何朝曦：構(gòu)建云化安全能力的三個(gè)建議

11月12日，深信服智安全創(chuàng)新峰會(huì)在云端拉開(kāi)帷幕，深信服創(chuàng)始人&CEO何朝曦在《構(gòu)建云化時(shí)代的安全能力》主題演講中指出，業(yè)務(wù)云化已成為用戶實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型與變革的重要方式，這種跨時(shí)代的變遷對(duì)用戶的安全能力提出了更高的要求，而構(gòu)建云化時(shí)代的安全能力，可以從采用云化交付的安全產(chǎn)品和服務(wù)、構(gòu)建適合云和云原生應(yīng)用的保護(hù)能力、采用適配于云時(shí)代的IT基礎(chǔ)設(shè)施這三個(gè)方面著手。

直面云化安全挑戰(zhàn)，何以就緒

云計(jì)算之所被稱為變革性技術(shù)，是因?yàn)樗o業(yè)務(wù)帶來(lái)的是全方位的改變。第一個(gè)改變是更廣泛，云化時(shí)代業(yè)務(wù)部署的環(huán)境更廣泛，組織需要管理的終端類(lèi)型也更多樣化。第二個(gè)是更快速，云時(shí)代IT資源和能力可以快速應(yīng)用到業(yè)務(wù)創(chuàng)新上，應(yīng)用的迭代速度也變得前所未有地快。最后是更復(fù)雜，云原生架構(gòu)和開(kāi)源代碼的廣泛應(yīng)用，讓IT架構(gòu)和應(yīng)用變得越來(lái)越復(fù)雜。

何朝曦指出，云化時(shí)代的這種巨大變化，為用戶的安全工作帶來(lái)了許多新的挑戰(zhàn)。首先，傳統(tǒng)的安全問(wèn)題，到了云化時(shí)代依然存在，而上云之后，新的安全問(wèn)題接踵而至，例如對(duì)容器、對(duì)API的攻擊等等，而傳統(tǒng)的安全產(chǎn)品大多無(wú)法直接部署到云環(huán)境中。其次，多云、多終端的環(huán)境下，安全保護(hù)和運(yùn)營(yíng)管理是割裂的。再次，傳統(tǒng)的不能迭代的安全產(chǎn)品和服務(wù)已經(jīng)跟不上云化時(shí)代業(yè)務(wù)變化的速度和攻擊的速度。最后，云化架構(gòu)的復(fù)雜性，也使得安全保護(hù)變得更復(fù)雜，成本更高，需要有更簡(jiǎn)化的方式來(lái)實(shí)現(xiàn)安全保護(hù)。

云化時(shí)代安全能力建設(shè)的三個(gè)建議

針對(duì)云化時(shí)代用戶面臨的種種挑戰(zhàn)，何朝曦提出了三個(gè)建議，助力用戶構(gòu)建云化時(shí)代的安全能力。

第一個(gè)建議，采用云化交付的安全產(chǎn)品和服務(wù)。

云化的業(yè)務(wù)需要云化的安全來(lái)保護(hù)，絕大多數(shù)安全產(chǎn)品的能力實(shí)際上都可以用云化的方式進(jìn)行交付。比如網(wǎng)關(guān)安全、終端安全可以被SASE、云化的XDR來(lái)代替，而傳統(tǒng)的人工安全服務(wù)，也可以使用永久在線、持續(xù)對(duì)抗的MSS安全托管服務(wù)來(lái)代替。云化的安全產(chǎn)品和服務(wù)能夠快速部署、快速演進(jìn)，大幅簡(jiǎn)化用戶在產(chǎn)品交付和運(yùn)維上的工作。

在云化時(shí)代，深信服已率先將自己的安全能力進(jìn)行全面云化，為用戶提供云化的交付產(chǎn)品和方案。2018年，深信服在國(guó)內(nèi)率先發(fā)布了MSS托管式安全運(yùn)營(yíng)服務(wù)，通過(guò)三年的積累，深信服率先將MSS升級(jí)到2.0時(shí)代，打造隨需可得的托管式安全運(yùn)營(yíng)能力，覆蓋組織安全工作的核心場(chǎng)景，包括日常安全運(yùn)營(yíng)、實(shí)戰(zhàn)攻防運(yùn)營(yíng)、等保合規(guī)運(yùn)營(yíng)、勒索專(zhuān)項(xiàng)運(yùn)營(yíng)等等。并實(shí)現(xiàn)標(biāo)準(zhǔn)化、規(guī)?；桓赌芰?，服務(wù)用戶超過(guò)1000家。未來(lái)，深信服還將持續(xù)升級(jí)安全運(yùn)營(yíng)中心的能力，通過(guò)打造超級(jí)自動(dòng)化平臺(tái)、云端智能機(jī)器人、云端高級(jí)專(zhuān)家團(tuán)等方式持續(xù)提升平臺(tái)的安全能力。

同時(shí)，深信服的SASE業(yè)務(wù)將具備豐富的安全棧，包括防火墻、VPN、SD-WAN、全網(wǎng)行為管理、終端安全、失陷主機(jī)檢測(cè)等多種常用的安全保護(hù)能力，未來(lái)還會(huì)加入零信任、數(shù)據(jù)保護(hù)等新的安全棧。截止到今年9月，深信服在全國(guó)部署了超過(guò)25個(gè)POP節(jié)點(diǎn)，覆蓋了大部分省份，用戶累計(jì)超過(guò)3500家，在線保護(hù)的終端超過(guò)50萬(wàn)個(gè)。

第二個(gè)建議，構(gòu)建適合云和云原生應(yīng)用的保護(hù)能力。

何朝曦認(rèn)為，在多云共存時(shí)代，用戶的安全策略也應(yīng)當(dāng)是跨云的，需要統(tǒng)一進(jìn)行管理，實(shí)現(xiàn)統(tǒng)一的安全保護(hù)。因此，用戶最好選擇可以SaaS化交付的、實(shí)現(xiàn)統(tǒng)一跨云環(huán)境的安全保護(hù)產(chǎn)品和平臺(tái)。

在云原生時(shí)代，如果想充分發(fā)揮出 DevOps 在業(yè)務(wù)開(kāi)發(fā)上的敏捷性和響應(yīng)力，就必須將IT安全防護(hù)融入業(yè)務(wù)的整個(gè)生命周期中，因此DevSecOps應(yīng)運(yùn)而生。安全不應(yīng)該是業(yè)務(wù)上線和運(yùn)維階段才考慮的問(wèn)題，而是在業(yè)務(wù)規(guī)劃、開(kāi)發(fā)、測(cè)試、上線、運(yùn)維的每一個(gè)環(huán)節(jié)，都嵌入安全開(kāi)發(fā)機(jī)制，從而更早發(fā)現(xiàn)風(fēng)險(xiǎn)，更早修復(fù)，大幅提升業(yè)務(wù)安全性。何朝曦表示，深信服在采用了DevSecOps的開(kāi)發(fā)模式之后，產(chǎn)品的安全性得到了大幅地提升，也非常愿意向所有用戶開(kāi)放在DevSecOps方面積累的能力和經(jīng)驗(yàn)。

此外，云化環(huán)境下，傳統(tǒng)的網(wǎng)絡(luò)邊界已經(jīng)消失，幾乎所有的終端、網(wǎng)絡(luò)都是不安全的環(huán)境，因此在云的時(shí)代，要重新建立新的安全保護(hù)模型。零信任架構(gòu)是目前業(yè)界廣泛認(rèn)可的用來(lái)實(shí)現(xiàn)跨云保護(hù)的一種安全模式。何朝曦指出，零信任很美好，但是落地往往不如意，用戶在建設(shè)零信任體系時(shí)，要充分考慮相關(guān)產(chǎn)品和方案的可落地性，不能選擇過(guò)度復(fù)雜的產(chǎn)品導(dǎo)致方案無(wú)法落地。

深信服已經(jīng)將全網(wǎng)行為管理、VPN等多款安全品與各種系統(tǒng)和終端做進(jìn)行適配，在零信任方面積累了很多成熟的技術(shù)。因此，深信服在落地零信任方案時(shí)，可以極大簡(jiǎn)化用戶的工作。僅今年，深信服落地的超過(guò)5000點(diǎn)的大型零信任方案就有50多個(gè)。

第三個(gè)建議，采用適配于云時(shí)代的IT基礎(chǔ)設(shè)施。

何朝曦強(qiáng)調(diào)，如果基礎(chǔ)設(shè)施能夠內(nèi)置安全能力，可以大幅減少用戶在云時(shí)代下的安全風(fēng)險(xiǎn)。用戶本地建設(shè)的基礎(chǔ)設(shè)施，包括私有云平臺(tái)、超融合等，安全能力和基礎(chǔ)設(shè)施幾乎是完全解耦的，需要單獨(dú)考慮安全建設(shè)問(wèn)題。在云化時(shí)代下，用戶需要更多的采用天生具有安全保護(hù)能力的數(shù)字化基礎(chǔ)設(shè)施，比如能夠內(nèi)置防勒索的存儲(chǔ)，內(nèi)置微隔離的網(wǎng)絡(luò)，具備虛擬補(bǔ)丁的計(jì)算平臺(tái)等等。

當(dāng)然，這種適配于云時(shí)代的IT基礎(chǔ)設(shè)施建設(shè)，并非要把企業(yè)已有安全設(shè)施全部替換掉。企業(yè)已有安全設(shè)施在云下的環(huán)境中仍然發(fā)揮作用，而把傳統(tǒng)安全產(chǎn)品的部分能力云化并納入跨云管理平臺(tái)，就能夠成為云化環(huán)境安全保護(hù)的一部分，不但大幅提升安全效果，也簡(jiǎn)化了交付的復(fù)雜性。

深信服智安全護(hù)航云化時(shí)代

回歸云化時(shí)代用戶對(duì)安全的最本質(zhì)訴求，何朝曦表示，就是要有效，不但要有效保護(hù)業(yè)務(wù)，還能有效對(duì)抗攻擊。

雖然安全本身不會(huì)給業(yè)務(wù)創(chuàng)造價(jià)值，但安全缺失給業(yè)務(wù)造成的損失將遠(yuǎn)超想象。因此安全一定要足夠簡(jiǎn)單，同時(shí)又足夠可靠，要讓用戶越來(lái)越省心，而不是越來(lái)越復(fù)雜。這也一直是深信服智安全所倡導(dǎo)的“簡(jiǎn)單有效、省心可靠”理念。

即使是在更加復(fù)雜、變化更加快速的云化時(shí)代，深信服智安全將堅(jiān)守“簡(jiǎn)單有效、省心可靠”這個(gè)理念，持續(xù)研發(fā)創(chuàng)新的技術(shù)和產(chǎn)品，讓每一位用戶的數(shù)字化更簡(jiǎn)單，更安全。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）