【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

腾讯云产品安全负责人 Fooying:企业上云应关注这六大问题

  • 2020-09-08
  • 本文字数:3487 字

    阅读完需:约 11 分钟

腾讯云产品安全负责人Fooying:企业上云应关注这六大问题

从 2010 年至今,云计算在中国的发展已有 10 年。这 10 年,云计算从 1.0 进入 2.0,也有人说从上半场进入下半场。总之,云计算逐渐普及,市场越来越成熟。如今,云原生已经成为云计算发展的主流,以 K8s 为代表的容器生态逐渐壮大。企业上云成为大势所趋,而安全则成为首要的关注点。



上云应该关注哪些安全问题?上云后,企业的安全状况会出现怎样的变化?在云上,用户和云服务商之间的安全责任应该如何划分?… 针对上述问题,InfoQ 记者采访了腾讯云产品安全负责人 Fooying。

云安全

在 Fooying 看来,云安全最早聚焦在防病毒、云杀毒等领域,而现在,人们对云安全的共识则是云计算安全。


那什么是云安全?他说:“我的理解是,基于云计算的一系列安全风险治理、安全解决方案、安全技术等都属于云安全的范畴。不仅有对云平台自身而言的虚拟化安全、多租户隔离等,也有基于云计算环境对企业而言的传统网络、主机安全和新增的云服务安全风险等。”


总结来说,云安全是基于云计算对不同角色的安全问题、需求、技术和解决方案等。

上云后,企业的安全状况会发生怎样的变化?

对企业来说,一旦上云,其安全状况会有很大的变化。上云前,企业技术堆栈比较厚重,系统开发和维护生命周期长。这时候,企业云化的最大驱动力来自于在业务快速变化和发展情况下,企业对 IT 需求交付速度和改善效率提出的要求。


为满足这种高要求,云化应用更多采用了 DevOps 等开发模式,取代瀑布模型等传统应用开发模式,对应的开发工具、平台也会变化,比如传统的 B/S、C/S 架构转变为微服务架构。


随着开发模式的改变,系统的技术栈和底层平台也会发生变化,比如传统上采用防火墙和网络安全域隔离,云上则是 VPC 和安全组等,那么企业所应用的安全产品、策划和管理思想也要随之改变。


Fooying 认为,传统企业,企业主体既是资产和数据的所有者,也是控制者,而云上根据云服务器模式的差别,资产和数据的责任矩阵和传统私有 IT 环境发生较大的变化。此外,还有数据跨境流动和不同区域内标准法规的差异,“这都给企业的数据治理带来巨大的挑战,里面既有合规、治理的问题,也有流程和技术的问题”。

企业上云后面临的安全问题

上云后,企业将两方面的安全问题。首先,云服务用户会面临传统的安全问题,包括数据安全、DDoS 攻击、应用和系统漏洞、针对主机的暴力破解、入侵等。


其次,相对于传统服务架构,云计算有一些新的概念和技术应用,比如虚拟化、多租户等,因此这也会带来一些新挑战。


  • 一是需要关注虚拟化逃逸、安全漏洞等虚拟化带来的安全威胁;

  • 二是企业用户使用云服务的方式不当也会带来一些新风险,比如企业使用对象存储,一旦配置错误就会泄露敏感信息,这样的事情层出不穷。比如 2019 年 4 月,由于错误配置,Facebook 有 5.4 亿用户数据被泄露。


另外,很多云服务支持云 API 操作云资源。但是,一些企业用户会将云 API 的密钥写在代码中,上传到 GitHub,从而导致泄露并被不法分子所利用,影响企业购买的云资源。


除了使用方式不当,云服务用户还面临的突出安全问题有信息泄露、弱密码或配置不当等基线安全、通用漏洞未修复或系统补丁未更新和应用漏洞等,这也导致了出现比较多的数据勒索、入侵挖矿、文件加密勒索等问题。而 Fooying 强调,“大部分还是在于安全意识不当或运维操作不当。”


任何的安全都是相对的,没有绝对的安全。“企业上云是否安全不是由任何单一一方来决定的”。


他说:“从过去的众多案例来看,企业上云,云平台是相对安全的,因为背后不仅有安全专家、专业的安全基础设施,还有完善的安全保障机制、更安全的产品服务和更及时的安全响应等。


反而,企业的内在因素经常会成为不安全的关键点,比如企业员工安全意识不高、危险的信息外传操作、不合理的服务配置、不正确的运维管理、不及时的安全事件响应等。”


从这个角度来看,在云平台足够安全的情况下,企业内部因素才是决定企业上云安全的根本因素,“就像再安全的汽车也需要安全驾驶,再安全的云也需要正确使用”。

云上的安全责任划分和界定

从某种方面说,企业的安全状况在云上会更复杂,因为这涉及划分用户和云服务提供商之间的安全责任。根据 Fooying 介绍,不管是 AWS,还是 Azure,包括腾讯云,都提出了安全责任共担模型,一般是从 IaaS、PaaS、SaaS 三个场景针对不同的层面去界定用户和云平台的责任范畴。



腾讯云安全责任共担


这里,我们以腾讯云为例。腾讯云利用统一的底层架构和资源共享形式,为用户提供所需的网络、存储和计算能力等各种资源,那么腾讯云就有责任保障这些基础设施安全,包括提供安全的云产品给用户使用。


但是,比如用户购买了 CVM(云服务器),那么在 CVM 操作系统层面,包含系统中部署的用户应用,没有用户授权,腾讯云是没有权限去操作的。因此,用户就有责任自己对操作系统进行加固,对部署的应用加固,比如及时更新系统补丁等。


当然,在这个过程中,云厂商也会尽可能的提供产品和功能去帮用户,比如 CVM 的安全组功能、各种安全产品等,用户可以选择搭配,搭建自己的安全防护体系。

云安全的核心能力

在 Fooying 看来,企业可以通过上云,利用云厂商的安全优势,帮助自己建立更安全的 IT 体系。他认为,云厂商在云安全上的核心能力主要体现在三个方面。


第一,足够安全与合规的云平台和云产品,这给企业 IT 体系带来原生的安全与合规性在过去,企业在相关 IT 体系中增加相关服务,这意味着可能带来新的安全风险,即新增的服务可能由于其存在安全漏洞等问题导致企业 IT 体系引入安全漏洞。这反而增加了风险。所以,企业需要相应地投入安全人力去进行风险收敛。而使用原生安全的云设施和服务,企业就不用过多精力去关注这些基础服务和产品默认安全,这也提升了企业 IT 体系安全性。


第二,提供更灵活、更统一、更原生的安全功能与产品,企业可以使用这些安全功能、安全产品来构建自身的安全体系。另外,这些原生的功能与安全产品天然地与云平台适配,既可以高效的发挥作用,也能更灵活的动态扩展。同时,类似云防护等场景,基于云平台的整体能力可以实现理想化的防护阈值,避免硬件的限制等问题。此外,过去传统安全系统常常面临各自作战、完全堆砌的问题,即不同安全系统可能无法实现数据互通、策略联动、统一管控等问题,而云原生的安全产品和系统则更统一化、更标准化。


第三,增值的安全服务与能力。“虽然谈到安全责任,我们总会说责任共担模型,但实际上作为云平台,总是会尽可能帮用户去保障安全,比如腾讯云会通过内部安全团队建立安全情报的监测机制,这样在可能威胁到用户的安全问题爆发前或第一时间通知用户,发挥预警作用,这样可以帮助用户避免或减少由此带来的损失。”他说。

企业上云需要关注的安全问题

从腾讯云鼎实验室的长期观察来看,企业上云应该主要关注下列问题:


  • 信息泄露:因员工安全意识不到位而导致(像云 API 密钥、运维相关账号密码等)泄露,这可能造成云资源直接被黑客控制甚至销毁等。

  • 云服务配置不当:这需要正确的使用云服务,使用云服务提供的安全功能进行安全加固和配置,避免由此带来的数据泄露等问题,比如 COS 配置不当导致数据泄露。

  • 运维不当导致的安全问题:比如自建服务需要进行访问限制,避免主机和相关服务设置弱口令等,这些都可能成为黑客入侵的利用条件,例如 Redis 未授权访问导致的入侵问题。

  • 通用组件及系统漏洞:业务中使用的一些通用组件及操作系统会不定期的爆发新的安全漏洞,需要及时修复与更新补丁,否则也会被黑客利用,比如永恒之蓝等系统漏洞。

  • 客户自身业务系统的安全问题:不管是上云或传统安全,这方面的安全问题一直是持续存在的,也一直在被利用,例如业务系统中出现的命令执行漏洞等。

  • DDoS 攻击问题:尤其是一些核心系统,恶意的 DDoS 攻击等可能导致业务中断。


Fooying 认为,不管是企业自己进行安全加固,或者使用云安全产品进行防护,其实都应该重视这几类问题并建立对应的防御手段。另外,“建议善用云平台提供的安全功能与产品,比如很多时候,针对企业资源,使用 VPC 和安全组等做好网络划分和访问限制,就能避免很多安全攻击”。

写在最后

正如本文开篇所说,安全是企业上云的核心关注点。在“云原生”成为主流的今天,安全上则相应的出现“云原生安全”。不过,不管是什么新概念,对企业来说,云化是趋势。“云化过程中,传统安全问题会一直持续存在,而新产生的安全威胁则成为企业需要额外关注的点“。


Fooying 表示,“不管是传统安全,还是新产生的安全威胁,企业应该学会安全的使用云,善用云的安全能力。”


嘉宾简介:


Fooying 是腾讯云产品安全负责人、腾讯安全云鼎实验室高级安全工程师,他主要研究企业安全建设、漏洞攻防、安全自动化、服务器安全与应急响应等。


2020-09-08 09:002425
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.4 次阅读, 收获喜欢 1794 次。

关注

评论

发布
暂无评论
发现更多内容

小程序生命周期解析(从概念、启动、运行、销毁场景的全面解析)

天津汇柏科技有限公司

小程序开发 开发小程序

墨天轮2023年度数据库获奖名单

墨天轮

数据库 opengauss oceanbase 达梦 polarDB

AI给我们带来哪些方面惊喜呢?

小齐写代码

不懂技术也能轻松搭建网站!美国虚拟主机的简易指南!

一只扑棱蛾子

虚拟主机 美国虚拟主机

专精特新“广东造” | 华大北斗:从“芯”出发 挺起产业“脊梁”

江湖老铁

华为云软件开发生产线CodeArts前端DevOps实践

华为云PaaS服务小智

云计算 软件开发 华为云

青否交互式数字人的两种互动方式!

青否数字人

数字人

青否数字人源码7.0更新支持直播无限续写功能!

青否数字人

数字人

什么是DevOps

华为云PaaS服务小智

DevOps 软件开发

【线上直播】KaiwuDB 分布式系统 Range Split & Merge 原理详解

KaiwuDB

数据库 数据分区

万界星空科技电子机电行业MES系统,2000元/年起

万界星空科技

制造业 mes 电子 电子mes 电子行业

深耕人工智能技术创新,天翼云荣获AAAI 2024竞赛冠军

编程猫

SD-WAN如何降低运维成本、简化运维工作?

Ogcloud

SD-WAN 企业网络 SD-WAN组网 SD-WAN服务商 SDWAN

听 GPT 讲 client-go 源代码 (12)

fliter

AI Agent深入浅出——以ERNIE SDK和多工具智能编排为例

飞桨PaddlePaddle

百度 BAIDU 百度飞桨 开发者说 AI Agent

海上风电:2024智慧海上风电场数字孪生系统

2D3D前端可视化开发

智慧电力 三维可视化 智慧风电场 智慧海上风电场 数字孪生风电场

Web3.0区块链技术开发方案:mint铭文铭刻制度开发

区块链软件开发推广运营

dapp开发 区块链开发 链游开发 NFT开发 公链开发

真香!NineData SQL 开发全面适配 GaiaDB

NineData

数据库 百度云 数据源 NineData GaiaDB

即时通讯技术文集(第33期):IM开发综合技术合集(Part6) [共12篇]

JackJiang

网络编程 即时通讯 IM

2024年API经济的十大预测

幂简集成

API API经济

听 GPT 讲 client-go 源代码 (11)

fliter

Native Instruments Kontakt 7 for Mac v7.8.1激活版下载

iMac小白

测试管理进阶 | 量力而行:避免成为替罪羊

测试人

软件测试 测试开发 测试管理

基于 Fluid+JindoCache 加速大模型训练的实践

阿里巴巴云原生

阿里云 云原生 Fluid

Google Adsense探索系列_第二弹(成功通过审核)

fkys

网站 Google 审核 adsense

graphpad prism for Mac(专业医学绘图工具) v10.2.0激活版

iMac小白

金芮学院派的优秀践行者

Geek_2d6073

JavaScript 的新数组分组方法

EquatorCoco

JavaScript 数组 开发语言

6个受欢迎的 Angular 库

伤感汤姆布利柏

A Comprehensive Guide IPQ5018-IPQ6010-IPQ6018-IPQ8072-IPQ8074

wallyslilly

IPQ6010 ipq6018 IPQ8072

Aiseesoft AnyCoord for Mac(GPS虚拟定位软件) v1.0.36激活版

iMac小白

腾讯云产品安全负责人Fooying:企业上云应关注这六大问题_安全_万佳_InfoQ精选文章