较为缓慢,那这背后有着怎样的原因呢?据了解,在2022年间,腾讯安全对云上用户进行了深度的沟通和调研,发现仅有不到15%的客户配备了安全运营团队,并且其中只有23%是有专业安全背景的。可以看出,目前安全对于客户来说还是有很高的门槛,处于 “敌强我弱”的状态。
而网络安全本身具备较高的复杂度,往往需要很强的专业背景和复杂的操作配置。
总结来看,网络安全呈现三大特点:
1、形势严峻,漏洞多攻击多;
2、敌暗我明,不知道怎么防;
3、门槛又高,要求专业背景高,人手严重不足。
可见安全的门槛依然相对较高,无论是知识、人才还是实操能力都相当匮乏,这也意味着多且复杂的安全概念及相关产品不仅会给用户带来高昂的学习、管理成本,也难以充分利用并发挥安全产品所能提供的防护能力,进而无法有效应对风险。
腾讯安全认为安全能力持续演进的同时更应该降低使用的门槛,让安全变得足够简单,最好是能一键搞定。因此在2022年,腾讯安全提出云原生安全一体化战略。腾讯安全认为,如何将安全进一步简化,让云上用户以较低成本实现更有效、更便捷的应用就成为整体安全建设过程中的关键。
董文辉表示,基于“安全极简”的思路,帮助客户实现低成本且快速地搭建安全防御体系,在降低运营成本的同时还能做到提升整体安全水平,是提出云原生安全一体化战略的主体思想,而此次推出的云原生安全“3+1”一体化解决方案正是这一战略的落地,通过产品一体化、技术架构一体化、安全能力一体化和运维体系一体化,令企业安全运营“化繁为简”。
据介绍,云原生“3+1”一体化解决方案可以简单理解为3道安全防线+1个安全中心,它覆盖了网络安全、应用安全、主机安全和安全运营管理4个维度,建立立体纵深的安全防护体系。具体到产品层面,“3”对应的则是云防火墙、云WAF以及云主机安全产品,而“1”则是上个月刚刚推出的新品——云安全中心。
龙海表示:“通过‘1’个云安全中心提供中心化的视角,帮助企业用户看到整个云上的资产、风险、事件,与‘3’个单品所提供的原子能力打通,彼此之间形成网格化的联动,依靠它们之间的相互关联和支撑去提升防护效率和使用效率,进而可帮助用户解决大多数的安全问题。”
这里我们以2021年12月发现的log4j漏洞为例,如果我们以传统的防御方式去处理,那么从漏洞的爆发,到企业检测受影响的资产、开启防护的补丁,再到最终漏洞的修复或者隔离,企业一般需要在至少5款产品中进行数十项的操作配置,整个流程往往需要花费180个小时以上的时间。而在腾讯云安全中心,整个流程可以缩短至2个小时以内。
而腾讯安全的“3+1”一体化安全解决方案之下,由于各个安全产品所提供的原子能力已经以插件化的形式串联起来,在为客户提供网格化安全能力的同时,其各自产生的数据汇集至云安全中心,并进一步提供中心化的资产视角、场景视角以及事件视角,进行关联分析、溯源,在对人员的安全能力要求不高的情况下即可实现高效的处置,整个流程可以缩短至2个小时以内,相比传统的处置方式提高数十倍。
由此可见,云原生安全一体化战略的本质重点体现在两点:
一是降低客户使用安全产品的门槛;
二是提高客户使用安全产品的效率,
以一种利于企业用户降本增效的方式提升安全建设水平,从而开创一幅双赢局面。
从需求到应用 销售易谈腾讯安全一体化解决方案实践效果
销售易作为一家以SaaS模式提供CRM系统及服务的企业,一方面要做好自身的安全运营和保障,相当于自己扮演一个甲方的角色;另一方面作为软件服务提供商也要充分保障给客户提供的SaaS应用系统及其数据的安全性,相当于还要扮演一个乙方的角色。这种身兼两种角色的定位,也让销售易深知安全性对企业发展乃至生存的重要性。在谈及为何会选择腾讯安全的这套云原生安全一体化解决方案时,李哲祎也为我们分享了他在当时的一些思考。
安全需求——云原生架构是必要的优先选项
据了解,销售易的整体安全建设需求主要集中在三点:
1、数据重要且敏感,对系统安全性要求极高:由于CRM系统承接的数据是企业核心商业机密,因此其安全性必须得到强有力的保障,对系统的抗攻击能力、数据防泄漏能力、安全可配置能力、安全审计能力都有着极高的要求;
2、应对业务上下游集成所带来的安全挑战。这也是CRM与其他一般业务系统有所区别的特点之一,销售易为客户提供了包括系统平台层的自定义代码能力,客户可以直接将自己制作的代码上传到销售易平台,以提供满足其部分业务场景所需的功能。那么由此产生两个安全挑战——一是如何保护这部分功能产生的业务数据;二是如何规避客户制作的代码中可能会出现的漏洞,以避免后续由此引发更大的安全风险。
3、云原生安全架构。由于销售易CRM系统自身是基于云原生构建的,广泛使用了包括云端IaaS、PaaS能力,因此对云原生产品的安全特性和相关安全产品有着更严格的要求。
基于上述三点需求,意味着销售易初期就确定必须要优先考虑以云原生理念设计的安全产品、平台。在李哲祎看来,为更好地满足上述需求,还应重点考察以下几点:
首先是安全产品的规则方面需重点考量完整度、可配置程度以及更新速度。其中完整度要看是否能广泛覆盖当前大多数的攻击场景;可配置程度则关注其是否可以充分满足用户对产品安全规则的个性化配置需求;规则的更新速度则在一定程度上决定了产品帮助企业规避风险能力的高低,且应做到在不影响产品正常使用的情况下达成第一时间快速防护目的。
其次是运营的复杂度。由于销售易是多云、多租户的架构,因而必须要考虑包括接入、部署、维护(如定制规则、告警处理)等涉及安全运营的复杂度以及对工作量的要求,应尽可能达到便捷且高效的水平。
最后是安全产品的资质。这依然体现在两个方面,一是安全产品资质能否满足客户对销售易供应商资质的考核;二是能否满足销售易对于安全产品供应商的考核。如果安全产品能够具备如销售许可、测评报告等国内外专业机构认可的资质,将会有利于像销售易这样的企业在其客户层面赢得更多认可。
为何腾讯安全一体化解决方案会成为销售易的第一选择?
可以看出,销售易在安全产品选型方面有着严格且细致的要求,那么腾讯安全所推出的云原生安全一体化解决方案最终是如何脱颖而出成为销售易的第一选择呢?现场嘉宾也为我们作了较为详尽的阐述。
在涉及安全规则的能力方面,恰好是腾讯安全作为一家综合性安全厂商所拥有的优势,一方面是借助其内部大量的后端能力,包括各种引擎、安全专家团队都在时刻关注各类风险,并可实现快速响应。以漏洞举例,当一个新的漏洞出现在权威机构发布的最新公告中,或是出现在一个社交媒体的消息中,都可做到敏锐地察觉,随后根据漏洞级别进行不同等级的快速响应。董文辉表示,如Log4j这种级别的漏洞,一般在2-3个小时内即刻完成响应;另一方面,腾讯安全旗下的众多产品几乎每日都能发现各种形式的攻击行为,各个产品团队都会第一时间去更新和完善相应的安全规则,其速度可以快到分钟级。需要强调的是,这些更新不仅针对被发现风险的应用,而是会联动到一体化解决方案下的所有产品,可在用户完全无感知的情况下实现全面的更新和完善,令整体安全防护效率大幅提升。
在运营的复杂度方面则更容易解释,因为降低复杂度恰好是腾讯安全推出云原生安全“3+1”一体化解决方案的初衷之一。董文辉介绍道,“3+1”一体化解决方案甚至可以做到即开即用,无需部署。在使用过程中,该方案也始终坚持“一键化”的思路,将三道防线的安全产品串联起来,在云安全中心就能实现一键开启、一键体检、一键处置,这大大降低了用户的使用和认知门槛,既提高了产品的使用效率,也提高了威胁处置的效率。
在安全产品资质方面,李哲祎表示,有着20年防护经验的腾讯安全本就具有较强的品牌效应,其安全产品也可以令销售易的客户为之信服。此外,腾讯安全的产品不仅拥有包括完整的各类相关许可资质,还屡屡收获国内外权威机构的认证,在销售易与客户关于安全性的沟通过程中,都有着非常好的效果。
收获肯定——两大超预期“惊喜”赢得“物超所值”评价
相信大家和笔者一样,在了解了该一体化解决方案的理念、特色和优势之后,更关心它的实际落地成果,那么作为真实用户,李哲祎则用简短的四个字概括了在应用该方案后的切身感受——物超所值。
在沟通中我们得知,销售易早前曾部署和使用过其他厂商的云安全产品,但在应用过程中发现存在包括网络延迟高、配置复杂度高以及防护规则精细度不够等诸多问题,进而导致对业务产生影响,经多方面的审慎评估后,销售易决定使用腾讯云WAF产品来替换旧有的安全产品,李哲祎也重点以腾讯云WAF在实际应用过程中给他带来的“惊喜”点做了分享。
第一,整体漏洞规则的及时快速更新。这也是李哲祎在本次访谈中反复强调的重点,因为每当有可与系统关联的新漏洞在网络上曝光时,大量客户会就这一漏洞及相关风险来与销售易进行沟通,对其严重性、处置进度等高度关注,因为一旦造成严重后果,就会触发双方合同中的安全相关条款,还要承担部分赔偿责任。在应用了腾讯安全的云WAF之后,在包括去年的Log4j以及Spring框架相关的严重漏洞曝光后,该产品都实现了第一时间对规则进行更新,其速度之快令人惊喜,既保证业务系统的正常运行,又对相关风险实现了有效防护。在李哲祎眼中,这无疑是与腾讯在威胁情报的收集整理、漏洞研究、规则引擎能力以及安全专家团队方面的优势不无关系,也是其产品能力强大的重要体现。
第二,腾讯云WAF的AI能力。“在初次使用这款云WAF产品时,它的AI能力给我非常大的惊喜。”李哲祎回忆道。“以往传统的产品能力可以将其视为规则化的能力,但腾讯安全将AI利用到安全产品中的能力值得肯定,比如Bot的能力,只需要通过一个简单的开关就可以将能力启用,而通过其学习算法,还可做到及时发现存在于我们系统中之中的恶意行为。”在他看来,这相当于给他们提供了对未知威胁的识别能力,完全超出此前的预期。
“以业内对比来看,腾讯安全的一体化解决方案在总体成本方面是可控的,并且能够帮助我们在云原生架构下形成整体的纵深防御,完全达到了我们预期的防控效果,有些功能甚至是超预期的。除此之外,在我们合作的过程中,我们会将自己的一些SaaS化业务专有的特殊需求提交给腾讯安全的相关团队,他们对此表现出极高的重视,在很短的时间内就完成了从产品设计到最终的迭代上线全过程,从产品到服务都给我们很好的体验。”李哲祎总结道。
通过上述内容不难看出,腾讯安全在产品方面为销售易提供了“超预期”的能力和服务,是令李哲祎选择用“物超所值”来形容这套一体化解决方案的根本原因。
横向+纵向扩展 助力企业用户实现云上安全“一键”化
云原生安全一体化作为腾讯安全未来的战略之一,“3+1”一体化解决方案肯定是需要持续演进的。未来,腾讯安全在这一战略指引下又会有什么样的规划和举措呢?
董文辉表示,从总体规划思路角度看,未来这一战略将会有两个扩展的方向:
一是横向扩展。“腾讯云的边界延伸到哪里,我们的云原生安全一体化解决方案就会覆盖到哪里。”董文辉表示,目前云原生一体化解决方案除了覆盖公有云之外,在私有云上也已覆盖。比如,有大量的用户(如金融行业)因各种原因需要工作在专有云(私有云)的场景之下,他们都会用腾讯专有云企业版(Tencent Cloud Enterprise,简称 TCE)。
“如今,多云部署和混合云部署正快速增长,所以腾讯云原生一体化解决方案将横向扩展会到覆盖混合云,这一规划目前已处于实施阶段。“董文辉提到。
二是纵向扩展。“除了当前我们在公有云上会更多地在‘右侧’防护(如基础环境安全等)做覆盖之外,未来我们还会把关注点进一步‘左移’,做到两端同步演进发展,满足用户的更多诉求。”董文辉谈道,腾讯安全目前已经在开发安全领域拥有较强的能力积累,下一步会考虑将代码安全、软件成分分析、DevSecOps等“安全左移”理念下的产品,与包括情报等在内的能力进行整合,都会纳入云原生安全一体化的战略之下,“相信明年会在这方面看到一些进展,而且我们会用很巧妙的方式去做。”
目前尚不知他描述中的“巧妙”一词作何解释,但这的确让我们增加了些许期待。
随着企业上云动作的不断提速,安全上云的趋势已不可逆,而云化带来的边界消失,也令传统的安全架构面临严峻的挑战,花费重金堆砌的众多安全产品各自为战,大量的安全告警令安全运营人员应接不暇甚至顾此失彼,难以有效、高效应对安全风险。相比之下,基于云原生的安全架构则具备较强优势——更简单的资产梳理、更快的响应速度、更具弹性的抗攻击能力。