精彩回顧-第四期《2022產業互聯網安全十大趨勢》安全系列研討會

2022年07月04日15:31:25 科技 1836

6月24日，以「守護雲原生安全，構建企業安全『護城河』」為主題的第四期《2022產業互聯網安全十大趨勢》安全系列線上研討會成功舉行，在CIO時代聯合創始人兼COO、新基建創新研究院秘書長劉晶的主持下，來自北京賽博英傑科技有限公司創始人、董事長譚曉生、高途集團CSO董伊昔、中科院計算所高級工程師李明宇、騰訊安全雲鼎實驗室雲原生安全產品總監陶芬，共同探討了雲原生安全體系建設的實踐路徑。

訂閱式雲安全或將引領安全產業發展

北京賽博英傑科技有限公司創始人、董事長譚曉生再次光臨直播間，發表了《雲原生安全挑戰與市場分析》主題演講。譚曉生指出，目前雲計算處於雲原生快速崛起，雲網融合需求旺盛發展，雲管理和優化需求凸顯，安全體系革新的階段，數字化發展加速進入了雲原生時代。

他全面細緻地介紹了雲原生及雲原生安全的發展現狀。如今雲原生相關的技術呈井噴式發展，因開發模式、部署方式、運營方式的變化，對雲原生安全也提出了全新的挑戰。在介紹最新雲原生架構「Service Mesh」時，解釋道：「Service Mesh」提供的「Sidecar」機制非常好，包含了服務發現，負載均衡，服務的降級，調用鏈，故障日誌、監控、度量、身份認證、加密、訪問控制等可提供程序測量和安全服務。因此，如何更好地應用「sidecash」來助力雲原生架構下的安全，將是非常有意義的一件事情。

同時，他還講解了Gartner《Hyper Cycle for Cloud Security2021》的「Gartner雲安全全家桶」。它涵蓋了CSPM（雲安全的態勢管理），CSPM（合規性評估，風險識別，操作監控，集成，策略執行，威脅防護等），以及CWPP（雲負載保護平台），通過對主機的防護，漏洞的利用防護，應用的白名單，系統的一致性，網絡分段，系統監控，工作負載配置等，雲實現雲原生的安全防護。

關於雲原生安全在發展中面臨的機遇和挑戰，北京賽博英傑科技有限公司董事長譚曉生進行了預測和分析：

「原有的安全產品解決方案僅能解決部分問題，雲原生安全的要求是既懂安全又懂雲原生開發，這也給國內雲原生安全的賽道提供了更多創新和創業的機會。

而訂閱式的雲原生安全也會隨着雲原生的發展得以快速鋪開，這對於雲安全的產業的發展，對於安全產業發展都是一個非常大的利好。」

安全體系中雲架構的六大構成

高途集團CSO 董伊昔為我們帶來了《高途雲原生安全實踐分享》。董伊昔首先介紹了高途集團的網絡安全體系規劃，參照了ISO和IEC270001、7799等國際和國內的安全標準，並結合以往經驗及各大互聯網廠商的安全體系建設標準，制訂出了高途集團的《ISMS

四層安全體系架構》。其中就包括了雲環境架構，整個架構體系從外到內將公司進行細粒度劃分，再層層剝離，劃分好再進行最終落地。

其中關於安全體系架構中二層雲架構的六大構成，董伊昔也進行了着重介紹。

第一、雲的基礎安全。基於高途集團業務層使用了阿里和騰訊雲，在雲環境上及整個雲底層，真正實現落地的是基於兩個雲廠商本身提供的主機安全，HIDS等。

第二、應用層的應用安全。作為投入精力最大的重要環節，會從攻擊者角度出發，進行優先防護。

第三、防護層的安全防護。在接觸新產品或是考慮流量壓力時，會在應用級別搭建雲安全架構。

第四、業務層面的安全防控。從合規角度出發，進行業務風控及訪問來源的監控，並降低業務運營成本。

第五、解決數據安全。數據安全在雲架構來講，是與業務安全，應用安全密切關聯的，也是最核心資產。通過對線上數據或者對C端數據進行分類分級，做脫敏，再從數據安全全生命周期過行API監控。

第六、賬號安全。從管理要求出發，通過堡壘級審計認證去管理，並結合上述五部分，在內部建立安全運營中心。

此外，董伊昔還特別介紹了ISMS四層體系架構的第四層體系：

作為最終的落地的體系，需要解決歷史遺留問題、安全威脅風險。所以，最終落地措施就是整體統一管理，通過指標體系來評價目標建設情況。指標體系包括了建設指標和運營指標，建設指標的兩個參數是覆蓋率和完成率，運營指標的兩個參數是響應時間和發現時間，再通過色彩不同顯示完成情況。

雲原生模式保護雲原生應用

中科院計算所高級工程師李明宇帶來了《基於雲原生的架構創新及實踐》的主題分享。李明宇首先談了從「機器原生」到「雲原生」的架構創新的現狀和技術方向。通過實踐案例的分享，為我們講述了企業在進行數字化轉型時，傳統的開發方式和應用構建技術面臨的難點和挑戰，以及雲原生助力企業轉型中，在算法模塊、集成框架、部署實施方面發揮的重要作用。

鑒於雲原生帶來的敏捷性、可擴展性等方面的優勢，越來越多企業的IT正在向雲原生方式轉變，技術的更新顯得尤為重要，雲原生技術體系愈發變得更加龐大且複雜，雲原生應用在創新上也將面臨技術能力的挑戰。面對企業雲原生技術能力參差不齊的問題，李明宇講述了如何通過「雲原生應用設計模式」歸納沉澱最佳實踐，助力企業更好的落地雲原生應用。

李明宇也為我們分享了關於原生應用保護的思考：

「備份與容災是應用保護很重要的方面，雲原生應用保護需要以應用為中心，充分考慮雲原生應用的特點，支持以應用為粒度去保護，可參考CNCF OAM等應用模型，並且要支持容器、應用和命名空間三個層次。用雲原生模式保護雲原生應用，通過提供API，讓應用開發者更好地表明保護對象，再以自動手段實現其災備。保護手段本身的實現也遵循雲原生模式，採用聲明式API和Operator來實現，並與雲原生基礎設施結合起來。」

雲原生安全的攻守道

最後，來自騰訊安全雲鼎實驗室雲原生產品安全總監陶芬為我們帶來了《騰訊雲原生安全的攻守道之路》。陶芬首先介紹了雲原生架構在逐步成熟落地中面臨的眾多安全風險以及容器的短生命周期、密度大、雲原生下的DevSecOps、安全能力雲原生等對企業的運營安全運營能力的挑戰。

知攻：容器在野攻擊、安全攻防矩陣

騰訊安全雲鼎實驗室在近幾年對容器在野攻擊的研究和監測中發現，絕大多數應用雲原生技術的企業都經歷了容器安全事件。而對DockerHub黑產的監控分析顯示，黑產已經攻陷了在網約1.9億個容器，並且攻擊種類和對抗還在持續提升，安全問題已成為影響用戶落地雲原生的重要考量因素。

未來，雲原生應用的供應鏈攻擊將是安全關注的重點，而雲原生安全攻防已進入對抗的實戰化階段。

懂防：騰訊雲的雲原生安全能力架構

承載了整個騰訊全量雲原生業務的騰訊雲容器平台，有着業內最大規模的自研上雲容器應用。在安全體系架構中遵循了四大原則：一是安全能力原生化，二是安全左移，三是全生命周期的安全防護，四是零信任的安全架構。

騰訊雲的容器安全防護體系框架，按照雲原生架構層次化的方式，可以逐層地實現安全防護，打造出承載騰訊業務的雲原生安全的容器雲，同時也能夠助力企業安全的實現雲原生轉型。

內功：騰訊雲容器安全管理及運營實踐

安全運營是目標，安全能力是手段。在內部推進容器安全運營時，可以參考NIST的網絡安全框架，將容器的安全運營分為五個並行且連續的步驟，分別是：識別、防護、檢測、響應和恢復。

在雲原生場景下，安全運營落地還面臨著眾多挑戰：技術門檻方面，懂安全的不懂雲原生，懂雲原生的不懂安全，企業的安全運營人員需要逐步地去補齊雲原生的知識和運維的知識；流程規範方面，業務野蠻生長，配套的安全能力的建設和安全運營的流程規範跟不上；人和資產方面，角色複雜，設計開發、安全、容器PaaS平台方、運維，安全意識較為薄弱，資產歸屬不清晰。

企業雲原生的安全運營能力建設需注意四個關鍵點：做好鏡像的安全管控；主動容器集群層面的安全加固；強大容器運行時的安全防護；建立基本的容器資產大盤應急。