全球正在朝着数字化的方向滚滚前行,我国“东数西算”工程也在2022年全面启动,越来越多的传统企业走上了云端。万物“皆可上云”向着“皆需上云”的趋势转变,根据 GIV 预测,至 2025 年,全球企业云技术使用率将达到 100%。
数字化和云化正在改变一切,同时也带来了新的云威胁。在企业云安全市场爆发的背后,云安全问题日益严峻,和传统安全问题相比,云安全问题更加难以发现,且产生的危害也更加巨大。
越来越多的企业逐渐增加对安全方面的投入,同时细分领域和场景的安全实践推动云安全市场需求水涨船高。如何真正做好云时代企业安全体系建设,在这个过程中存在哪些挑战,未来的发展方向如何?
带着这些问题,FreeBuf咨询有幸邀请到万科集团信息安全负责人吴致远进行访谈,以下为访谈内容实录,由FreeBuf咨询加工整理。
FreeBuf咨询:外界对于安全圈有一些刻板印象,比如高薪、加班、闷骚等,对此您有什么看法?
吴致远:这个因人而异,具体事情具体分析,比如“高薪”就需要看所处的行业,“加班”也是要看每个企业的实际情况,可能有一些工作确实要加班完成;如果事情干完了我也会多陪陪家人。至于“闷骚”我觉得不是那么绝对。
吴致远:安全圈确实有这么个有意思的吐槽,其实“背不背锅”主要看安全团队、业务团队、开发团队以及其他IT支撑团队的关系和责任划分。简单来说,安全是为了更好地促进业务发展,让IT团队更顺利地完成工作,而不是一味地进行阻止,这样大家的关系也许会更融洽一些。当然,前期一定要把相关的责任划分清楚,避免出了问题,责任都落到安全负责人或安全团队身上。
吴致远:我认为这是企业效率和安全之间的平衡,所以斗智斗勇肯定会存在,但是我认为大家的初衷是好的,都是为了公司发展,一方是为了安全,另一方是为了效率,这需要平衡,双方都需要互相理解和协作。但是,有些涉及安全底线的规则需要达成共识,安全部门需要在相应的规则下将安全风险做到可控。
吴致远:我印象比较深的是EDR这方面,虽然国内一些大厂号称有比较成熟的EDR方案,但是说实话和国外一些产品比还是有非常大的差距,我个人比较看好一些细分领域的安全初创企业,他们组织结构更简单,也有足够的热情从头开始打磨产品,期待不久之后国内有更好用的EDR产品出来。
吴致远:这方面的技术我们目前还是落后于国外一些公司,我个人的建议是,在打磨产品的时候我们不一定需要完全迎合甲方的意见。虽然市场很残酷,但是我们更要去把产品做好,大家可以多看看国外的安全产品,例如SaaS化的EDR、云化的EDR等,很多都具备强大的安全能力。
吴致远:希望会有更多的创新性安全产品出现,例如CSPM等,还有一些针对公有云、云原生的安全产品,这些产品在我国还是偏少。
FreeBuf咨询:企业上云时,我国更喜欢私有云,国外更青睐公有云,从安全角度来看,造成这种差异的主要因素是什么?
吴致远:信任是其中的原因之一。我国大量企业没有使用公有云,一个重要原因就是不安全,似乎所有数据都攥在自己的私有云或者数据中心上才安全,随着云安全的迭代发展,实际上在公有云上也一样非常安全,我个人认为租一个数据中心里面的机柜和租一个公有云的物理机,本质上来说没有任何区别。
吴致远:我比较看好公有云。我在万科负责基础架构,也是推动万科整体上公有云的一员。在2022年年底,万科又关掉了一个数据中心,未来还将关闭一个自2020年自建的小数据中心。接下来,万科90%的业务都将在公有云上,只有10%无需上公有云或比较特殊的在私有云上。
企业上公有云的优势非常多。最明显的基础安全、物理安全等都不需要担心,以前在VMware,企业还需要关注底层物理机的状况,现在这些责任都分摊至云服务商。
很多时候我也不太理解,为何私有云会成为主流,而公有云只是辅助,大多数企业都在私有云上,只有部分新兴企业才会上公有云。即便是像万科这样的传统企业,也在私有云上运行了很多年,我们也是在最近三年时间里,才把业务转型至公有云上。
但不可否认的是,在公有云上会给企业带来很大的帮助。资源更加灵活,也更加安全,业务能力更容易拓展,而不需要花费很大的精力部署自己的数据中心来获得能力。
例如,在2021年,万科某个业务部门提出使用AI进行标签识别,以此提升服务质量。如果是在私有云,这个功能会非常麻烦,项目周期预计要6-12个月,而在公有云这块业务实现起来就比较简单,大概只需要一个月即可完成。
这仅仅是其中一个案例,公有云的好处还有很多,例如万科以前将邮件部署在私有云上,存在较多的分支,必须维持昂贵的专线,以及购买相应的邮件安全网关等各种防护手段,但迁移至公有云后,安全问题不需要再担心,因为有一个全球最大的安全产商为我们提供防护,只需要把规则和想要的服务配置好即可。
因此,我个人认为公有云才是未来的趋势,只是不知道国内什么时候能够大规模接受公有云。
吴致远:可能是受传统安全思想的影响,认为数据中心、服务器放在自己机房最为安全,业务、数据握在手中会比公有云更安全。这其实是一个过时的想法,我举个例子,当下企业办公很多人都在使用钉钉、企业微信、飞书等,很多重要的资料也在这些平台上,其实也就放在了公有云上。企业可以接受用微信发送重要文档,却无法接受上公有云,这个地方存在矛盾。也许等大家接受度更高一些,公有云就会成为主流。
吴致远:目前三大运营商也在主推他们的云,但是我个人认为公有云要想占据主流地位,至少需要5-10年,也许还会更久一些。说实话,我个人对于国内公有云市场信心不是很足,腾讯、阿里、华为等依旧还在为企业建设私有云,但是这些私有云未来可能会存在很多安全问题,还有可能无法及时升级,得不到妥善的维护。
吴致远:事实上,私有云的安全性不如公有云,尤其是涉及底层安全时没有办法和公有云团队抗衡,原因在于并不是所有企业都对云很精通,且无法像公有云一样具有规模效应;在云安全建设过程中,私有云也无法和公有云的团队技术实力相比。
另外,私有云在安全建设过程中,更多的是购买各类安全产品,让私有云具备一定的安全防护能力,因此其防护等级和安全人才存在明显的关联性,资源投入充足、安全建设方案优秀,私有云的安全防护能力才会有保障。
公有云则不然,企业在安全人才的关联性远没有私有云那么高,这一点使得企业云安全的下限保持在较高水准,也将大大简化安全部门的工作,安全人员只需认真做好本职工作,不用关心虚拟机、容器等公有云该操心的问题。
吴致远:三年时间里,我们把大部分系统迁移至公有云,整个过程中也把系统梳理了一遍,没有遭遇什么大的安全事件。事实上,从目前企业实践来看,在私有云上出现问题的概率更大,在公有云上的安全问题相对少一些,风险相对也低一些。
另外,万科上层领导也支持向公有云转型,当然期间也遇到了一些阻力。例如内部有人反馈服务器仍旧可以使用;或者在成本计算上存在一些问题等。以前在私有云上,很多成本无法进行分摊计费,但是在公有云上,这笔费用就会比较透明,而且在资源调配上也会有很多好处。
在私有云上,资源哪怕不用也放在那里,因此部门想申请多少资源都可以,但过度申请会让系统变的日益复杂,不仅降低效率,也会带来大量安全问题。上线至公有云后,各部门存在成本分摊,反而会促使他们把系统做的更优,代码写的更好,效率也会更高,对于安全部门来说也是好事。
吴致远:首先,企业必须确认暴露的攻击面到底有多少,以及该如何去修复,这就需要安全对业务有全盘的了解,而不是只关注某个网站,只看到一两个漏洞,需要了解的是业务对于公司用户、收入、品牌等方面的影响,然后确定修复的优先级。
从技术角度来看,某个安全漏洞的可利用性、危害性等非常高,需要尽快修复,但实际上这个漏洞对于企业业务的影响非常小,或者所影响的业务根本不重要,那么其修复优先级较低。反过来也是如此,如果影响的是一个核心或关键业务,那么即便漏洞分值不高也要快速修复,否则很有可能给公司带来重大损失。换句话说,其中关键在于安全部门对于组织的业务是否有深入了解,才能更好评估优先级,才能处理风险管控和运营效率之间的平衡。
FreeBuf咨询:以云为代表的数字化环境离不开API安全,对于这方面您怎么看?
吴致远:数字化时代,API接口正在爆发式增长,自然带来了相应的安全问题。我认为API安全应该引起企业重视,说实话大家以前都有点忽略了它。API建设的重点还是要和现有的安全产品进行集成,例如在WAF上集成API的能力,而不是又单独建设一套API安全产品。
吴致远:是的,我们也正在调研这方面,看看有没有一些成熟的解决方案。就目前情况来看,无论是国内还是国外,感觉这方面都做的不够好,我认为甚至有一些做APM的厂商(Dynatrace)是不是更适合做API安全。因为它本身就会在应用服务器或容器上部署探针,我们也正在寻找该领域比较适合的产品。
吴致远:这个问题的关键点在于,安全部门应该想方设法让业务部门认识到API安全的重要性。例如我们在落地这部分工作时会不停地推一些安全防护手段,也会加大对业务部门的教育力度或者说是沟通力度。
更具体点来说,如果同行某个相似的应用,它的API安全没有做好,导致安全事件给企业带来了严重的后果。那么针对这个案例,我们要和业务部门进行同步分享,让业务部门真切感受到API安全缺失带来的影响,同时上一些相应的安全防护手段,尽量不要大幅降低业务部门的效率,或者影响业务的正常运行,这时候业务部门的接受度会更高一些。
FreeBuf咨询:甲方安全人员在进行安全建设时该如何切入,如何将安全产品更好地组合与集成?
吴致远:安全产品种类越来越多,不少产品之间功能相互交叉,因此在选择时需要了解自己的需求。作为一名企业安全负责人,首先你要了解企业的安全痛点,业务的安全痛点,以及研发的安全痛点等。
从企业安全整体的角度出发,观察是否存在明显的短板,如果有则优先弥补短板。同时还需要构建一个整体安全防护框架,围绕框架将安全功能一点点补齐,避免出现安全“木桶效应”。
吴致远:近年来比较成熟的安全框架已经非常多了,或者是说很多安全框架存在了很长时间。以万科为例,最基础的还是以经典的ISO27001为主,以它作为 PDCA整体的闭环。此外还会有相应的技术框架,我们是以管理框架为基础,引入技术框架,以及一些攻击模型,完善安全防护体系。
吴致远:可能我的想法会和大多数人不一样,我个人更偏向使用SaaS化的一些安全产品,其实这点在国内很多企业的接受度并不高。
我们发现,SaaS类办公类软件已经被国内企业普遍接受,给企业办公带来了极大的便利,其实安全产品也是一样,SaaS类安全产品也会带来不少优势。随着网络攻击威胁不断变化和升级,传统安全产品往往难以应对,但SaaS化安全产品天然可以适应不断变化的安全威胁。例如万科现在使用的EDR产品就是SaaS化,每天都会及时更新威胁情报,避免因为情报滞后性而手忙脚乱。
精彩推荐