如何应对云安全技术遇到的挑战？可从这三点入手

近年来，全球网络空间和信息技术快速发展，高危漏洞、大流量DDoS攻击、黑客攻击事件屡见不鲜，让企业安全面临更大的挑战。随着国内外企业不断上云，传统安全防护措施已经不能满足云环境安全所提出的需要。在这种情况下，网络安全专家持续地关注着云的安全，为了合理进行云安全建设并对云安全做出明智的决定。本次访谈，我们将讨论企业在云安全方面面临的挑战。

董金，香港大学ICB硕士研究生，曾任北京热云科技有限公司运维总监一职，有带领团队从0到1的经验能力，曾负责公司SAAS产品的跨海通信工作，管理数百万美金的AWS/阿里云账户，拥有资深的TCO经验，丰富的一线实战经验，能专业深度Deep Dive。

啪仔：董老师，网上有说云安全是中国企业提出的概念，早期被提出时还引起了广泛的争议，您能介绍一下云安全是怎么诞生的吗？

董金老师：这个问题我们从两个方面来回答，云是怎么诞生的和云的安全是怎么做的。 “云安全”的诞生其实是信息安全对云架构适应的结果，可以说是云环境下的信息安全。信息安全的演变是由整个IT基础架构的变迁所决定的。

而安全的出现远早于云，在网络安全诞生前已有交通安全、财产安全等安全概念。但是云的兴起对IT、安全以及DevOps等相关联的各类事物都产生了一定的冲击，导致它们发生了质的变化。在我们的普遍认知里，云的一个组成部分是安全，或者说安全是IT或云的不可或缺的一部分，但是回望历史，证实这个认知是不全面的。

安全是云的TOP 1 ，却不是传统安全的TOP1。例如，在传统IT里的损失范围，即爆炸半径范围有一定的局限，通常不会因为安全问题而裁掉整个IT的存储、硬件等；但是在云里，IT的管理角色或者是Permission的权限，会因为安全边界的工作没做好而灰飞烟灭。

再者，云这一词并不等同于国外定义的Cloud Computing，按严格意义来翻译，应该叫“云计算”。只是中国企业很多时候将其简化了，称之为云，或公有云、私有云等。在云里，安全是TOP 1，类似底座的意义，这一认知是企业上云所必知的。传统IT里有八个字“降本增效，避险合规”，安全是侧重于避险合规层面的；而云安全里的避险合规与传统安全的避险合规却有很大差异性。

啪仔：云安全和传统安全有什么区别呢？

董金老师：从商务角度而言，云的安全可定义为service，即服务，如SaaS、PaaS 或者 IaaS等都正流行，用一句话定义云里的安全即为Security and privacy ，国内做Security service的企业并不多，但是云厂商做安全方面的服务能力却是不错的。

从落地角度而言，我们发现仅仅是软件部署在云端，严格意义上并不算上云。若要判断一家企业做的是云安全还是传统安全，发票可成为一个指标，就是Service开的是六个点的发票，而软件或者项目制的，包括系统集成，则是十三点发票。如该企业开的发票是六个点的，则通常认为它的Service大概率与云相关或者纯粹就是云的安全，否则就很可能是一个盒子或者解决方案等传统安全方面的东西。

从技术层面而言，云安全与传统安全是有较大差别的，可以发现传统安全下的一部分正在逐步迁往云端，同时传统企业的安全也不愿意放弃现有的、有增长的利润部分，传统安全与云安全混合，导致云端的安全变调。

啪仔：目前云安全技术遇到了哪些挑战？要怎样去应对呢？

董金老师：传统安全遇到的挑战与云安全遇到的挑战有很多相似点，安全问题也都遵循了墨菲定律。目前安全的挑战，其一在于企业的决策层或者管理层希望付费即完成安全解决，类似于网购就可以从根本解决需求问题。但实际上从安全角度来看，最常见的，企业需要在有限的Budget范围内，选择主次之分，因为企业IT的cost是难以覆盖所有需求的。

其二，在于法律法规层面，近年出台的多部安全法律，如网络安全法、数据安全法等，会对安全数据带来更多正面或负面的挑战。

其三，安全技术社区面临的冲击也是一大挑战，非云技术社区的软件设计思想、软件架构等都是沿用过时的设计理念，而没有一套专门基于云制定的理念。因此近两年较火的社区均为云原生社区、云架构社区、云原生安全社区等等，并呈逐步增加的趋势。企业的各种项目若更多的侧重于非云，个人建议考虑企业转型是有必要的，因为时代在变革，留在原地终将被淘汰！

啪仔：您觉得目前国内企业，对云安全的技术路线上是否存在偏差？有什么建议？

董金老师：第一个是云安全社区在技术路线的选择上多数不愿付费，因此通常采用开源方式，如若付出一定费用，则会产生一种现成的解决方案，从而可以迅速精准地解决问题。但据了解，企业愿意为云安全服务付费的占比并不高，传统的软件安全只适合商业模式长期稳定不变的企业，如果企业的商业模式是一时一变，时常遭受各种攻击的，采用传统的软件形式只会达到事倍功半的效果，建议需要向云端迁移。

第二，企业的决策人员需要提高Service投入的比例，调整百分比分配，有助于企业的长期发展，分析乙方能给我方赋能的能力，做多重选择，根据企业当前目标，决定技术路线的选择方向。

第三，减少在云安全里过度引用开源技术。安全对于企业来说，是必须投入的板块，需要先进行合理分配Budget，考虑需求，并决定要为此付出多少，再进行技术路线选择。因为过度引用开源是一个有悖商业伦理的行为，就像是驾驶员开车不买保险，却希望有安全保障一样，不付出就收获是不可能的。

最后，多关注微软系安全的解决方案，他们重新定义了安全，一般在传统安全中终端安全问题常常是一个难题，但微软的windows 11 以及后续版本会让你发现，时代变了，它像office365一样，一切在云端，不需要再像IT安全一样逐一解决安全问题。

啪仔：目前，云安全对软件应用方面是否有一些新的挑战，有什么合适的解决途径吗？

董金老师：目前运行的软件设计思路是一套旧思路，导致该思路与云是没有联系的，基于这个旧思路的安排，一切都是遵循非云的设计理念。现有的开发、安全等社区都还是偏向以非云的理念为主，他们对于云这一概念的认知其实较为遥远。遵循旧的思路去探讨开发、测试、运维、安全，就像在谈空中阁楼，这个时代还没有到来，只有当软件的设计思路向云端迁移后，云安全或者软件运营安全才会产出新思路。

虽然有很多新兴的概念，如DevSecOps、SDLC等，实际上理论很完美，落地很困难，解决一个问题可能都需要耗费大量的专业人力、物力、时间和精力等。但是转到Service场景下，解决这些问题一般都是秒级、分级，最多达到天级，并且安全问题会发生一个质的变化。

随着时代的变化，理念会逐步升级，挑战才会进一步呈现出来。现在的问题，在于跨越鸿沟。无论是安全、云安全或者云社区，都处于市场的早期阶段，跨越了鸿沟，推出基于云的新理念，向云、Service迁移，历经磨难之后，企业的市场也会随之开阔，对企业商业的中长期价值会越来越大。

啪仔：现在有很多企业在做云安全，如何衡量一个企业的云安全水平？

董金老师：第一个衡量方法，法律法规。无论甲方还是乙方都必须通过国内的法律法规、等保等法律认定，从法律法规机制方面就已经设置了云安全的门槛。

第二个衡量方法，基于自身需求做排序。需要企业先对自身的目的、关注点等做排序，再针对这些方向来评价企业的安全水平，各家企业安全侧重方向不同，对于安全水平的评定也有不同侧重点。

第三个衡量方法，IT上云比例。企业云安全水平的判定需要了解该企业IT上云的比例，企业IT的水平决定了他的安全水平，IT费用比例越重，安全技术水平越弱。当企业的上云比例占到了10%以上，企业进行安全建设就有必要性，各云厂商各有长板短板。在AWS的云框架中有个词叫“five pillars”（五大支柱），依次为安全、最佳实践、高性能、成本性、可用性，从中可知安全和企业的可用性相关，一旦安全出现问题，企业的商业、业务等就会出现问题，影响可用性。安全也关系到企业的成本、性能如何，还有最佳实践，传统IT安全与云安全的最佳实践各有不同，需要从多角度多层面来看。这五大支柱互相关联，无法单一去解决所有问题。实际上在云里，安全与其他是互相依赖的关系；而在传统安全中，安全是一个可有可无的东西。目前国内的法律法规对于水平的审核设定了一定的门槛，再结合企业自身情况对企业的安全水平进行衡量基本可以得到结果。

第四个衡量方法，从等保方面也能得到衡量水平的标准，即把IT部署于云厂商的云里，自动可得等保评分。

第五个衡量办法，企业通过的安全标准、合规标准越多，安全水平越高，通过并且落地就能证明企业是有一定的安全水平。

啪仔：企业要如何构建有效的云安全团队？

董金老师：可以从三个方面来构建：首先，必备岗位。按照现行法律法规规定，企业必须要有必需的岗位的存在，即使该岗的工作量不饱和，也必须保留，在此基础上才能谈构建安全团队的问题。对于构建云安全团队，个人认为大部分中小型企业并不需要构建一个规模庞大的云安全团队，维持一个云安全团队，包含各种角色，是需要耗费很大的成本，绝大部分企业并不愿意付出大量的成本来做这件事。

其次，人才问题。对于人不够的问题可采用一个思路：人不够，service来凑；service不够，研究来凑。当然，企业必须要有一些资深人员了解企业的自身情况，例如企业想要的、擅长的方面，需要外部赋能的部分等等。然后安全问题则由专门团队来解决，这方面问题在于企业是选择自身配备团队，或是外部企业团队，或是第三方安全厂商。

第三，技能组合问题。企业构造有效的云安全团队要看企业的技能组成和企业现有I T的Service，包括硬件、软件的占比，这会决定企业未来的发展方向。云的一个巨大变化就是，云不再是一堆服务器构成，而是一个非常复杂的生态，无论是IaaS、SaaS、PaaS，还是新出现的“SaaS To SaaS”，在SaaS上面的SaaS。如果在安全里，可以变成Security and Service上面的Security and Service，属于非常新的理念，对于业界的生态会面临很大的变化和调整。

啪仔：在实际的云安全实践中，要注意哪些问题？

董金老师：从工作人员角度来说，不论是996还是007性质，需要注意的点都是所做的云安全实践方向是否符合我国的现行法律，确保自身的职业安全。

从实践角度来说，注意企业IT的上云占比与分配问题，企业的IT 最好不要部署在同一朵云上，即使它的能力再优越也是如此。个人建议企业采用多云部署方案，多云部署可带来功能互补，价格对比等更多的价值，让企业的商业得到多重保障。多云部署会对IT技术有一定要求，企业需要补足这方面的问题，但对安全来说，多云结合，可以使安全得到一个很好的平衡。

啪仔：有小伙伴很疑惑，云安全跟开发安全有什么联系吗？

董金老师：有的，一切代码都由开发产生。从开发角度看安全与从云角度看安全会面临两个截然相反的观点。目前国内大部分企业在开发方面是零建设，缺乏相应流程规范，更别提具有开发安全的概念了，因此很多的漏洞都是由开发阶段进入。虽然漏洞是从开发口进入，但是通过人的机制来改变这件事情是不现实的，在开发人员写代码时进行干预，既繁琐又让开发人员排斥。中小型公司普遍是没有开发安全或是没有开发安全的建设的，这是一个大问题。

对此，有两个建议。一是，参考国内外流行的同时具有开发安全与云安全的服务例子，我们定义开发安全为始，云安全为终，云安全的范畴要比传统安全大得多，因此我们需要先解决开发安全再解决云安全问题。二是，选择云要有侧重点，结合各云厂商的不同长短板、供应商能力成熟度、做云的时间等来做选择。

啪仔：如果有同学想了解云安全相关的知识，应该从哪些方面进行学习，在哪里能获得相关的资料呢？

董金老师：云安全对于每一家云厂商来说，都是不可或缺的组成部分，我觉得可以从四个方面入手。首先，拿到各大云厂商的认证，如AWS、微软、腾讯等推出的相应认证，首先了解云是什么，再进一步学习云的安全的知识。对企业来说，云里的安全是不可或缺的一个组成部分，甚至是它的生死存亡之道，因此需要先了解云里的现有运行体制，继而拓展对于云安全方面的知识，这是一个循序渐进的学习之道。

其次，关于学习方面，社区会有很多资料，也提倡加入当地流行的社区，社区内部的分享交流都很有碰撞性，带给人很多启发。

第三，提升自己的能力，多看看世界各地的实情风貌，在疫情期间可通过在网络、YouTube等渠道了解国际上的云安全方面的最新理念，最新发展。

最后，注重终身学习，因为无论是云、还是科技等都是不断在变化的。在云安全的学习上，英文能力是不可或缺的，没有优秀的英文能力你得到的知识都是二手、多手的，真假难辨，对于学习效果会差很多。

- End -