匯聚產(chǎn)業(yè)專家，共話云安全行業(yè)痛點|騰訊云TVP技術(shù)閉門會

隨著互聯(lián)網(wǎng)的快速發(fā)展，云計算已經(jīng)應(yīng)用于多個領(lǐng)域，互聯(lián)網(wǎng)企業(yè)也如雨后春筍般涌現(xiàn)，推動各行業(yè)的創(chuàng)新發(fā)展，隨之云安全問題也逐漸成為行業(yè)的焦點。

6月25日，騰訊云TVP團(tuán)隊和騰訊安全云鼎實驗室共同開始云安全技術(shù)閉門會議，邀請北辰時代科學(xué)技術(shù)、鈦資本、紅途創(chuàng)造、游族網(wǎng)絡(luò)、騰訊云安全領(lǐng)域的老技術(shù)專家5人，從多個維度、多個行業(yè)綜合分析云安全行業(yè)的痛點

TVP技術(shù)閉門會是騰訊云TVP制作的專用技術(shù)閉門研討會，旨在提供開放的交流環(huán)境，深入探討受歡迎技術(shù)話題的前沿技術(shù)、技術(shù)管理等話題。這次云安全，行業(yè)的痛點現(xiàn)在在哪里？在技術(shù)閉門會上，5位嘉賓也根據(jù)各自在行業(yè)多年的經(jīng)驗，分享了云安全的實踐經(jīng)驗和未來的預(yù)測。

安全從0到1

北辰時代科技總監(jiān)、騰訊云TVP涂川首先分享了關(guān)于安全和云的話題，結(jié)合自己的工作經(jīng)驗，從傳統(tǒng)的安全結(jié)構(gòu)設(shè)計到更智能、更靈活、更可擴(kuò)展的云計算平臺安全服務(wù)等

涂川認(rèn)為，安全是持續(xù)攻防對抗的動態(tài)過程，沒有絕對的安全，從技術(shù)角度來看，安全復(fù)蓋面極為廣泛，安全技術(shù)的實現(xiàn)，除了具有明確的安全建設(shè)意識和計劃外，對組織和個人的技術(shù)能力要求高，全面的安全體系的層次化建設(shè)，不是某個人或某個組織

從傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)擴(kuò)展到云安全領(lǐng)域，在業(yè)內(nèi)沒有看到霸權(quán)云安全技術(shù)，基礎(chǔ)平臺結(jié)構(gòu)發(fā)生變化，業(yè)務(wù)承載模式發(fā)生變化，但圍繞業(yè)務(wù)本身的安全問題仍存在同樣的風(fēng)險和威脅。幸運的是，云計算分布式的計算存儲網(wǎng)絡(luò)可以更加靈活地應(yīng)對大規(guī)模高并發(fā)的云服務(wù)場景。以前，在傳統(tǒng)的安全結(jié)構(gòu)設(shè)計中，常見的要塞機(jī)、日志審計、WAF防火墻、IPS入侵防御等安全防護(hù)手段也存在于云平臺的安全服務(wù)中。幸運的是，國家對云計算平臺的安全也基于傳統(tǒng)的安全結(jié)構(gòu)，提出了更高的技術(shù)和管理要求。我們也相信云安全的服務(wù)質(zhì)量也越來越強(qiáng)。

涂川強(qiáng)調(diào)，云安全更重要的是服務(wù)，業(yè)界需要更智能的東西，類似于騰訊云安全服務(wù)，MSS管理的云安全服務(wù)形式，基于云的持續(xù)監(jiān)視和AI和大數(shù)據(jù)分析，安全戰(zhàn)略和大數(shù)據(jù)背后的人肉眼看不見的東西

安全防護(hù)的邊界越來越模糊，新的構(gòu)想

從2005年到2020年，數(shù)據(jù)泄露的增加趨勢非常明顯。79%的企業(yè)經(jīng)歷過數(shù)據(jù)泄露，43%的公司報告了10次以上的數(shù)據(jù)泄露。目前，數(shù)據(jù)泄露不僅僅是個人情況。

今年6月，國家正式發(fā)布《數(shù)據(jù)安全法》，將于9月1日開始實施。在需求和政策的雙重驅(qū)動下，紅途創(chuàng)業(yè)者、騰訊云TVP劉新凱分析，如何選擇更好的保護(hù)企業(yè)數(shù)據(jù)，成為業(yè)界未來的話題。

劉新凱表示，從討論風(fēng)險和合規(guī)性的角度來看，隱私和數(shù)據(jù)的安全需求在變化，管理難度在增加。隨著法律和企業(yè)的變化，保護(hù)的外延擴(kuò)大，范圍擴(kuò)大，從企業(yè)敏感數(shù)據(jù)擴(kuò)大到個人隱私數(shù)據(jù)、企業(yè)敏感數(shù)據(jù)甚至國家重要數(shù)據(jù)。同時，隨著云技術(shù)、大數(shù)據(jù)的發(fā)展，IOT設(shè)備、智能汽車、智能家居等一系列物聯(lián)網(wǎng)終端的訪問，安全防護(hù)的邊界也越來越模糊。在新的變化下，需要構(gòu)建新的數(shù)據(jù)安全防護(hù)構(gòu)想。

人力資源培養(yǎng)是云安全的基礎(chǔ)

安全是系統(tǒng)工程，不同組織有不同的管理流程，不同組織對資產(chǎn)的定義不同，對人的許可也不同。鈦資本CTO、騰訊云TVP雷寶華先生認(rèn)為，安全本身是攻防的過程，不能用標(biāo)準(zhǔn)化的東西打天下，也不能用產(chǎn)品一蹴而就需要安全服務(wù)團(tuán)隊的持續(xù)投入，即安全人才是關(guān)鍵。與歐美相比，國內(nèi)安全運營團(tuán)隊的成熟度遠(yuǎn)遠(yuǎn)不夠。據(jù)雷葆華介紹，2014年以后國內(nèi)開始大規(guī)模進(jìn)行安全補(bǔ)課，投入比例基本在3%到5%，雖然差距縮短，但短期大量投入帶來的安全人才培養(yǎng)不像產(chǎn)品，不像技術(shù)，人才培養(yǎng)是長期的。

雷寶華總結(jié)，網(wǎng)絡(luò)安全不僅僅是解決方案和產(chǎn)品，最終還需要人來落地。

游族網(wǎng)絡(luò)運輸負(fù)責(zé)人、騰訊云TVP李志勇認(rèn)為，從整個安全服務(wù)來看，主要需要強(qiáng)大的安全服務(wù)團(tuán)隊，技術(shù)服務(wù)是重要因素。對于許多企業(yè)來說，安全建設(shè)可以通過引進(jìn)一些第三方的安全管理服務(wù)，迅速將自己的安全基線提升到行業(yè)的平均水平。從企業(yè)安全的角度來看，與專業(yè)安全制造商相比，我們自己的安全短板明顯，如何通過外部資源和服務(wù)補(bǔ)充團(tuán)隊短板是我們關(guān)注的一點。我們在使用什么樣的安全產(chǎn)品，什么樣的安全技術(shù)來滿足業(yè)務(wù)需求的同時，如果我們的安全人才不足，我們需要引進(jìn)什么樣的安全服務(wù)呢？

李志勇認(rèn)為，解決這個問題可以從兩個方面開始。第一，采用管理式安全服務(wù)，對于安全能力不足的企業(yè)來說，管理服務(wù)可以使企業(yè)的安全建設(shè)和行業(yè)的安全基礎(chǔ)設(shè)施一致，第二，安全往往是部分企業(yè)，特別是規(guī)模小的行業(yè)，將來需要將安全服務(wù)變成計算資源、存儲資源等標(biāo)準(zhǔn)，提高行業(yè)的安全水平。

以戰(zhàn)爭思維構(gòu)建云時代的安全防護(hù)體系

騰訊云安全社長李濱分析，由于云技術(shù)的發(fā)展應(yīng)用和安全工具落后的矛盾，現(xiàn)在云時代的安全建設(shè)面臨著三個非常嚴(yán)重的挑戰(zhàn)傳統(tǒng)式業(yè)安全、資產(chǎn)所有權(quán)、資產(chǎn)設(shè)備控制權(quán)均統(tǒng)一。但是，在今天的云場景中，由于采用了租賃形式，資產(chǎn)的所有權(quán)、控制權(quán)、服務(wù)和產(chǎn)品和技術(shù)模型的選擇發(fā)生了很大變化。

其次，計算能力和數(shù)據(jù)量的變化會導(dǎo)致傳統(tǒng)的安全機(jī)制在云效或不適用。

最后，云時代引進(jìn)的新技術(shù)，如扁平化結(jié)構(gòu)、虛擬化技術(shù)的應(yīng)用、普遍存在的分布式機(jī)構(gòu)、異構(gòu)計算、服務(wù)抽象化等，國內(nèi)企業(yè)在安全分析時，無論是攻擊面還是攻擊路徑的分析都處于更復(fù)雜的狀態(tài)。

在李濱，現(xiàn)在安全不是傳統(tǒng)的靜態(tài)思維和周期思維。今天強(qiáng)調(diào)新理念，安全必須有戰(zhàn)爭思維，戰(zhàn)爭動態(tài)變化，戰(zhàn)爭必須有損失，必須有取舍。所以如何通過比較合理的投入來達(dá)到最大化的效果，是今天云安全行業(yè)需要思考的。根據(jù)過去安全行業(yè)的實踐經(jīng)驗和儲備，騰訊安全提出了新的理念，即云原生安全管理服務(wù)。通過數(shù)據(jù)驅(qū)動、信息驅(qū)動、系統(tǒng)自動驅(qū)動三個驅(qū)動，海量事件對信息的淹沒，實現(xiàn)數(shù)據(jù)的快速分析和服務(wù)的快速響應(yīng)。

結(jié)語

在數(shù)字時代，信息混亂，數(shù)據(jù)復(fù)雜，對于所有互聯(lián)網(wǎng)從業(yè)者來說，如何保證安全是關(guān)鍵，面對云安全復(fù)雜的領(lǐng)域，安全研究者需要不斷深入挖掘具體場景此次騰訊TVP技術(shù)閉門對云安全痛點的深入挖掘，對安全員工更好地構(gòu)建云安全防護(hù)能力具有積極意義。

TVP是騰訊云最有價值的專家，是騰訊云授予云計算領(lǐng)域技術(shù)專家的獎項。TVP計劃致力打造與行業(yè)技術(shù)專家的交流平臺，構(gòu)建云計算技術(shù)生態(tài)，實現(xiàn)用科技影響世界的美好愿景。