0
作為一個熱愛看喪尸片的女編輯,我曾被多位雷鋒網同事吐槽口味很重。
天啦嚕,我只是喜歡看喪尸圍城這種精彩刺激的情節,哪像有些同事去排隊搶過優衣庫與KAWS合作T恤,這才是現實版“僵尸大戰”好么?
賽博世界的“另類喪尸臨城”也很有意思。
一種是喜悅劃過嘴角,業務量上漲,尤其如果平臺搞了大促,用戶一擁而上,這種簡稱為“人肉版”DDoS。還有一種是正經 DDoS,別想了,就是有人要搞你,比如最常見的游戲業,如果一款游戲爆火,它的安全做得又那么隨意,眼紅的競爭對手可能要派攻擊者來搞一把 DDoS。
這類“僵尸大軍”會堵在“門口”,不讓真正的用戶使用業務,或者頻繁無效地搶占業務入口,搞癱系統。可怕的是,發展到現在,黑產已經可以用少量的帶寬打出巨量的 DDoS 攻擊,輕而易舉地把一個系統打趴下。
就像懵懂無知的年代,如果一個男生被欺負,可能會憤憤不平地對方說:放學你別走。然后,找一堆“兄弟”前去助陣。
一般企業平常沒有儲備對抗上T大流量攻擊的能力,但他們想到了一個辦法——上公有云,號召五湖四海的“兄弟”,一起抗衡超大流量的攻擊。
我們把這種動作稱為“云化”。
換了一個環境,安全迎來挑戰,很多安全公司提出了自己的解法和產品,甲方爸爸要做的就是捋清楚自己的需求,花錢購買安全產品和服務,像串羊肉一樣串好自己買的“武器”,這是一種解法。
另一種解法則是由公有云安全廠商提出,他們的理念是,既然我們提供了最好用的云,我們也要提供最好用的云安全產品和服務,后者的核心是“云原生安全能力”。
云的原生安全能力有什么不一樣?以占據國內公有云市場大半江山的阿里云為例。
既然強調“原生”,與前一種解法的不同當然是“統一”:統一的身份接入、統一的網絡安全連接、統一的主機安全以及統一的整體全局管理。
無論是將軍帶兵打仗,還是企業安全守衛者與攻擊者對陣,最重要的一條兵法就是“知己知彼”。云原生安全能力中的其中三項能力都是為此努力。
第一,了解自己有什么,邊界線在哪里,有哪些薄弱點,哪里正在遭受入侵。
云的天然優勢是“網絡的虛擬化調度能力”,企業可以清晰的看到自己主機東西南北向的流量,統一管理好自身邊界安全問題,包括對外的安全邊界以及內部資產之間的安全邊界,公網資產暴露情況、端口暴露情況,甚至是正遭受攻擊的情況一目了然。
第二,如果說第一條是從自身角度出發,我們還需要知道“大局”。
云具備實時的全網威脅情報監測和分析能力,打破單點視線的局限,知道整體環境的“變化”。但這還不夠,如果一有風吹草動,士兵就得出動勘察及作出行動,對于現實戰爭而言,可能還可行,但是對于網絡威脅而言,完全行不通,天知道浩如煙海的威脅告警中哪些應該真正值得注意?就算人力可以分析,問題是沒有這么多人力可以實時待命,所以從發現威脅到主動防御的自動化響應是一項迫切的要求。
第三,我要知道什么人是我的員工,員工是否正在干權限范圍內的事情,但是如果企業內部業務系統太多,怎么辦?當企業擁抱云并享用SaaS級服務帶來效能的同時,基于云的統一身份管理認證成為關鍵。
企業安全事件中有接近50%都是員工賬戶權限問題導致的。基于云的 API 化等原生能力,企業可以對身份權限進行統一的認證和授權,并可以在動態環境中授于不同人不同權限,讓任何人在任何時間、任何地點,以正確、安全、便捷的訪問正確的資源。
安全的本質是為了保障業務的連續、順利進行,如果還能提升業務效率,簡直就是享受買一送二的增值喜悅。
云原生安全能力的后三項是為“知彼”準備的。
它堅守的第一條準則是,“我知道攻擊者一定都是時時存在,并且鍥而不舍,所以我要把自己打造得更安全”。將安全下沉到底層硬件與可信環境是一種選擇,但是困境依然是:沒人沒錢,成本高,但是云原生內置的安全芯片就不一樣了,公有云廠商將安全芯片的底層硬件能力開放給使用者,并構建可信環境,很簡單,不需要用戶自己辛苦布人布局,且“眾籌”給公有云的成本要低很多。
第二條準則是,“我知道攻擊者一定會盯上我最寶貴的數據,我知道它想要這個”。未來隨著數據安全、用戶隱私數據保護要求越來越高,全鏈路的數據加密一定是云上企業的最大需求。基于云原生操作系統的加密能力,秘鑰由企業自己保管,無論是云服務商、外部攻擊者、內部員工沒有秘鑰都無法看到數據。
第三條準則是,“我知道無論自己怎么預防,攻擊者都會來,所以我要比預防還快一步”。在云和互聯網模式背景下,業務的頻繁調整和上線對業務流程安全提出了更高的要求,從源頭上做好安全才能消除隱患。基于云的原生能力,安全可以內置到全流程的設計開發過程中,確保上線即安全。
問題來了,企業上云不是一個一蹴而就的“動作”,而是一個時間跨度比較長的過程。越是大型的企業,歷史包袱越重,上云的時間越長。
還有一些企業自己的業務做得好好的,本來沒有上云的需要,突然要做一些創新的業務需要上云。
因此,可能出現一個在“公有云”“私有云”“專有云”中排列組合游戲:混合云,也就是說,企業中可能有好幾朵云,那么,這與公有云的云原生安全能力所說的“統一”又有什么用,難道能在本地與公有云,或者幾朵云中共用一套云安全方案嗎?
有這種解法。
阿里云智能安全總監葛岱斌說,混合云安全方案的形成其實靠用戶發展需求或者遭遇的安全事件驅動。
【葛岱斌,每次想到這個辛苦打造的方案,他就露出蒙娜麗莎式微笑】
有一家企業用了四朵云,并用專線把四朵云打通,一天,企業發現自己遭遇了蠕蟲式病毒,剛開始,他只在阿里云上應用了云安全中心,心想要不也在其他幾朵云上部署一下安全中心,看看其他云有沒有受到影響,結果發現其他云已經中毒了。
這是第一個需求:能否給四朵云應用同一套安全中心,就像一個有錢業主在四個小區都有房,業主心想:這四套房要是都由同一個物業公司管理,有一樣的安保系統就好了。
還有一種需求是,降低運營成本,保證業務的連續性,就像開頭提到的“僵尸大軍”的故事一樣,把本地接口交給公有云,扛住攻擊。
但是混合云還有“天然的基因缺陷”:不一樣的資源管理、不同的底層架構、不一致的安全工具。
葛岱斌思考,混合云安全主打的云原生安全能力應該落在四個方面。
采用混合云時,安全的邊界變得模糊不清,怎么縮小邊界?
身份成了最小的邏輯邊界。
“這時需要一個統一的身份認證,到底有哪些人可以訪問應用,如何訪問,有哪些應用的權限。以前做法是內外網分屬不同系統,我們希望給他一個統一的身份認證體系,不管是外網用戶還是內網用戶,無論認證源是設在公共云還是在私有云上都可以,只要認證一次就行。”葛岱斌對雷鋒網說。
就像現在的有些大學校園沒有圍墻,但師生進入各類實驗室要靠刷卡或刷臉,虛擬環境給了用戶一把更強大的“鑰匙”:只要認證一次,就被系統記住,更加便利。
除了將身份變成邊界,還可以把邊界擴大到“無垠”:專有云和私有云不需要有互聯網的暴露面,將所有流量入口放在阿里云上,無論是內部員工還是外部用戶,訪問的都是阿里云的接口,雖然用戶和攻擊者都不知道流量已經悄悄回到了企業內部的IDC中,暴露面降低,則安全風險降低。
“以前設置一個DMZ區(邊界區),所有的流量經過這個DMZ區,但是現在流量全部從阿里云過來,相當于把邊界交給了阿里云,阿里云是你的邊界,我只要把阿里云的邊界做好。”面對潛在的攻擊者,葛岱斌祭出“虛晃一招”,企業則從原來“雇了幾個保安”轉變到將安保工作交給了“安保公司”。
這一招也叫作“統一接口”。
有些用戶有自己的機房,后來因為業務需求把一部分業務放到公有云上,還有的用戶有幾萬臺分布式的服務器,如果云上有一套安全系統來管理安全,線下服務器的安全怎么管理?幾個地方的服務器怎么管理?
就像前面提到被蠕蟲病毒侵蝕的四朵云的用戶,服務器的安全其實可以被統一起來,無論線上線下,通通交給云安全中心。還可以把探針部署到其他云平臺上做統一的檢測,做統一的響應,因為只要所有云的 API 接口也開放了,云安全中心就可以調用 API 做響應。
和想要由同一個物業來管理自己四套房子的房主一樣,安全管理也可以統一,不過,有些政企用戶的考慮是,大部分資產在線下,只有少部分資產在云上,如果使用統一管理平臺,干脆直接將控制臺從云上搬到云下也是可選的選項。
“我們想要做的就和整個阿里巴巴的理念一樣,讓天下沒有難做的生意,讓天下沒有難做的安全運維。”葛岱斌對雷鋒網說。
說白了,這一套混合云安全方案的直接目的并不是像安全服務提供商一樣做可以掙錢的安全方案,而是讓阿里云飄得更遠,被云覆蓋的用戶以更低的成本、更少的專業安全人員、更輕盈的方式獲得更大的安全。
天下武功路數紛繁,阿里云安全想做的,是化繁為簡,更少地向對手暴露“薄弱面”的同時,打破威脅情報、數據、運維的藩籬,登泰山頂,眾山動向一覽無遺。
賽博世界如同戰場,隨時面臨威脅,沒有人可以做到永遠安全,但安全可以更簡單。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
