頭腦風暴 | 云時代，網絡攻防對抗的發展演化_世界快訊

當前，我國全面進入云和數字化時代，云是數字化轉型的底座，是新一代基礎設施建設的基礎。云開始承擔越來越多的使命，不僅云上資產越來越重要，云上攻擊也愈演愈烈。同時，云計算顛覆了傳統的網絡安全實踐，給安全防守帶來了許多新的安全挑戰。

(相關資料圖)

對此，在“2023云安全高峰論壇暨青藤品牌升級發布會”上，來自產學研用各方的專家，就“云時代，網絡攻防對抗的發展演化”主題，針對云計算帶來的安全變化，云安全防護發展趨勢，開源軟件安全風險，云安全托管發展前景，多云安全體系建設等問題開展了圓桌討論。主持本次討論的專家是青藤云安全副總裁萬京平，參與本次討論的嘉賓有北京大學教授、網絡與信息安全實驗室主任陳鐘，中國信通院云大所開源和軟件安全部主任郭雪，首都在線CTO王春發，北汽福田汽車股份有限公司基礎設施及信息安全部負責人張志強，浪潮云安全產品總監王禹博。

主持人：云計算，讓安全保護對象、安全管理、應用架構等都發生了根本性變化，那么云計算，到底給安全帶來了哪些本質變化？請陳鐘主任、郭雪主任從產業的角度為我們分享；請志強總、春發總、禹博總站在攻防實戰的角度為我們分享。

北京大學教授、網絡與信息安全實驗室主任陳鐘：

現在上云已經是一個不爭的事實，今天我們看到各種云化的應用。過去，為了實現云計算的集中管理，催生了軟件定義網絡SDN。現在，業務上云后，你的計算在哪，安全防護也在哪，改變了原來攻防不對稱的形態。這既有好的一面，可以動態調度云上的各種資源對安全攻防進行支撐；這也有壞的一面，資源過度集中以后，使得自動化攻擊變得更加便利。

同時，隨著AI大模型、GPT等出現以后，云計算架構還在變化，特別是在計算、存儲、CPU加速方面會有一個新的結構性的調整。青藤預先提出一些先進的、創新的云安全解決方案，正在適應這種變遷。未來當AI人工智能融合到更多工具服務中的時候，我們的安全也能迅速跟得上。

中國信通院云大所開源和軟件安全部主任郭雪：

我說幾點我自己的感受。

?首先，云計算極大地提升了信息系統建設速度，所以安全的建設速度也要加快，以匹配信息化建設的速度。

?其次，未來云和安全一定是深度融合發展的，需要從研發階段就去關注安全，所以云計算給安全帶來的第二點重要變化就是云原生安全。

?然后，大家都比較關注云上安全責任的問題，因為云安全面臨的是建設方、運營方、租戶、安全廠商等多方責任，所以云上安全責任的界定是很重要的問題。?最后，云計算的發展對云安全建設提出了更高的要求。

北汽福田汽車股份有限公司基礎設施及信息安全部負責人張志強：

我們目前也在做數字化轉型，云是必備的數字化底座之一。我們擁有一個成熟的混合云架構，這也讓網絡邊界越來越模糊，安全風險增加，這是很多上云企業的通病。下面我從三個方面簡單說一下云時代的安全變化：

?首先，在技術方面，隨著容器和微服務架構等新技術的應用，給我們帶來了新的安全風險，安全防御也需要升級。

?其次，在管理方面，我們面臨的最大問題是如何實現高效的云安全運營，這需要云技術團隊和安全團隊的高效融合協作。

?最后，在人員培養方面，我們需要專業的云安全運營管理人才，實現企業數字化轉型中的云安全建設。

首都在線CTO王春發：

我們是做云計算的公司，在全球有很大的一張網，我們對云安全非常重視。

?首先,如果讓我建立一套完整的安全體系,第一步會先建立資產清點能力。因為云上有很多動態資源,比如虛擬機,虛擬的網絡定義,虛擬的網絡存儲,這讓資產清點難度非常大。

?其次，我們的客戶和我們自身，都在用微服務架構和容器技術，容器的生命周期非常短，這使得網絡攻擊溯源非常難，這也是我現在碰到的難題。

?最后，因為所有容器共用一個操作系統，單個系統漏洞風險會在整個集群廣播，使得風險擴散速度非常快，管控難度非常高。面對這些云上安全的新變化，我們期望和青藤這樣的云安全廠商深度合作。一是可以加深我們云底座安全；二是我們的客戶也可以享受到多樣化的云安全產品。

浪潮云安全產品總監王禹博：

剛才春發總講的很好，我們都屬于云服務商，所以云計算給安全帶來的這些困難和麻煩我們感同身受，我簡單再補充兩點。

?首先，大家關注的云上安全責任共擔模型，這是云計算出現之后給安全帶來的挺新穎的變化，它區分了云租戶和云服務商各自的責任點。

?其次，利用云計算本身高算力和一體化的特性，能夠讓安全產品發揮更好的價值和效果，實現統一、融合的云安全管理。主持人：針對云安全防護，市場上有兩種主流做法。一是通過虛擬化安全資源池的形式，包括虛擬防火墻、虛擬WAF等；二是基于云自身特性做安全防護，例如基于容器的DevSecOps全流程安全，這兩種方式未來發展情況各位專家怎么看？

首都在線CTO王春發：

剛才提到一個概念DevSecOps，我認為它確實解決了傳統安全模型解決不了的安全問題，把安全團隊、安全管理引入到開發、測試、上線的整個過程，在CI/CD過程都可以看到安全的影子，比如代碼的掃描、漏洞的掃描、安全管控等等。我列舉兩個例子：

?首先，我們所有研發人員在提交代碼的時候都會進行代碼安全漏洞掃描，這個過程是完全自動化的。

?其次，DevSecOps本身有很重的安全運維過程，這是傳統的虛擬防火墻、WAF、主機安全、抗DDOS不能替代的。

北汽福田汽車股份有限公司基礎設施及信息安全部負責人張志強：

我想從業務角度回答這個問題，我們現在的業務形態多種多樣，有傳統的，也有云原生化的，這兩種形態在未來一段時間會共存。傳統型業務需要防火墻和虛擬WAF等進行南北向安全防護；另外一種云原生化的業務，我們會采用云原生安全的方式去做，把現在所說的這些安全功能揉進去。比如我們引入VSOC，同時把青藤的入侵檢測能力整合到我們整體的安全架構中。所以說，基于企業的業務形態，傳統虛擬化資源池的安全防護方式和云原生安全的防護方式會共存發展。

主持人：2019年，中央網信辦、國家發改委、工信部、財政部4部委聯合發布《云計算服務安全評估辦法》，旨在提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平。那么針對當前開源軟件的安全風險，各位專家是如何看待的？

北京大學教授、網絡與信息安全實驗室主任陳鐘：

云計算快速發展，其中開源軟件扮演了非常重要的角色。因此，開源軟件安全問題就變得非常重要了。本來開源是眾人之眼，大家都看著它，它的安全性應該是很強的，但是我們發現，很多開源軟件會突然爆發高危漏洞。我們國家對開源軟件的安全高度重視，在制度建設、標準研制、技術研發上都在全力突破，希望更好地應對開源漏洞帶來的風險。

中國信通院云大所開源和軟件安全部主任郭雪：

開源應用非常廣，我的團隊一直在運營金融開源社區、通信開源社區、汽車開源社區，我們會定期調研開源的應用率。根據最新調研數據，大概34%左右的企業開源組件數量達到上萬水平，同時還有約3%的企業開源組件數量達到了十萬以上。這種情況下，我們一定要關注開源軟件的安全問題。當然，開源的問題非常復雜，除了漏洞之外，還有知識產權、許可證、持續性等問題。這里重點說一下，做好開源軟件安全管理首先要做好資產清點，之后再做進一步的安全保護。

主持人：隨著數字化進程逐步深入，網絡安全壓力與日俱增，企業單純依靠自身能力管理網絡安全已經分身乏術。這種情況下，托管服務成為各行業用戶提升安全水位、化解安全風險的有效措施。各位專家如何看基于云的MSS、MDR安全托管服務在中國的發展前景？

北汽福田汽車股份有限公司基礎設施及信息安全部負責人張志強：

為什么我會積極引入MSS服務方式。首先是因為技術沉淀不足，我們信息安全人員的技術沉淀，沒有想象的那樣強大。其次是我們的業態發生了很多變化，很多應用要實現移動化，意味著很多業務要發布到公網上，這使得網絡攻擊面增大了。

為了應對這些問題，我們打造了統一聯動的安全運營體系，做成了可視化風險處置平臺，管理員只需要看一個大屏，就可以處理我們集團18個地點的安全事件。當然，并不是說有了這些安全防護手段就可以高枕無憂，其實還差得遠。我們需要自己去打自己一鞭子，所以我們引入攻擊模擬去測試安全防御能力。在這個過程中，我們發現自己的運營團隊跟不上節奏，需要借助專業的安全服務團隊進行威脅分析，讓我們及時發現、及時處理風險事件。以前我們認為一定要培養自己的人來做安全運營。但實際上這種思路需要改變。我們可以和安全廠商深度合作，借助專業的安全服務，效果更好。

主持人：企業數字化轉型過程中，大多會選擇“多云環境”的模式，這種模式帶來便利的同時，也衍生出很多新的安全風險，比如復雜的配置問題、權限、策略等問題。那么，多云場景下，企業在搭建安全防護體系時，應該重點關注什么？比如安全監測及管理等方面，各位專家能否給大家一點建議？

浪潮云安全產品總監王禹博：

針對云上安全防護建設，我從三個方面來說一下。

?首先，是資產的全面梳理，要特別關注API安全。傳統的主機層、服務層以及端口層大家基本上都能覆蓋，但是API安全做不好會導致更多的數據泄露。所以我覺得第一點是全面的資產梳理。

?其次，需要重點關注身份權限管理。因為在云上部署多類應用，身份權限管理會面臨更為復雜的情況。

?最后，是要建立安全運營體系。從攻防角度來說，新的攻擊手段層出不窮，防御體系也需要動態變化，這就需要一套不斷優化迭代的安全運營體系。不管是基于人+工具+流程的PPP，還是基于AI+大數據的智能融合，安全運營都是云上安全建設不可避免的一個環節。

小編總結：

從各位專家的闡述總結來看，近幾年我國的云計算產業一直處于高速發展時期，越來越多的企業為了實現數字化轉型，紛紛選擇業務上云，其業務也呈現出開放互聯、高效運轉、結構復雜、快速變化等特點。這些新特點給安全帶來了更為艱巨的挑戰。傳統安全在云和全面數字化變遷過程中能力有限。新時代，需要新安全。安全需要適配云的基礎設施，充分API化，能夠融入到業務中去，能夠高速迭代和演進。簡言之，就是實現“業安融合”，具體表現為以下四個特征：

?敏捷：能夠跟上企業業務和安全威脅的快速變化，具備敏捷發布和部署的能力。

?高效：在爆炸式海量數據和行為中實時發現并根除風險和威脅。

?智能：能夠基于AI進行智能化分析，提高安全防護效果。

?連接：能夠實現人與人、人與系統、系統與系統的連接。

我國已經全面進入了云和數字化時代，順應云安全發展趨勢，建設有效的云安全防護體系，成為數字經濟發展的重要保障。

本文來源：財經報道網

關鍵詞：