云时代,越来越多的企业和机构选择将核心业务上云。伴随新基建推动的万亿投资,云计算基础设施更大规模地推向全社会,这些都无疑将大幅增加云安全在整体安全以及安全市场的占比。
然而,近年来云上安全威胁的规模也在快速扩大。从2018年到2019年,以国内各大公有云为目标的网络攻击明显上升,年均增长200%以上。因此,企业越来越需要更安全的公有云服务和更丰富的云上安全产品。基于这一点,云原生安全理念逐渐进入人们的视野。
云原生的真正作用在于,基于云的特点,从架构、开发到部署和维护等阶段全面打造企业级云应用,形成关键链路的闭环,真正护航企业的云上安全。
近日,腾讯安全副总裁黎巍在接受FreeBuf专访时表示:“数字化浪潮下,原生的、可防可控的、全域安全体系是必然趋势。”
来源:FreeBuf
作者:Megannainai
两年前,腾讯提出“扎根消费互联网、拥抱产业互联网”战略,集中发力toB业务,如今已见成效。Gartner在7月31日发布的企业公有云服务市场份额报告显示,腾讯云超过IBM,跻身全球top5云服务商;2019年,腾讯云全年营收超170亿元,同比增长接近90%。
能够在产业互联网这一大赛道快速布局推进,腾讯二十余年来在安全上的储备是一个极其关键的支撑。一方面,腾讯会议、微信小程序等自有业务发展迅猛,安全的全生命周期助力,让这些业务能够不受恶意攻击、黑灰产的影响,获得持续的加速度;另一方面,腾讯也将安全技术、能力与解决方案梳理整合,向数字转型中的企业,尤其是云上客户开放,助力他们获得“腾讯级”安全能力。
今年以来,在中央的统一部署下,新基建成为国民经济发展的新动能。腾讯积累下的大量云安全能力,再次找到了亮剑机会。
在数字化时代,新基建是地基,安全是新基建的基础设施。那么,新基建时代的云安全相关问题如何保障?腾讯安全副总裁黎巍向FreeBuf分享了腾讯相关的经验。
云原生应运而生
安全是一个动态话题,防护对象的演变是最重要的影响因素。黎巍从两个方面进行了解释:一方面,新基建会带来产业快速变革及技术快速升级。云原生、零信任,身份安全、数据安全等方面的新技术不断发展,对云厂商的业务起到了积极促进作用。企业数字化转型、产业互联网升级的需求被激发,安全投入增加,市场也变得更加活跃。另一方面,新业态也会催生出新的安全挑战,所以对于安全来说,能否承接新的挑战至关重要。
市场需求则是对于安全挑战的细化解释。根据Gartner的调查,到2022年,向云计算的转变将产生约1.3万亿美元的IT支出。现在,绝大多数企业工作负载都在公有、私有或混合云环境上运行。大量企业面临这上云的迫切需求,但是他们同样面临着迁移难题。黎巍将这些云客户群体分为两大类:
一是具备安全基础的企业,如一些大型企业。他们在传统的IDC环境中已经构建了一定的安全能力,并购买了很多安全产品和设施。当把业务完整的迁到云上以后,这类企业会遇到以前的安全产品如防火墙等适配云环境的问题。如何让旧安全体系及设施在新的环境下流畅过渡和融合?
二是安全设施或者能力较薄弱的企业,如中小企业。在云化迁移的过程中,缺乏安全意识和基础安全构建能力,对于云平台来说,他们需要通过构建基础的安全能力,将企业的安全短板填补起来,再配合安全制度要求及产品解决方案上的引导和日常培训,帮助企业快速完善安全建设。
从技术层面看,不管是哪种类型,云原生都是最有效的解决方案。云原生从字面解读可以是“生于云,长于云,用于云”,是一类技术的统称,通过云原生技术,可以构建出更易于弹性扩展的应用程序。其解决了两方面问题:一是让上云的企业在使用安全产品、安全服务时开箱即用,可以更高效地去构建安全产品。二是可以减少协调、漏洞问题。
云是一个开放式的环境,如果一家企业上云后还要购买不同厂家的产品,同样会面临不匹配、不标准导致的漏洞问题。云原生相当于云厂商已经做了第一道筛选,把好关,减轻了客户自己做选型、测评的难度。
“实现了更标准化,跟云产品体系衔接更加紧密,对客户来说易用性也更高,云原生是未来云安全产品的方向。” 黎巍评价道。
从单点防御走向闭环服务
云作为开放的IT环境和创新的业态,会持续面临不同的安全挑战。企业上云后,尤其规模到一定量级就容易遇到安全挑战,如传统黑客的攻击和商业黑产。首先,针对一些基础的安全问题,腾讯云安全推出了一些包括云原生的产品及解决方案,如数据安全、DDoS防护、云防火墙、主机安全等。
腾讯云安全的产品体系中,闭环能力令人印象深刻。市面上,很多传统厂商擅长单点突破,在垂直领域有不错的成绩。但实际上,企业在数字化过程中可能会遇到来自云端、流量网络侧及终端的多重挑战,单点产品无法满足需求。“我们希望基于云原生安全理念,构建一套覆盖云、管、端的闭环方案,而不是头痛医头脚痛医脚。”黎巍说。智慧安全并非是靠几款产品构建,而是需要统一的智能安全指挥中心,能够统一管控与调度安全设施,能够提供用户整合式的安全服务。
当然,受限于资源、技术、资金等客观条件,并非所有云厂商都能够实现全栈闭环的安全能力,即使像腾讯这样的行业领导者,也必须要通过构建云原生安全生态的形式,引入生态伙伴的互补产品、以投资的方式实协同发力、或是谋求更深度的生态整合以实现技术产品和商机的共享。
对于许多企业来说,云安全投入还仅源自合规需求与业务需求。不过对于腾讯来说,安全是产业互联网的“底座”,当AI、云计算、物联网等数字技术进入深度应用时期,腾讯安全希望更加高效的助力企业跨越安全这道必须面对的“门槛”。