當前，我國全面進入云和數(shù)字化時代，云是數(shù)字化轉(zhuǎn)型的底座，是新一代基礎(chǔ)設(shè)施建設(shè)的基礎(chǔ)。云開始承擔越來越多的使命，不僅云上資產(chǎn)越來越重要，云上攻擊也愈演愈烈。同時，云計算顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全實踐，給安全防守帶來了許多新的安全挑戰(zhàn)。

(相關(guān)資料圖)

對此，在“2023云安全高峰論壇暨青藤品牌升級發(fā)布會”上，來自產(chǎn)學研用各方的專家，就“云時代，網(wǎng)絡(luò)攻防對抗的發(fā)展演化”主題，針對云計算帶來的安全變化，云安全防護發(fā)展趨勢，開源軟件安全風險，云安全托管發(fā)展前景，多云安全體系建設(shè)等問題開展了圓桌討論。主持本次討論的專家是青藤云安全副總裁萬京平，參與本次討論的嘉賓有北京大學教授、網(wǎng)絡(luò)與信息安全實驗室主任陳鐘，中國信通院云大所開源和軟件安全部主任郭雪，首都在線CTO王春發(fā)，北汽福田汽車股份有限公司基礎(chǔ)設(shè)施及信息安全部負責人張志強，浪潮云安全產(chǎn)品總監(jiān)王禹博。

主持人：云計算，讓安全保護對象、安全管理、應(yīng)用架構(gòu)等都發(fā)生了根本性變化，那么云計算，到底給安全帶來了哪些本質(zhì)變化？請陳鐘主任、郭雪主任從產(chǎn)業(yè)的角度為我們分享；請志強總、春發(fā)總、禹博總站在攻防實戰(zhàn)的角度為我們分享。

北京大學教授、網(wǎng)絡(luò)與信息安全實驗室主任陳鐘：

現(xiàn)在上云已經(jīng)是一個不爭的事實，今天我們看到各種云化的應(yīng)用。過去，為了實現(xiàn)云計算的集中管理，催生了軟件定義網(wǎng)絡(luò)SDN?，F(xiàn)在，業(yè)務(wù)上云后，你的計算在哪，安全防護也在哪，改變了原來攻防不對稱的形態(tài)。這既有好的一面，可以動態(tài)調(diào)度云上的各種資源對安全攻防進行支撐；這也有壞的一面，資源過度集中以后，使得自動化攻擊變得更加便利。

同時，隨著AI大模型、GPT等出現(xiàn)以后，云計算架構(gòu)還在變化，特別是在計算、存儲、CPU加速方面會有一個新的結(jié)構(gòu)性的調(diào)整。青藤預先提出一些先進的、創(chuàng)新的云安全解決方案，正在適應(yīng)這種變遷。未來當AI人工智能融合到更多工具服務(wù)中的時候，我們的安全也能迅速跟得上。

中國信通院云大所開源和軟件安全部主任郭雪：

我說幾點我自己的感受。

?首先，云計算極大地提升了信息系統(tǒng)建設(shè)速度，所以安全的建設(shè)速度也要加快，以匹配信息化建設(shè)的速度。

?其次，未來云和安全一定是深度融合發(fā)展的，需要從研發(fā)階段就去關(guān)注安全，所以云計算給安全帶來的第二點重要變化就是云原生安全。

?然后，大家都比較關(guān)注云上安全責任的問題，因為云安全面臨的是建設(shè)方、運營方、租戶、安全廠商等多方責任，所以云上安全責任的界定是很重要的問題。?最后，云計算的發(fā)展對云安全建設(shè)提出了更高的要求。

北汽福田汽車股份有限公司基礎(chǔ)設(shè)施及信息安全部負責人張志強：

我們目前也在做數(shù)字化轉(zhuǎn)型，云是必備的數(shù)字化底座之一。我們擁有一個成熟的混合云架構(gòu)，這也讓網(wǎng)絡(luò)邊界越來越模糊，安全風險增加，這是很多上云企業(yè)的通病。下面我從三個方面簡單說一下云時代的安全變化：

?首先，在技術(shù)方面，隨著容器和微服務(wù)架構(gòu)等新技術(shù)的應(yīng)用，給我們帶來了新的安全風險，安全防御也需要升級。

?其次，在管理方面，我們面臨的最大問題是如何實現(xiàn)高效的云安全運營，這需要云技術(shù)團隊和安全團隊的高效融合協(xié)作。

?最后，在人員培養(yǎng)方面，我們需要專業(yè)的云安全運營管理人才，實現(xiàn)企業(yè)數(shù)字化轉(zhuǎn)型中的云安全建設(shè)。

首都在線CTO王春發(fā)：

我們是做云計算的公司，在全球有很大的一張網(wǎng)，我們對云安全非常重視。

?首先,如果讓我建立一套完整的安全體系,第一步會先建立資產(chǎn)清點能力。因為云上有很多動態(tài)資源,比如虛擬機,虛擬的網(wǎng)絡(luò)定義,虛擬的網(wǎng)絡(luò)存儲,這讓資產(chǎn)清點難度非常大。

?其次，我們的客戶和我們自身，都在用微服務(wù)架構(gòu)和容器技術(shù)，容器的生命周期非常短，這使得網(wǎng)絡(luò)攻擊溯源非常難，這也是我現(xiàn)在碰到的難題。

?最后，因為所有容器共用一個操作系統(tǒng)，單個系統(tǒng)漏洞風險會在整個集群廣播，使得風險擴散速度非常快，管控難度非常高。面對這些云上安全的新變化，我們期望和青藤這樣的云安全廠商深度合作。一是可以加深我們云底座安全；二是我們的客戶也可以享受到多樣化的云安全產(chǎn)品。

浪潮云安全產(chǎn)品總監(jiān)王禹博：

剛才春發(fā)總講的很好，我們都屬于云服務(wù)商，所以云計算給安全帶來的這些困難和麻煩我們感同身受，我簡單再補充兩點。

?首先，大家關(guān)注的云上安全責任共擔模型，這是云計算出現(xiàn)之后給安全帶來的挺新穎的變化，它區(qū)分了云租戶和云服務(wù)商各自的責任點。

?其次，利用云計算本身高算力和一體化的特性，能夠讓安全產(chǎn)品發(fā)揮更好的價值和效果，實現(xiàn)統(tǒng)一、融合的云安全管理。主持人：針對云安全防護，市場上有兩種主流做法。一是通過虛擬化安全資源池的形式，包括虛擬防火墻、虛擬WAF等；二是基于云自身特性做安全防護，例如基于容器的DevSecOps全流程安全，這兩種方式未來發(fā)展情況各位專家怎么看？

首都在線CTO王春發(fā)：

剛才提到一個概念DevSecOps，我認為它確實解決了傳統(tǒng)安全模型解決不了的安全問題，把安全團隊、安全管理引入到開發(fā)、測試、上線的整個過程，在CI/CD過程都可以看到安全的影子，比如代碼的掃描、漏洞的掃描、安全管控等等。我列舉兩個例子：

?首先，我們所有研發(fā)人員在提交代碼的時候都會進行代碼安全漏洞掃描，這個過程是完全自動化的。

?其次，DevSecOps本身有很重的安全運維過程，這是傳統(tǒng)的虛擬防火墻、WAF、主機安全、抗DDOS不能替代的。

北汽福田汽車股份有限公司基礎(chǔ)設(shè)施及信息安全部負責人張志強：

我想從業(yè)務(wù)角度回答這個問題，我們現(xiàn)在的業(yè)務(wù)形態(tài)多種多樣，有傳統(tǒng)的，也有云原生化的，這兩種形態(tài)在未來一段時間會共存。傳統(tǒng)型業(yè)務(wù)需要防火墻和虛擬WAF等進行南北向安全防護；另外一種云原生化的業(yè)務(wù)，我們會采用云原生安全的方式去做，把現(xiàn)在所說的這些安全功能揉進去。比如我們引入VSOC，同時把青藤的入侵檢測能力整合到我們整體的安全架構(gòu)中。所以說，基于企業(yè)的業(yè)務(wù)形態(tài)，傳統(tǒng)虛擬化資源池的安全防護方式和云原生安全的防護方式會共存發(fā)展。

主持人：2019年，中央網(wǎng)信辦、國家發(fā)改委、工信部、財政部4部委聯(lián)合發(fā)布《云計算服務(wù)安全評估辦法》，旨在提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平。那么針對當前開源軟件的安全風險，各位專家是如何看待的？

北京大學教授、網(wǎng)絡(luò)與信息安全實驗室主任陳鐘：

云計算快速發(fā)展，其中開源軟件扮演了非常重要的角色。因此，開源軟件安全問題就變得非常重要了。本來開源是眾人之眼，大家都看著它，它的安全性應(yīng)該是很強的，但是我們發(fā)現(xiàn)，很多開源軟件會突然爆發(fā)高危漏洞。我們國家對開源軟件的安全高度重視，在制度建設(shè)、標準研制、技術(shù)研發(fā)上都在全力突破，希望更好地應(yīng)對開源漏洞帶來的風險。

中國信通院云大所開源和軟件安全部主任郭雪：

開源應(yīng)用非常廣，我的團隊一直在運營金融開源社區(qū)、通信開源社區(qū)、汽車開源社區(qū)，我們會定期調(diào)研開源的應(yīng)用率。根據(jù)最新調(diào)研數(shù)據(jù)，大概34%左右的企業(yè)開源組件數(shù)量達到上萬水平，同時還有約3%的企業(yè)開源組件數(shù)量達到了十萬以上。這種情況下，我們一定要關(guān)注開源軟件的安全問題。當然，開源的問題非常復雜，除了漏洞之外，還有知識產(chǎn)權(quán)、許可證、持續(xù)性等問題。這里重點說一下，做好開源軟件安全管理首先要做好資產(chǎn)清點，之后再做進一步的安全保護。

主持人：隨著數(shù)字化進程逐步深入，網(wǎng)絡(luò)安全壓力與日俱增，企業(yè)單純依靠自身能力管理網(wǎng)絡(luò)安全已經(jīng)分身乏術(shù)。這種情況下，托管服務(wù)成為各行業(yè)用戶提升安全水位、化解安全風險的有效措施。各位專家如何看基于云的MSS、MDR安全托管服務(wù)在中國的發(fā)展前景？

北汽福田汽車股份有限公司基礎(chǔ)設(shè)施及信息安全部負責人張志強：

為什么我會積極引入MSS服務(wù)方式。首先是因為技術(shù)沉淀不足，我們信息安全人員的技術(shù)沉淀，沒有想象的那樣強大。其次是我們的業(yè)態(tài)發(fā)生了很多變化，很多應(yīng)用要實現(xiàn)移動化，意味著很多業(yè)務(wù)要發(fā)布到公網(wǎng)上，這使得網(wǎng)絡(luò)攻擊面增大了。

為了應(yīng)對這些問題，我們打造了統(tǒng)一聯(lián)動的安全運營體系，做成了可視化風險處置平臺，管理員只需要看一個大屏，就可以處理我們集團18個地點的安全事件。當然，并不是說有了這些安全防護手段就可以高枕無憂，其實還差得遠。我們需要自己去打自己一鞭子，所以我們引入攻擊模擬去測試安全防御能力。在這個過程中，我們發(fā)現(xiàn)自己的運營團隊跟不上節(jié)奏，需要借助專業(yè)的安全服務(wù)團隊進行威脅分析，讓我們及時發(fā)現(xiàn)、及時處理風險事件。以前我們認為一定要培養(yǎng)自己的人來做安全運營。但實際上這種思路需要改變。我們可以和安全廠商深度合作，借助專業(yè)的安全服務(wù)，效果更好。

主持人：企業(yè)數(shù)字化轉(zhuǎn)型過程中，大多會選擇“多云環(huán)境”的模式，這種模式帶來便利的同時，也衍生出很多新的安全風險，比如復雜的配置問題、權(quán)限、策略等問題。那么，多云場景下，企業(yè)在搭建安全防護體系時，應(yīng)該重點關(guān)注什么？比如安全監(jiān)測及管理等方面，各位專家能否給大家一點建議？

浪潮云安全產(chǎn)品總監(jiān)王禹博：

針對云上安全防護建設(shè)，我從三個方面來說一下。

?首先，是資產(chǎn)的全面梳理，要特別關(guān)注API安全。傳統(tǒng)的主機層、服務(wù)層以及端口層大家基本上都能覆蓋，但是API安全做不好會導致更多的數(shù)據(jù)泄露。所以我覺得第一點是全面的資產(chǎn)梳理。

?其次，需要重點關(guān)注身份權(quán)限管理。因為在云上部署多類應(yīng)用，身份權(quán)限管理會面臨更為復雜的情況。

?最后，是要建立安全運營體系。從攻防角度來說，新的攻擊手段層出不窮，防御體系也需要動態(tài)變化，這就需要一套不斷優(yōu)化迭代的安全運營體系。不管是基于人+工具+流程的PPP，還是基于AI+大數(shù)據(jù)的智能融合，安全運營都是云上安全建設(shè)不可避免的一個環(huán)節(jié)。

小編總結(jié)：

從各位專家的闡述總結(jié)來看，近幾年我國的云計算產(chǎn)業(yè)一直處于高速發(fā)展時期，越來越多的企業(yè)為了實現(xiàn)數(shù)字化轉(zhuǎn)型，紛紛選擇業(yè)務(wù)上云，其業(yè)務(wù)也呈現(xiàn)出開放互聯(lián)、高效運轉(zhuǎn)、結(jié)構(gòu)復雜、快速變化等特點。這些新特點給安全帶來了更為艱巨的挑戰(zhàn)。傳統(tǒng)安全在云和全面數(shù)字化變遷過程中能力有限。新時代，需要新安全。安全需要適配云的基礎(chǔ)設(shè)施，充分API化，能夠融入到業(yè)務(wù)中去，能夠高速迭代和演進。簡言之，就是實現(xiàn)“業(yè)安融合”，具體表現(xiàn)為以下四個特征：

?敏捷：能夠跟上企業(yè)業(yè)務(wù)和安全威脅的快速變化，具備敏捷發(fā)布和部署的能力。

?高效：在爆炸式海量數(shù)據(jù)和行為中實時發(fā)現(xiàn)并根除風險和威脅。

?智能：能夠基于AI進行智能化分析，提高安全防護效果。

?連接：能夠?qū)崿F(xiàn)人與人、人與系統(tǒng)、系統(tǒng)與系統(tǒng)的連接。

我國已經(jīng)全面進入了云和數(shù)字化時代，順應(yīng)云安全發(fā)展趨勢，建設(shè)有效的云安全防護體系，成為數(shù)字經(jīng)濟發(fā)展的重要保障。

本文來源：財經(jīng)報道網(wǎng)

關(guān)鍵詞：