Q1:相较于公有云和私有云,专有云场景下的安全管理工作都有哪些特点和难点?洪春华:我们看到很多行业和企业因为自身业务发展的需要以及政策法规的要求,采用了专有云方案。对于一个行业或大型企业来说,这个专有云就相当于他们自身的“公有云”,也就是说这朵云采用的是公有云一般开放的形式去服务不同的业务,比如企业的子公司。那么同理,我们就可以看一下腾讯公有云的安全管理运营模式。首先是平台的安全工作是由云服务商来提供的;而租户安全,基于公有云的“责任共担模型”,租户需要选择云服务商所提供的安全产品和工具来保障自身的安全。当然云服务商也会针对一些严重的、大范围的安全事件提供应急响应服务。所以,专有云安全管理的难点,主要在于采用专有云的企业能否如上所述一般,构建出一套完整的安全管理模式,这包括专有云平台的安全,是否有充足的团队和资源来保障;以及租户安全保障,每个子公司、下属单位的业务都有差异,其中的职责和权限都需要探讨。Q2:针对专有云安全的防护难点,企业应该做出哪些改进?洪春华:先举个反例,我们遇到很多企业客户会把传统安全产品和设备,比如防火墙、IPS(入侵防护系统)直接照搬到云上,这种方式局限性很大,非常的不“云”。云服务的典型特定有弹性、动态性,而传统的这种方式很难弹性扩展、更难以防护动态变化的资源,容器化等更是加剧了这种场景。针对这专有云的这些问题,我建议企业需要用云的方式来解决云上的安全问题。借助云的特性构建弹性可扩展的安全防护体系,采用“端、管、云”的安全管理策略来进行管理。这里的端就是我们的主机安全部分,管则是要从流量侧发现安全问题,最后再把端和管的数据汇总到云上的安全运营中心做统一的分析和管理。至于传统安全产品“水土不服”的情况,我建议可以考虑一些适用于云环境的产品来弥补传统产品的不足。比如强调行为分析和异常检测的NTA(高级威胁检测系统沙箱+探针),或是融合了大数据智能分析、安全编排、自动化响应和安全可视化这些功能于一体的专有云安全运营中心(下称专有云SOC),通过这些产品都能有效提升企业云上的安全水平。最后,前面提到的平台租户责任划分和多级管理的问题,可以采用多租户安全运营模式,让下属的单位也参与到安全运营的工作中来,在专有云内实现责任共担,让下属单位自理安全运营、总部负责监管,这样就能从根本上解决问题。Q3:针对不同行业的专有云用户,如政府机构、金融行业、传媒行业等,专有云的安全防护有没有差异点?洪春华:不同的行业,根据自身业务模式的不同,对于安全防护的需求也是不一样的。以广电行业大型国企的情况为例,企业的媒体内容制作生产的过程中,对安全的需求是非常高的。比如在制作一部网络视频作品时,首先会把录制组拍好的视频素材储存到内部偏私有云的环境中,交给制作组进行编辑制作;作品完成后,会被转移到专有云中另外负责对外输出的端口上,通过公有云上的CDN,也就是内容分发网络发送给观众。这个过程不仅涉及了多个业务部门的协同工作,还包含了专有云+公有云的混合云架构。这就要求企业的安全管理部门在进行安全管理工作时,要把多云安全管理工作融合在一起,再通过态势感知功能,对专有云内部的安全态势、平台态势、业务态势进行一个统一的管理,构建“混合云态势感知平台”。Q4:在专有云安全管理工作中,AI发挥了怎样的作用?洪春华:在安全管理工作中,AI主要的作用是对安全事件进行识别和自动化分析,即提高安全事件的发现能力和处理效率。一方面AI能够通过异常检测、时序分析这些方法,从大量的网络活动中检测出风险行为。另一方面,考虑到那些使用专有云的企业,安全管理部门每天收集到的安全事件的数据量是非常大的。我们的专有云SOC中就集成了基于 AI 的自动化分析功能,以辅助提升专有云的安全管理效率和自动化程度。具体来说,通过机器学习、自然语言处理等技术构建安全知识图谱,再以这个图谱为基准,从大量的安全告警中摘出重点攻击活动、发现新型攻击方式并通报给运营人员,提升他们的分析、响应的速度。除此之外,AI还会自动学习和记录运营人员对安全事件的处置方法,未来再遇到同样的安全事件时,会基于过往积累的经验给出安全处置建议,也在一定程度上降低了对安全运营人员的专业水平的要求。Q5:为抵御外部攻击,很多企业购买了大量安全产品,这样可以完全防范外来的网络攻击吗?重保时期外部网络攻击尤为集中,腾讯安全在这方面有什么解决方案?有哪些实际案例?洪春华:企业在构建专有云时购买多种如NIPS(网络入侵防护系统)、IDS(入侵检测系统)这样的安全产品并部署到云中,这其实是一个非常普遍的现象。虽然多种安全产品叠加确实可以保护云环境的安全,但是在遭到外部攻击时,会产生大量安全告警信息,最终形成“告警风暴”,而真正值得注意的信息则淹没在风暴之中。不仅会降低工作效率,还会让真正具有威胁的网络攻击趁虚而入,让整个专有云环境安全都受到威胁。重保时期对于安全告警处理效率的要求会很高,而这个效率又分为检测和响应两个部分。检测效率,体现在NTA(高级威胁检测系统沙箱+探针)和主机端对于安全威胁检测的速度上;响应效率就要求对那些检测出来的安全威胁要进行快速阻断。而为了保障重保时期的云安全,这两个效率需要一个统一的大脑,也就是专有云SOC来进行统一分析调度来保证安全防护工作的顺利进行。