【科讯】腾讯安全董志强：用云原生安全铸造产业网络时代的坚实底座

本篇文章3480字，读完约9分钟

12月19日，techo park开发者大会在北京召开，腾讯云首席安全官董志强出席，发表了以“云原生安全铸造产业网络时代的坚实基础”为主题的演讲。 他说云计算已经成为产业网络和未来数字化转型的主要载体，云上的安全服务也需要像云一样，客户开箱后立即根据需要收费支付。

云时代的网络安全面临着四大挑战。 第一，计算能力的提高和数据量的变化给现有的风险模型和安全机制带来了新的挑战。 第二，以硬件为中心的防御体系结构无法应对基于云计算的新风险第三，在云计算环境下，攻防对抗是动态和持续变化的。 第四，由于云的引进，公司的管理经营也发生了安全技术和安全机制的一定变化。 未来的安全建设必须符合云计算的优势，使安全先行，云的原生安全是应对未来安全问题的有效手段。

腾讯安全基于多年的研究和实践经验，分别从云原生安全管理、云原生数据安全、云原生应用安全、云原生计算安全及云原生网络安全等层面，全面构建了腾讯云原生安全防护体系。

将来，腾讯安全将以云的原生方式继续开放腾讯级安全功能，为产业网络奠定坚实的安全基础，为更多的顾客实现产业网络时代的数字化升级提供便利

董志强的演讲全文如下。

你好。 我很高兴今天能在techo park现场与各位开发者交流云安全相关的技术趋势和现状。 我想和大家谈一点关于腾讯安全的理解和实践。

目前，基于云计算的各种工具、处理方法非常多，迭代速度也相当快。 云与各行业的连接越来越紧密，已成为产业网络和未来数字化转型的主要载体。 这个领域也已经增长到数千亿美元规模。 这一定是一个共识，即使以前就传到公司，对云的接受度也非常高。 云计算的迅速发展对it建设和安全有那些影响吗？

大家是it行业、安全领域的工作者，以前进行it建设的周期很长，从选定、测试、购买、在线、交货的一系列流程来看，以前向公司购买新服务器通常需要1个半月到3个月的时间，操作系统 现在，如果在腾讯云购买新的虚拟主机，系统将在5分钟内上线。 采用最近两年大热的云原生容器技术，几秒钟就可以上线。 serverless已无服务器化，将此时间缩短到100毫秒。 这样的变化对整个安全有什么影响？

根据对腾讯云和腾讯安全的多年研究和实践经验，我们认为第一个挑战是提高计算能力和数据量的变化，传统的风险模型和安全机制将面临新的挑战。 这很好理解。 请记住，同样解密md5加密算法，20年前解密1万美元左右的服务器，每分钟可以解密2000次以上。 但是，现在一个云通常采用的gpu芯片，价格也在1万美元左右，每分钟55亿次。 也就是说同样的价格，我们的计算能力是2300万倍，很多原来的安全算法今天不安全。 另外，虽然存储价格也急速下降，但存储的数据量急剧增加，同样也挑战了以往机制的比较有效性。

第二个挑战是以硬件为中心的防御体系结构，无法应对基于云计算的新风险。 云上整个体系结构的变化将非常复杂。 例如，今天运行了100多万台物理服务器、数千万台虚拟机，这个组成为了非常复杂的系统。 今天云层上的攻击面，风险面比以前的任意时间都复杂得多。 以前流传的it体系结构是统一的物理体系结构和逻辑体系结构，只考虑在哪里安装防火墙，在哪里插入箱子，但这种方法在云中是无效的。

三是攻防在动态和持续地变化。 正如我前面提到的，现在整个it系统的生命周期发生了很大的变化。 因此，我们进行运维防护的节奏也必须调整。 至今传达的以年为单位的安全计划不再适用以季度为单位的漏洞扫描节奏。 因为在云计算环境中，攻击的发生缩短到秒级，处于持续的风险对抗环境中。

第四公司的管理经营上，由于云的引进，资产的全部权、数据的购买权和公司经营的价格模型发生了非常大的变化，云上的很多安全技术、安全机构也发生了一定的变化。

当我们谈论完云时代发生的一些变化带来的安全挑战后，我们会发现，现在没有应用修补程序的安全想法。 未来的安全建设应该是灵活的，可以随着服务器卷的变化而扩展或收缩，以适合云计算的优势。 为了同时完成自我循环，实现适应性和重复性，无需消耗大量时间、人力和资金的价格来更新硬件设备，就可以在云中完成升级。 此外，云上的安全服务也必须像云计算一样，客户开箱后立即根据需要开单，并按照从量支付。

这就是云的原生安全的价值，在安全面前，原生于云是应对将来安全问题的有效手段。

比较过去的数据，分析了未来的趋势、技术的快速发展方向和产业方向后，我们腾讯安全的云原生安全建设主要围绕以下方面展开。

首先是云的原始安全管理，包括对身份管理、风险管理和数据管理几个方面的研究。 整个安全管理系统分为风险识别、风险监视与防护、应答与恢复、持续运营几个重要部分。

之后，云原始数据的安全性，将来的数据量越来越大，用以前传来的方法构筑数据的安全性，链就变得非常长，从前端的数据发现到数据的加密，一系列软件，硬件，和 在云中让一个客户部署这么多产品会使管理变得非常复杂。 戴尔通过构建端到端云原始数据安全的中间平台，将所有数据安全设施、技术和产品逐步纳入云本身。 基本的全生命周期数据安全服务，如数据发现和治理、数据加密和保护、数据脱敏、数据审计等，以云的本机方式提供给客户。

其次是云本机应用程序的安全性。 这一层包括安全开发、安全测试和安全保护应用的研究。 在开发方面，致力于devsecops的推进，安全地串通开发生命周期。 随着容器的迅速发展，对api的调度已成为云原生时代最核心的特征之一，因此对api的安全防护也是我们研究的重点。

在云原生计算的安全水平上，容器安全是我们最关注的重点之一，通过硬件虚拟化隔离、容器隔离、加密容器的运行环境等方法，安全管理容器，保障容器运行时的安全。

最后是云的原生互联网安全级别。 在这里，我们不仅为云上的客户提供saas化的云互联网安全产品，还通过管理云的互联网边界和融合云的原始防火墙等方法来保障云的互联网安全。

现在腾讯安全的云原生安全研究和建设以这些水平为中心展开，同时我们已经取得了一些实践成果。 首先给你看一下我们的云原生安全防护系统。

疫情期间，许多企业加快了数字化升级，全国云量大规模增加，对腾讯这样在网络上成长的企业来说也是新的挑战。

为了尽快恢复生产和恢复经济活力，出现了依赖网络的数字经济形势，如在家互联网上的办公室、在线展会、现场磁带等。

作为以在线视频会议功能为中心的产品，腾讯会议在此期间客户的规模迅速增加。 产品迅速扩大，对安全防护也提出了更高的要求。 确保互联网服务稳定性的方法、确保顾客会议副本的数据安全的方法等需要迅速跟进。

以前传达的修补安全构想很难适应产品客户规模的增加，但在腾讯会议的产品设计阶段，我们的安全团队参加了，真的内置了安全系统，安全能力可以和产品一起升级哦。 这是典型云原生安全构想的体现。

我们不仅用云的原始安全系统保护我们自己的产品，而且通过云向顾客开放这种能力，保障顾客的安全。

首先，在云的原始安全管理中，我们进行了风险识别、风险监视和防护、响应和恢复以及一系列管理系统的持续运行，整合了帐篷安全性的各种安全能力，为全球提供了保护。 今年还推出了特定于云的法规遵从性镜像，以帮助云客户有效地解决云服务器法规遵从性问题。 另外，免费提供给云上的客户。 客户只需在官网上进行简单的操作，就可以获得满足保修要求的云主机，例如，无需复杂的配置过程。

其次，在数据安全层面，从符合最下层国家标准的硬件加密机到中间透明加密中间件、api、云产品层的数据透明加密，将端到端原型数据安全中间平面

在密码技术方面，依靠云计算提供密码技术在中国依然是一种新的密码服务模式，将密码技术纳入云计算系统仍然面临许多挑战，云系统的适应问题 最近，我们侧重于云安全访问代理casb的研究，casb组件在应用服务内加密机密数据，加密数据存储在数据库中，此外，从应用服务中删除数据

在业界备受瞩目的容器安全前沿行业中，腾讯云成为通信院大规模容器集群性能测试中判断的第一家云提供商，获得了最高级别的卓越认证。 同时，腾讯云容器服务获得了优异的整体防护能力和容器平台安全能力的最高级别的先进认证。

腾讯云主机安全服务今年被选为gartner cwpp全球市场指南。 我们结合云主机的安全、云防火墙和云soc构建了更完整的云原生安全系统，更好地保障了云客户的安全。

以上只是简单地列举了我们对外开放的安全能力，将来我们将以云的原生方法对外开放腾讯水平的安全能力，为产业网络构筑坚实的安全基础，为更多的客户构建产业网络时代的数字化升级

谢谢你！