![]() |
新聞中心
當(dāng)前位置:網(wǎng)站首頁 > 新聞中心
回顧云安全發(fā)展:十年飲冰,難涼熱血
外賣、資訊、聊天,這些我們每天都用到的黑科技就像一座摩天大樓,身下的地基只有一個:計(jì)算。如果在計(jì)算前加一個限定,那就是云計(jì)算。
一、2008-2015:算力就像中國的人口,不斷向大城市聚集
過去十年,有一個有趣的現(xiàn)象:我們身邊的算力在迅速而且不可逆地聚集。就像最近半個世紀(jì),我們身邊的有志青年逐漸向北上廣深聚集一樣。百川歸海,最終形成了今天的“云計(jì)算”形態(tài)。1、虛擬化:計(jì)算的鄉(xiāng)村
在十年前的 2008 年,計(jì)算的“上古時期”,單純的寶寶們相信一是一、二是二:一臺計(jì)算機(jī),運(yùn)行一套系統(tǒng),提供一套服務(wù)。天經(jīng)地義。但是,腦洞爆表的人類發(fā)現(xiàn)了一個更酷的玩法:計(jì)算機(jī)的本質(zhì)是計(jì)算力,而計(jì)算力怎么能受物理機(jī)箱的限制呢?我可以用代碼的形式,強(qiáng)行把一臺計(jì)算機(jī)分割成虛擬的兩臺計(jì)算機(jī),讓他們分別運(yùn)行不同的任務(wù)。
這種切分機(jī)器的方法就是如今大名鼎鼎的“虛擬化”。大名鼎鼎的 VMware 公司就是虛擬化的始祖,至今還有很多企業(yè)在使用 VMware 的虛擬系統(tǒng)。就這樣,一發(fā)不可收拾,計(jì)算力被繼續(xù)分割。以至于一臺服務(wù)器拖動60-80個桌面,執(zhí)行60-80套任務(wù),這些都是日常操作,不用扣6的。
好的,現(xiàn)在問題來了:一臺機(jī)器分出了幾十號虛擬主機(jī),那么是否每個虛擬主機(jī)都要安裝殺毒軟件呢?這其實(shí)是個挺有趣的問題。想象一幢大樓,原本屬于一家公司,門口站著一位保安。但是后來老板把大樓分成了60間辦公室,租給了60家公司。那么每家小公司都需要自己重新配備一個保安嗎?
講真,一般的辦公樓里并不是每個公司門口都有保安。所以當(dāng)時趨勢科技覺得,在每一個虛擬機(jī)里安裝殺軟也沒有必要。于是他們仗著對自己的技術(shù)水平還可以,和 VMware 合作開發(fā)出一個“通用保安”,用一個人來保衛(wèi)60個公司。這就是他們津津樂道的“無代理”安全技術(shù)。說起來,這就是云安全的最初形態(tài)之一了。注意,這個時候借助虛擬化技術(shù),幾十組相互獨(dú)立的算力,已經(jīng)能夠匯集到一臺物理機(jī)上了。幾十個用戶,就像一個村莊一般組織在服務(wù)器里,相互獨(dú)立又分享資源。我們剛才提到的算力集中化的浩蕩歷史,自此拉開了帷幕。
2、資源池:計(jì)算的城鎮(zhèn)
2013 年以后,虛擬化已經(jīng)成為了家常便飯。VMware 成為了炙手可熱的牛X公司,趨勢科技也借著自己虛擬化安全的能力,賺得盆滿缽滿。但與此同時,各行各業(yè)都明顯發(fā)現(xiàn),自己需要的算力比想象中更驚人。中國互聯(lián)網(wǎng)像脫韁的野狗一樣往前沖,政府、銀行、券商、運(yùn)營商、國企、私企業(yè)務(wù)爆棚,都要擴(kuò)充自己的算力。于是他們開始大量購買服務(wù)器,買服務(wù)器就要花錢,如此循環(huán)往復(fù),購買、管理、運(yùn)營的成本暴增。
于是,本來就負(fù)責(zé)管理全國網(wǎng)絡(luò)的三大運(yùn)營商看到了商機(jī),在他們的主導(dǎo)下出現(xiàn)了幾大數(shù)據(jù)中心,用幾千臺服務(wù)器做成一個資源池,租給用戶或者賣給用戶。注意,這種局面形成,客觀上讓算力更進(jìn)一步集中了。如同一個城鎮(zhèn)有上萬人,資源池里往往也匯聚了上萬組獨(dú)立的算力。這時就出現(xiàn)了新的安全需求。租戶的業(yè)務(wù)五花八門,“資源池”沒辦法具體地照顧到每一個租戶的安全。所以他們想到了一個一勞永逸的辦法:定制統(tǒng)一的安全系統(tǒng),分配給各個租戶,讓他們自己來管理自己的安全。
看過電影《看上去很美》么,當(dāng)小朋友只有幾個的時候,老師可以幫他們一個個擦屁股。但是當(dāng)一個班有幾萬個小朋友的時候,老師就必須得讓每個小朋友自己學(xué)會擦屁股。這時,像趨勢科技這樣的安全企業(yè),主要提供的就是各個租戶可以自己使用的“安全系統(tǒng)”。
3、公有云:計(jì)算的超大城市
云的概念,雖然早在2006年就被谷歌和亞馬遜提出,但是直到2015年,中國人才真正接受了“云作為計(jì)算力的基石”這個形態(tài)。
云計(jì)算的核心技術(shù)在于大規(guī)模的計(jì)算力調(diào)度。這種調(diào)度技術(shù)的不斷完善,直接導(dǎo)致了兩個結(jié)果:1、云上算力進(jìn)一步集中;2、計(jì)算的單位成本進(jìn)一步越低。云上的算力已經(jīng)到了非常集中的狀態(tài),上百萬租戶同時在一朵云上既獨(dú)立工作,又分享資源。就像北上廣深這樣的超大規(guī)模城市一樣,公有云同樣是超大規(guī)模的人類組織模式。這堪稱人類社會的奇觀,你體會一下。
至此,無論是國計(jì)民生的政務(wù)系統(tǒng),還是吃喝玩樂的互聯(lián)網(wǎng)服務(wù),都在以史詩般的速度向云上遷移。以此為基礎(chǔ),各種公有云的變種:“行業(yè)云”“政務(wù)云”也開始出現(xiàn)。你看,在生活中,女孩越是依賴男友,就越怕他出軌。云也一樣,越是依賴云,云上的租戶就越需要云的安全。這時便出現(xiàn)了我們現(xiàn)在公認(rèn)“云安全”的標(biāo)準(zhǔn)形態(tài):云本身的安全+云上租戶的系統(tǒng)安全。
后來的發(fā)展證明,云本身的安全更多地被云計(jì)算服務(wù)商包攬,而云上租戶的安全,就由安全企業(yè)提供。直到這里,我們都在以云安全服務(wù)商的低視角來觀察整個云計(jì)算的歷史。接下來,我們試著像飛鳥一樣,盤旋在祖國上空來繼續(xù)我們的觀察。從天空俯瞰,一場更為浩蕩的變革即將來臨。
二、2015-2017:中國網(wǎng)絡(luò)安全的“天局”
所謂“沒有網(wǎng)絡(luò)安全,就沒有國家安全”。對于中國來說,除了芯片、軟件、電子器件這類“核高基”之外,網(wǎng)絡(luò)安全的能力同樣像核武器一樣重要。簡單來說就是:關(guān)鍵的網(wǎng)絡(luò)安全能力,一定要由中國人自己來控制。
如此,我們再把鏡頭推回到2015年,就能體會到更多鮮活的情緒。當(dāng)時,轟轟烈烈的網(wǎng)絡(luò)安全國產(chǎn)化替代浪潮剛剛掀起。凡是外資背景的安全企業(yè),都開始受到準(zhǔn)入門檻的限制,外資背景的安全企業(yè)在中國的市場空間會迅速收窄。這個過程不可逆。因?yàn)?,從未?0年的國家戰(zhàn)略考慮,中國已經(jīng)橫下一條心,要把“對所有人 Say No”的權(quán)利緊緊攥在手里。
如果說網(wǎng)絡(luò)安全是一個木桶,那么對于彼時的中國來說,“國產(chǎn)云安全技術(shù)”這一塊木板可謂是非常短。即使是啟明、綠盟這樣的龍頭企業(yè),也沒有太多經(jīng)驗(yàn)。但是站在2015年,行業(yè)的精英都看得很清楚,云計(jì)算注定會成為整個國家算力的基礎(chǔ)。中國云安全技術(shù)的強(qiáng)弱,用生死攸關(guān)來形容一點(diǎn)都不為過。
三、2018:云安全關(guān)鍵的幾步棋
如當(dāng)年的云計(jì)算先驅(qū)所料,如今云安全已經(jīng)成為柴米油鹽水電煤氣一樣的生活必需品。各路大企業(yè),也紛紛建立自己的行業(yè)云。中國的云計(jì)算,已經(jīng)在世界上處于第一陣營。中國的云安全,正在棋盤上落下事關(guān)全局的最關(guān)鍵的那幾個子。那么,問題來了:從戰(zhàn)略角度看,中國需要怎樣的云安全呢?一般人會忽略的有兩點(diǎn):
1、代碼自主可控。安全很特殊。如果你是一個將軍,那么你很可能會選自己的同鄉(xiāng)或親人來做你的警衛(wèi)員。這說明,保護(hù)自己的人,一定要是自己信任的人。對云計(jì)算來說同樣如此。尤其是保護(hù)政務(wù)、銀行等國家基礎(chǔ)設(shè)施的任務(wù),必須由百分百的中國公司完成?!澳阏f什么不要緊,先掏出來身份證來做個政審”,這就是自主可控的核心奧義。
2、穩(wěn)定。政務(wù)、金融等等重要的基礎(chǔ)設(shè)施,最需要保證的就是穩(wěn)定。一旦停止運(yùn)行,可能會危機(jī)整個國民生產(chǎn)。而如果你的安全產(chǎn)品不僅沒有保證安全,還直接把系統(tǒng)都拖累得掛掉了,這就是標(biāo)準(zhǔn)的豬隊(duì)友。其實(shí)不僅是云上的系統(tǒng),所有系統(tǒng)的根本要求都是三個:穩(wěn)定、穩(wěn)定,還是穩(wěn)定?!皹I(yè)務(wù)從來不會為安全讓步”,這是一條顛撲不破的真理。
3、硬實(shí)力。當(dāng)然,在滿足前兩點(diǎn)的情況下,解決問題的效果當(dāng)然是最重要的。尤其企業(yè)或者政府把系統(tǒng)放到云上,主要就面臨兩個問題:已知威脅和未知威脅。
1)面對已知威脅,最要緊的是“速度”。這里,有一個黑客進(jìn)攻的“標(biāo)準(zhǔn)模型”。
黑客研究出一個漏洞,把它放到黑市中出售;
下一級黑客買到這個漏洞,然后開發(fā)出一套攻擊工具,繼續(xù)放到黑市中出售;
下一級黑客買到這個工具,直接買來,用在已經(jīng)“踩點(diǎn)兒”已久的公司上,直接入侵拿到數(shù)據(jù)。
從頭到尾,幾個流程下來,所需要的時間往往只有幾小時,最長也不超過一天。在這個過程中,理論上企業(yè)和黑客是在同一起跑線上。一個漏洞被爆出,就相當(dāng)于“寶藏”藏身之處大白于天下,壞人可以去找,好人同樣可以去拿。只不過,黑客的進(jìn)攻已經(jīng)形成了一個巨大的產(chǎn)業(yè)鏈,可謂“紀(jì)律嚴(yán)明,井然有序”;而很多企業(yè)的防守陣型,顯得有點(diǎn)手忙腳亂。
舉個例子:一個企業(yè),在云上搭建了各種系統(tǒng),有時連自己都難以清點(diǎn)清楚。這時要想一個一個查詢,再找到需要打補(bǔ)丁的服務(wù),一個一個打好,往往一周的事件已經(jīng)過去了。看過美劇《行尸走肉》或者電影《生化危機(jī)》的童鞋,都能想象,面對快速擴(kuò)張的感染,最有效的方式就是“快”??焖偬与x危險區(qū),一旦上岸,之后就只剩下笑看風(fēng)云了。
2014年,震驚全球的心臟滴血漏洞,就像生化危機(jī)一樣,在短時間內(nèi)席卷全球。
所以,怎么才能用最快速度打好防護(hù)補(bǔ)丁呢?這顯然需要“自動化”能力。
1、在威脅沒來的時候,自動識別自己的系統(tǒng)資產(chǎn);
2、在新威脅出現(xiàn)的時候,自動快速打好補(bǔ)丁;
3、因?yàn)槟承┚唧w原因沒辦法打補(bǔ)丁的情況下,要采用替代方法切斷攻擊路徑。(亞信安全的技術(shù)叫做“虛擬補(bǔ)丁”)
雖然有點(diǎn)三觀不正,但我還是想說:事實(shí)上,熊追你的時候,你只要跑得比最后一名快就行。。。
2)面臨未知威脅方面,最要緊的也是“速度”??梢哉f天下武功,唯快不破。一個黑客入侵一套系統(tǒng),有些步驟是不能省略的。打個比方:
黑客進(jìn)攻一個云系統(tǒng),很像進(jìn)攻一個城池。他需要先放一個“間諜”進(jìn)來,搞清楚糧草在哪,兵器在哪,城主又在哪。
從這個間諜潛伏在系統(tǒng)里開始,到實(shí)質(zhì)性的進(jìn)攻被發(fā)現(xiàn),中間的一段時間叫做“自由攻擊時間”。
在自由攻擊時間里,黑客每找到一份重要的信息,就會讓勝利的天平傾向于壞人一點(diǎn)兒。所以,縮短自由攻擊時間,讓它趨近于零,是至關(guān)重要的。這種攻擊,考驗(yàn)的就是在信息不完備的基礎(chǔ)上,實(shí)打?qū)嵉姆治瞿芰?。就像一個老刑警,確認(rèn)一下眼神,就能知道對面的是不是小偷。有時候,連老刑警都說不清楚是為什么,但他就是有感覺。
在安全技術(shù)中,這就用到了人工智能技術(shù)。有一點(diǎn)需要強(qiáng)調(diào),這種發(fā)現(xiàn)未知威脅的能力,就像高考語文卷的最后一道作文題,沒有絕對客觀的數(shù)據(jù)可以評價,也沒有一個“最好”的標(biāo)準(zhǔn)。所以,在云安全這條路上,所有人都是小學(xué)生,也總有人可以做得更好,誰也別驕傲。
四、未來:云安全的“消失”
雖然已經(jīng)到了2018年,但我覺得云計(jì)算還沒有發(fā)展到它的最終形態(tài)。打個比方:
現(xiàn)在的云計(jì)算,有點(diǎn)像攢電腦。用戶買來底層云計(jì)算服務(wù)之后,還要在上面自己安裝調(diào)試系統(tǒng)。你自己把系統(tǒng)搞崩潰了,跟攢電腦的商家沒關(guān)系;未來的云計(jì)算,應(yīng)該像買手機(jī)。用戶買來的云計(jì)算服務(wù),上面集成了所有的系統(tǒng)和安全特性,用戶所需要的只是使用,一旦出問題只管找客服。
你可能明白我在說什么了:未來的云安全,應(yīng)該是“潛在水面之下”的能力,根本不用用戶操心。注意,問題來了。既然云安全應(yīng)該是云計(jì)算的特性,那么未來云安全很可能被整合在底層云計(jì)算服務(wù)商中,例如直接把云安全和云上的安全統(tǒng)統(tǒng)做成一個完整的產(chǎn)品交付。
面對這樣的預(yù)期,反觀現(xiàn)在,第三方云安全公司的生意也許正在一個山頂,接下來可能會遇到下坡路??芍^最好的時代,也是最壞的時代。雖然不知道這一天何時到來,但這是所有云安全廠商的盛世危言。不過,第三方安全廠商的任務(wù)還遠(yuǎn)遠(yuǎn)沒有完結(jié),他們至少有兩條路可走
1)云接入的安全。
無論云上的安全做得多到位,在你接入云的過程中,還是可能面臨風(fēng)險。于是所謂的 CASB(Cloud access security brokers)這類接入云過程中的安全,就會迎來市場的爆發(fā)。
2)源代碼安全。
如果把對付已知威脅的能力比作醫(yī)療,把對付未知威脅的能力比作免疫力,那么源代碼安全就是基因工程。如果在開發(fā)系統(tǒng)的過程中,就寫進(jìn)了很多漏洞,就像基因里帶有缺陷一樣,后期如果要醫(yī)療,付出的代價是不可想象的。所以,源代碼的安全審計(jì),同樣是未來的一個爆發(fā)的市場。
我們把目光收回到這局網(wǎng)絡(luò)安全的對弈之上。中國坐在棋盤一側(cè),而另一邊的對手,我們無法選擇。中國的網(wǎng)絡(luò)安全從業(yè)者,看著“云計(jì)算”這三個字從無到有,從模糊到清晰。最初很多人并沒有想到,自己從事的事業(yè)會和這個國家的命運(yùn)息息相關(guān)。慶幸他們并未轉(zhuǎn)身離去,而是選擇挺身而出,成為了歷史的作者。十年飲冰,難涼熱血。云計(jì)算生生不息,他們功成身退的一天,或許永難到來。
但這,正是世界的動人之處。
|