2018年3月21-22日,由中国信息通信研究院主办、中国通信标准化协会支持的"OSCAR云计算开源产业大会"在国家会议中心举行。

随着云计算技术的日益发展,并开始进入“深水区”,开源技术与云计算融合的程度进一步加深,并开始成为产业发展的重要支撑。"OSCAR云计算开源产业大会"将邀请行业内多位大咖与权重人物共同探讨、交流云计算开源技术、研发、治理、产业化方面的经验,探索开源与云计算的创新发展新路径。

以下为360企业安全、云安全事业部总监王亮《私有云场景云安全运营实践》演讲全文:很高兴今天有这个机会能让我把360在私有云场景当中,我们自己在用私有云以及我们在为客户建私有云过程当中碰到的一些问题,跟大家分享一下。

王亮

王亮

我会从三个角度去谈私有云场景的安全问题,第一,我们会先看一下在这个场景当中的需求是什么,然后我们再来看一下私有云场景里面云安全能力的定义,第三点我想看一下360自己在做内部私有云的时候是怎么来处理问题的。

首先来看一下在一个云的场景当中,我们可以把它分成几个不同的参与者,有云的建设方、运营方、监管云和租户方,最终是云的使用者。从不同的视角来看,大家对云安全的认识,以及对云上安全的需求是不一样的。这里面有一些共性的需求,比如说这四方在建设、运行以及监管、使用的过程中都会合规,对安全的运营管理,其实这是一些共性的需求。今天我们有针对云上安全的运营展开一些比较深入讨论。

我们谈到运营,最根本的就是这三点,我们把它总结为PPT,People 、Proccess、Technology.今天主要讲第三点,第一它要对安全事件可见、可管、可分析、和可处置。我们基本上把整个云分为两大部分,在业务层面,Biz—SecOps.第二部分在云的开发过程当中,可能大家比较熟悉就是Dev—SecOps,今天也有一个单独的论坛谈这个话题。

首先看第一点,我们在做整个云上业务时,怎么样保证云端业务的安全。这是一张云上的安全管理完整示意图,刚才各位专家包括各位领导谈到了很多云上的安全,一大特点就是它的防护角度、风险是呈现变化分布的。我们从CIC的安全域上可以看到,如果从国家的整网规范来看,大概200多个贡献点。如果做到云上安全和云上合规的话你要考虑的因素非常多,你要实施的手段也特别多。因此,在云上我们要做到完整合规,能够去防止数据的泄露,防止黑客的攻击,做到可运营的状态,就需要有这样一个非常完整的安全管理平台,能够把所有的安全资源和数据管理起来。通过这个平台,我们可以去做到租户的集中管理,订单的审核以及日志的审计等等,这些东西都可以通过一个界面有一个完整的管理系统。我们的这些安全资源把它虚拟化之后,变成一个安全的资源池,通过上面的API对资源池自己调度,这样的话,能对我的业务系统提供一个完整的防护。实际上就构成了一个非常完整的云安全的管理示意图。

这张图我们目前也希望能够把它做成一个标准化的云安全架构,目前我们也在找一些兄弟单位,包括像阿里云、华为等等,他们也在积极参与当中。我们希望能够用两年的时间把它作为一个云安全的完整架构把它推出来,将来大家再碰到这样的云安全问题时,起码能够做到有一个可参考的能力模型。

如果在云安全中真正使用安全能力的使用者,其实就是租户,因此在一个正常的云的场景中,我们一定要让它作为一个租户的业务形态采购。因此我们内部的私有云,其实我们的整个云的业务也是把它做成一个订单式的,在私有云上各个部门可以在上面订购他认为对他有意义的安全能力,比如说我们做了云上的一些虚拟机的防护,做了云上的危机警报、web防护等等。各个部门因为业务形态不一样,有一些业务部门可能有一些对外的窗口,比如说也有一些云上的游戏等等,可能它会比较偏重对web的防护。我们也有一些对内的部门,比如像财务部门、内部的Ops部门可能注重的是一些内部的数据防泄露,因此大家在云上可以根据自己不同的业务系统去上面采购能够对自己业务强相关的安全服务。

刚才给大家展现的整个云安全管理平台能够做的事就是把整个云上的安全事件收集起来,把它做一个集中的展示,通过这个展示我们就能看到在云上到底发生了什么事情,到底有那些人试图窃取我的数据,试图入侵我的系统。其实这个主要也是从运营者的角度去看整个云安全的能力。

从另外一个角度来看,在云安全上有一个关键的就是核管,即服务的自动编排。这里主要是指安全服务的自动编排,从整个视角来看,这边是云的平台,也就是说类似租户申请的虚拟机的服务,和存储服务,我们要有安全服务的能力,对租户的数据业务进行防护。

刚才我也谈到了,云上的安全组件非常多,我们怎么样把这些组件与它的业务系统绑定在一起,形成一个完整的业务流程,其实这个就是自动编排解决的工作。我们希望它有这样一个编排的能力,能够发现在整个云平台当中,租户的业务到底是一个什么样的业务形态,租户的业务量到底有多大,他采购了什么样的安全服务,这个服务我们现在建议有两种编排方案,内部采用的是手动式拖拽式的编排方案。也就是说租户在购买了服务之后,他又采购了安全服务,他可以自由编排安全的服务以及云服务,我们现在内部采用的是这样一个方案。

未来我们也有可能采用模板式方案,即自动下发策略。用户在采购了云的服务之后,我们会预先定一些模板,这些模板主要是针对未来可能考虑会有一些小白客户,他可能对安全不是特别熟悉,这种情况下你让他拖拽,形成一个有效的策略,这对他的挑战是非常大的,因此我们希望能够预先做相应的模板。当他去采购完服务,以及这些云服务之后,这些策略就可以自动下发到他所采购的安全组件上,形成一个有效的安全防护手段。

还有一点,就是运维的可管。我们可以看到在云上面它的特点是什么呢?多租户的形态,无论我们看到的公共服务,还是社区云,甚至是我们现在碰到的内部的私有云。私有云当中你也可以把它认为是多租户的形态,为什么?各个部门所需要的业务系统和业务能力是不一样的,每个业务系统之间也是隔离的,我们也可以把它看成多租户的形态。每一个组我们都是应该对他的这种业务、对他的运维流程有审计的功能,所以我们建议未来会在整个云平台上面部署这样的虚拟化审计,做到云上的运维可控可管。

刚才讲到的是可视化,下面看看对云上的事件分析和处置的问题。大家知道,2017年发生了很多的安全事件,对我们触动比较大的大概有几件事,一件就是去年的5月12号以及最近在医院发生的勒索情况。黑客攻击的行为往往是勒索,往往是采用赎金的形式获取利益。对于这样的勒索行为,传统的防控手段很难发现它,他会把自己的行为隐蔽得非常好,传统的防病毒对于这种勒索服务器是没有特别好的效果的。因此,在对付这种新型攻击的时候,我们建议要采用跟云端的安全能力结合,在勒索病毒的木马挂马之后,在连接控制点之后,就能够去发现它的木马感染行为,从而在云平台进行阻断。通过这样的方式能够做到对用户的防护。

因此我们看到在对付新的勒索病毒时,安全警报扮演了一个非常重要的角色,我们也在自己的云管平台当中对接了威胁情报,360的数据量大概是几十亿条,而且每天大概以几百万条的数字在增加。通过这种威胁情报的赋能,让整个云安全平台能够让已知的安全威胁,甚至是刚刚发生的一些安全威胁能够有感知,有防护的能力。通过这些对威胁的风险、威胁发生的感知能力,我们可以对它进行一个综合的分析,分析完之后,我们这里会有处置的建议。目前我们还不太建议在云平台上自动做一些处置行为,我们目前的通行做法是把它做成半自动化的方式,一旦发生威胁或者入侵之后,平台马上会发出短信或者邮件,通知给运营者,运营者这个时候要去采用这种手动的方式去做一个处置的动作。这样的话,我们主要是为了避免高附加值的业务,避免因为它的一些自动化的处置导致断网情况的发生。

所以说,如果我们要做整个云上威胁的分析以及处置的话,这里关键的能力就是要跟威胁情况做对接,同时要具备很好的大数据分析能力,它能够对安全事件有一个统一的分析,同时生成建议的处置策略。

通过刚才这些手段,基本上我们可以做到整个云上的完整安全体系。其实我们在整个生产实践过程中也发现,安全涉及的面太宽了,可能不是一家公司能够覆盖得到的,包括360有这么多的产品线,也不可能说覆盖到每一个很细节的点。因此,我们也在整个的云安全建设过程当中,试图建立一个非常完整的生态系统,跟业内的一些安全厂商能够去贡献整个云上安全的完整解决方案。目前我们已经跟国内大概四家公司结成了很紧密的战略联盟,争取能够在云上为我们的企业客户提供一套端到端的合规的安全解决方案。

这部分都是云上的业务系统的安全建设情况。后面是我们在内部做运营开发时碰到的一些问题,以及目前采用的方法。Dev—SecOps的特点是敏捷快速,同时往往就忽略了安全的特性,因此360在内部这个过程当中把安全作为一个非常重要的因素把它嵌入到整个开发和运维的流程当中。Dev—SecOps的核心是把安全向左移动,以前软件上线之后,你发现可能会有bug和安全隐患,这都是在运行过程中发现的,于是就要花很多的时间和精力解决这些问题,这样的话就会花费很多Ops人员的时间和精力,我们希望能够把安全这件事提前到整个预警中去做。

我们内部做过一些测算,如果我们的开发人员能花5%—10%的精力提高安全预警代码的水平,整个Ops这块的工作压力尤其是安全这块的工作压力大概会下降50%以上甚至到80%左右,因此把它加入到Dev—SecOps过程中,看似增加了整个时间,但是从整个时间维度去看,它让开发生产的安全性提高了,而且总的时间成本是下降的。

Dev—SecOps主要是敏捷,我把安全度提高以后,怎么不降低敏捷性,因此我们做了一些自动化的开发工具,它都是自动触发的。比如说代码的提交阶段,研发人员一旦确定要提交代码之后,他把代码分包提交到我们的平台之后,就会自动触发测试这个动作。目前我们内部大概有将近60%左右的测试是完全可以自动化去完成的,因此在触动这个测试之后,60%的工作就在这上面自动完成了,剩下的40%还需要主动去做。

任何一家公司在做产品开发的时候,可能都离不开开源软件,离不开第三方软件系统。我们发现大部分的漏洞都是在开发过程中引入的,比如说前段时间发生的漏洞都是在开发过程中引入的。因此我们在用整个Dev—SecOps的过程中,相对来说我们也是受益者,如果用传统的安全方式去做的话,我们会发现真正你要去做排查的时候,大部分都是用人肉排查内部隐藏的漏洞。如果说在它上线之后,很有可能引入新的安全风险,反反复复做下来是很耽误时间的。目前我们用这种自动化的测试,用Dev—SecOps去做之后,其实我们会把控制点控制在每一次上线之前,也就是说在这个软件包上线的时候,它就会自动去做整个对软件包的测试。一旦发现这个软件包有漏洞的时候,上线系统就会自动阻止软件上线,降低运维阶段发生安全事件的风险,在整个运维生产和运行全生命周期提高我们整个生产效率。

我今天的内容大概就这些,谢谢大家!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2024-04-23 10:25:00
2024-03-16 21:01:07
市场情报 “2024华为云青竹奖”正式揭晓,十大优秀伙伴斩获殊荣
在中国传统文化中,青竹一直被赋予“坚韧不拔、旺盛进取”的深刻寓意。 <详情>
2024-02-26 10:11:52
市场情报 亚马逊位居IDC MarketScape全球云计算和以应用为中心的市场供应商“领导者”类别
对卖家而言,亚马逊云科技Marketplace提供了有效的业务拓展渠道,帮助他们触达全球数百万客户,同时,显著降低销售成本并缩短销售周期。 <详情>
2023-12-18 18:19:00
云资讯 新华网报道|中企通信新推智能化网络安全方案“云网神盾”
中企通信“云网神盾”的突出特点是突破了传统模式,让攻防进退有度。 <详情>