9月25日,以“云原生安全技术发展”为主题的腾讯安全思享会——云原生安全技术发展研讨会成功举行。会议由中国产业互联网发展联盟安全专业委员会发起,腾讯安全联合天融信科技集团等企业共同进行云原生安全技术和发展的研讨。天融信战略合作中心总经理刘斯宇先生参加本次研讨会。
问题一:云原生安全到底是什么,如何看待云原生安全技术兴起??
云原生是面向云应用设计的一种思想理念,能够帮助企业构建弹性可靠、松耦合、易管理、可观测的应用系统,提升交付效率。云原生开发流程可以更好地适应当今业务环境的速度和创新。
产业互联网时代,云计算IT架构以更简单的架构设计、更高的性价比、更灵活的系统颠覆了传统IT基础架构,但随着算力、IT架构、攻防节奏以及数据资产的不断变化,也给云上安全带来了新的挑战。
早期安全厂商实现云安全大多是将硬件或软件安全产品迁移到虚拟机中运行,这种方式不需要进行大的改造,能够快速适配云化环境,但同时也存在一些限制,例如需要复杂的引流方案,安全产品自身仍然是集中式架构,不容易扩展等。私有云厂商实现云安全大多是基于Open Stack的安全组、FWaaS、VPNaaS等模型,这种方案和云平台深度融合,部署和使用比较方便,但提供的安全产品功能简单、品类较少,无法满足企业级客户复杂的安全需求。
云原生安全是应对新挑战的高效手段,未来的安全建设需要契合云计算的弹性特点,能够随时配合服务器体量的变化扩容或者收缩,并且能完成自我循环,做到自适应、可迭代,在云上即可完成升级,而无需花费大量时间、人力和资金成本去更新硬件设备。同时,云上的安全服务也应像云计算一样,让客户能够开箱即用、按需索取、按量付费,真正做到安全前置。问题二:天融信得益于云原生安全理念的安全实践案例有哪些??
基于各类方案的优劣势,天融信也在云原生安全领域做了一些开拓和尝试。天融信利用云计算的一些底层技术,研发了一套专门为私有云客户提供云安全产品的云安全资源池,里面汇聚了天融信十几款主流安全产品,以自助服务的方式提供给云客户使用。
天融信云安全资源池是一款云原生环境下的综合安全产品,采用和云计算相同的技术,如计算虚拟化、网络虚拟化、存储虚拟化、分布式存储、服务链等,可为云上租户提供主机、网络、应用、数据等全方位的安全保障,以云计算按需自助服务的方式向客户提供安全交付能力,解决客户上云安全顾虑,助力客户全面云化。
阿坝州政务云的项目是天融信第一个政务云多租户场景全套安全建设交付案例,阿坝州政务云和政务大数据平台的建设旨在实现全州电子政务云“一朵云”、数据共用“一个平台”, 天融信主要负责承建这朵云的相关安全建设。天融信安全能力与云平台深度对接,在云内可灵活交付;数据平面上,天融信云安全资源池完成了与华三松耦合引流对接;管理平面上,天融信云安全资源池完成与沃云云管平台单点登录对接,实现了一个平台概念。问题三:云原生安全落地的关键挑战是什么?如何才能推动云原生安全加速普及,从而惠及更多用户??
我认为主要有3个方面的挑战。
一、技术的不断变化。云原生时代最大的安全挑战可能来自于云基础设施和服务的不断发展和变化。在云原生时代的初期,云服务局限于基本的云存储和虚拟服务器。近年来,由多种云存储类型、各种虚机实例,扩展到托管Docker容器环境、无服务器计算、基于云的大数据服务、监控服务等。这些云服务额外增加了组织应对保护云工作负载的安全挑战。未来云服务会更加复杂和多样化,组织需要去适应云计算的变化,及时调整安全工具和安全策略。
二、云原生基础设施。原生云基础设施自身的一些特征使传统的安全工具和流程无法适应。首先,采用云优先战略的组织在建设私有云时并未贯彻三同步原则,因此对于安全的投入建设是有限的。其次,云中的访问控制模型可能不适合私有云的环境,虽然云平台大多提供了配置访问控制工具,但这些工具通常限定于特定云平台且功能有限,无法支撑组织可能存在的多云和复杂的应用场景。最后,混合和多云架构的使用,进一步增加了保护工作负载的复杂性。当使用多个云时,可能涉及到多个访问控制和管理工具,同时还要监视跨多云环境分布的工作负载的安全漏洞和可能的入侵。
三、软件定义一切。软件定义基础设施带来更多的灵活性和伸缩性,但由于不能一致地映射到物理系统,使跟踪和安全的隔离变得困难,只有在基础架构中添加额外的控制层,但这也增加了管理的复杂性。另外,由于引入了更多的软件工具,导致潜在的攻击载体也会变得更大。
对于推动云原生安全加速普及,一方面要构建生态体系。近年来,天融信紧抓产业发展机遇,坚持以自研技术为导向,加速推出云计算、云安全产品和技术。天融信于2016年正式成为VMware的合作伙伴,成为国内首家获得VMwareReady认证的安全企业,同时是多家云建设单位的合作伙伴,例如腾讯云、沃云、华为云、阿里云等,与国内众多云计算厂商达成生态战略合作与联动协同,加速进行产品适配,打造并持续完善云生态体系。未来,天融信将持续加深开放、互通、共享的协作机制,协同各行业构建云原生安全生态链,共担守护云原生安全的职责。
另一方面要加速丰富私有云场景下的云原生安全。中国的私有云市场目前处于增幅平稳的状态,私有云场景下的云原生安全能力建设已经成为业内焦点。伴随着私有云承载业务系统的不断增加,以及安全威胁的不断变化,构建有效的联动防御体系变的极为重要。通过云环境内部的深度检测和大数据关联技术,利用异常访问关系梳理,为私有云提供主动防御的依据,并结合联动响应机制,为资源池提供安全策略编排的依据,最终实现基于安全资源池构建的主动防护体系。
