数字化时代,上云是企业不可忽视的路径,因此对于云上安全治理以及云平台自身安全性的考量,也成为长期以来业界持续探索的课题。从参考传统网络安全而设计的云安全,到补丁式的云原生安全,再到如今的云安全治理体系,阶段演进的背后,是云安全治理能力提升的迫切性要求,以及思维和理念的革新。
进入3.0时代,云安全治理已然上升战略与价值层面。既要确保战略与企业组织业务发展相一致,也要通过量化价值,实现安全投入产出的最大化,进而提升安全治理能力与效率。在数字化时代筑牢安全底座,推动产业数字化转型升级,共建数字经济美好未来。
正值2024腾讯全球数字生态大会,腾讯云安全总经理李滨,安在新媒体创始人张耀疆,云安全联盟上海分会联席主席 沈勇,三位嘉宾坐而论道,共话“云时代,如何夯实安全治理的核心战略与价值呈现”。
新纪元,云安全与企业战略的深度融合
云安全的发展经历了三个阶段。早期,是对传统网络安全模式的借鉴与适应;而后,伴随容器时代的来临,云原生安全崭露头角,并催生出丰富的外挂式安全技术;如今,产业开始思考并致力于构建以战略和价值为引领、架构为核心、机制为支撑的云安全治理体系,标志着云安全已然从单纯的技术堆砌迈向了与企业战略深度融合的新纪元。
Q:云安全经历了怎样的发展脉络?
李滨:最初在云尚未定型时,云安全主要借鉴传统网络安全的防护思路和理念。进入容器时代后,与云相关的资源力度、运行效率、迭代速度越发明显,国际上因此提出了全新的概念—Cloud Native,即云原生。然而,云原生安全与系统的耦合性较差,庞大的资源数据逐渐成为安全建设的最大阻碍,显然“先采用后补安全”的方式已无法适用云安全的需求。需要从全新的理念和架构出发,规划、引导、设计云安全治理体系。
之所以称为云安全治理体系,是因为它具备几个层面。首先是战略和价值,有别于过去纯技术角度的思考,在今天这样外部环境、经济形势、业务发展方式全然不同的时代下,我们更需要关注安全的价值,即如何使用最大化的投入产出比来提升安全效率,将安全置于企业整体的战略和规划中。
以此为核心,设计合理的安全架构,最后根据架构设计出合理的安全机制,比如哪些机制在早期设计时就应该做好内置,并且以更低的成本提供给用户。最终形成价值决定战略、战略决定架构、架构决定技术形态的分析思路。这也是云安全进入第三阶段的主要特征。
沈勇:云安全的蓬勃发展诞生于2010年。第一个阶段主要从基础架构入手,是计算、存储、网络、虚拟化技术成熟后的产物,具备全新的组织形态。由于基础架构的变化对整个IT产生了巨大影响,业界逐渐发现补丁式的安全思维已经跟不上云应用的迭代速度,云安全便因此进入第二个阶段,即云原生安全。然而,外界环境的变化不允许人们长时间停留于“缝缝补补”的状态,所以当云原生安全还未被业内熟知与充分利用,第三阶段的云安全便“扑面而来”了。
当前阶段的云安全需要更完整的治理体系。首先,从用户的角度来看,应用永远都是第一位的,安全本身不是目的,目的是保护有价值的应用;其次,面对不断发展的应用,补丁式的安全方案已完全不适用,云原生安全防护思路已经到达极限,外挂式的安全方解决方案只会导致安全系统过于复杂且成本巨大,因此,用户急需一种更好的理念和治理体系,来组织、设计云安全管理。
Q:企业在云安全建设中应该关注哪些方面?
李滨:企业需要关注云安全防御体系落地中的几个注意事项。首先在应用开发和获取阶段,需要进行网络安全的同步规划和建设。尤其需要注意软硬件应用服务的外采;其次,通过各个数据点的采集指标来形成完整的安全分析和运营系统是重点之一,所以基础设施安全和安全运营要重点关注;供应链安全中包括软硬件的供应链,上下游关系,以及人员和外包服务;而在跨云安全协同上,需要从底层进行技术支撑,主要体现在身份访问控制和权限审计等方面;此外,包括数据安全、业务风控等,都是云安全防御体系落地过程中需要重点关注的地方。
沈勇:在构建整体云防护的过程中,首先要有整体性的战略思维,此思维需要具备顶层设计。因为过去“先用产品后补防护”的理念和方式已经完全跟不上时代所需,所以企业的安全防御体系要从业务系统的建设初期就同步部署。最终的目标是让企业的云安全建设具备基础的服务能力,具备个性化的安全能力,以及形成总体的指标体系。
腾讯云的安全治理战略与价值呈现
腾讯云在构建云平台安全战略时,深刻认识到安全不仅是技术层面的保障,更是与多方利益相关者的价值共创与协同。通过全面审视并界定核心利益相关方,腾讯云确保了安全策略与企业战略及外部环境的紧密对齐。在此基础上,腾讯云积极探索量化安全价值的新路径,通过构建一套科学、系统且可度量的安全指标体系,将安全从无形保障转化为可评估、可优化的战略资产。
Q:腾讯云在云平台安全治理方面有哪些核心战略和原则?
李滨:既然是治理,就一定会涉及组织的最高战略层面,它的内涵是最高层对于治理方向的监督指导和评价。通过提供具体的事项和必要的数据,让组织最高层来评估目前的治理阶段是否准确,从而得到相应的指导和支持。此外,面对“落地治理框架”这一巨大挑战,企业在治理之下还需具备管理能力,通过流程、组织机构、岗位职责的设定来进行落地。最后还需要在技术的支撑下,才能让治理框架有效实践。
腾讯云在战略对齐的层面上,首先思考的是“谁为安全的利益相关方”。作为互联网时代下较为全面的平台,腾讯云界定了五个方向核心利益相关方。第一是腾讯客户,对企业而言,客户的利益是首要的;第二是监管方,作为平台企业,会涉及国家以及不同地区法律法规、行业标准的约束;第三是社会责任,作为上市公司,广大的公众就是利益相关方,即使没有直接的利益损失,也需要评估和衡量可能对公众造成的影响;第四,为了保证财务控制的准确性,内部控制也是利益相关方的重要一环;第五是广义的风险管理,主要涉及腾讯的客户、供应链上下游等。
综上所述,腾讯云除了和企业内部的业务战略对齐外,还会评估云安全战略是否和利益相关方的目标相一致,从而做到安全最终价值的呈现和保障。
Q:腾讯云在云平台安全治理中如何量化安全价值和投资回报率(ROI)?
李滨:在量化安全价值方面,腾讯云具备了相应的支撑性原则。其一,安全必须可靠、可度量;其二,安全需要形成核心且能覆盖不同层级的度量指标。比如安全的投入对业务和战略的支撑能否量化成具体的数值?其次,支撑这些参数所需不同的安全治理模块有无合适的量化指标?这些指标能否支撑最上层的投入产出比?最终,通过逐层的分解,便能对整个安全治理形成数据化、指标化的度量体系。
在腾讯云内部,安全指标分为三层,最核心的是网络安全ROI;往下是每个安全治理模块中较为核心的指标,比如事件全流程的溯源覆盖率,就是安全事件造成风险损失的核心指标之一;再往下还有漏报和误报,全流程的分析响应时间,以及最终对安全事件的遏制时间等。每个安全治理模块中都存在几项核心指标,且缺一不可,因为这是构成最上层数据的必要基础。
通过建立成熟的指标体系,腾讯云可以实现安全上的战略和价值。同时,通过持续的优化和迭代,最终形成对用户而言必要的监控点。这些监控点可回落到系统中,并为用户完善系统建设指出必须具备核心监控指标的环节,最终实现保证从系统到架构,再到指标体系的一致性。
云安全治理体系对用户的赋能与意义
在探讨云计算环境下安全价值的呈现与实现路径时,首先要关注如何构建一个全面且可度量的安全体系,这一体系不仅覆盖了从工具到流程能力的全方位保障,还深刻影响着业务价值的提升与成本的优化控制。通过实现安全指标与业务价值的深度绑定,不仅为用户提供了直观的安全量化评估,还进一步推动了安全成为业务发展的强大驱动力。
Q:腾讯云安全指标体系如何让用户实现落地?
李滨:在具体形态上,腾讯云从工具到流程能力进行了全面覆盖。而从现实出发,所有的价值衡量都有一个前提——在成本有限的情况下将能力价值最大化,这也就是为什么必须实现可度量的安全指标,且一定要和业务价值相互绑定。
假设有两个产品线,产值分别为1亿和10亿,此时我们若把安全指标和业务价值相对齐,就能实现量化。比如对于1亿的产品,投入相应的安全人员可为其挖掘100个漏洞,再结合安全事件所造成的停机损失,就能形成该产品线风险成本的总值,对应其产值,就能形成安全的量化值。与之相比,10亿的产品线由于其自身业务实现更好,因而在安全投入的相同的情况下,安全投入比和总体风险成本更低,最终体现出更高的业务价值。
如此我们就能得到两个结果:其一,安全的指标和数据得到了直接的价值量化,公司经营者可清晰辨别安全效果、投入产出比等;其二,安全和业务价值对齐后,为业务形成了驱动力,即只有做好安全,业务指标才能更为优良,安全为助力业务成长提供了价值。
综上,从战略到价值对齐,再到可量化的指标,这三点的构成能够帮助用户解决“如何呈现安全价值”的问题。
Q:用户如何看待腾讯云的价值量化和评价体系?
沈勇:只要用户在云上拥有大量的资产,就一定需要云平台所提供的评价体系以展现安全的价值,决策者也可以对此进行横向和纵向的对比。虽然业内可参考的模型有很多,但真正能方便实行和落地的却很少,所以云平台提供方可以通过自身实践不断深入,最终能力赋予用户。像腾讯云这样既具备细化指标和总体指标,还能用一种方式计算数据,并落实到平台上的评价体系十分难得。即使在自定义方面只能满足70%-80%的需求,对于用户也已经具备极大的吸引力。
当然,作为用户,更希望评价体系能具备基础模板,让用户可以进行一些自定义设计。毕竟同一件事情,不同用户的看待角度、感受也并不相同,所产生的评价以及发展阶段也不一样,这是用户最为期待的产品内容。此外,用户希望在云平台购买服务时,厂商能配齐基础的安全能力。比如购买云存储,用户希望其中已内嵌发现敏感数据的能力,不需要再单独配置相关的安全工具。正如“买车无需自己购置安全带”一样,这是用户对于云平台首要的期望。
云与智能融合,让安全内置业务
安全的数据化与指标化是安全价值构建与提升的基石,而AI技术的深度融入则成为推动这一进程的关键力量。腾讯云通过一系列前沿实践,不仅展现了AI高效处理海量数据,精准转化为安全研判关键指标的能力,更揭示了AI在云安全领域的广泛应用与深远影响。此外,只有强调技术与业务的深度融合,才能实现安全价值的最大化。
Q:AI、大模型等前沿技术和理念如何在云安全建设中发挥价值?
李滨:安全的数据化和指标化对于安全价值呈现非常重要。以腾讯云为例,从捕捉到的信号将其转化成有效数据,再到形成研判的一些关键指标,最终形成价值衡量,这是一个数据逐步过滤的分析过程,而其中所接触的数据是海量的,必须依靠AI才能进行有效处理。
此外,AI作为快速发展的技术,其本身也会带来非常多的安全问题和场景。腾讯云每天为用户自动拦截的攻击超过1.2亿次;过去三年以来,腾讯云每天检测到的攻击信号在50亿次以上。而这些检测和拦截都离不开AI的赋能,可以说AI技术已经在腾讯云上发挥了重要作用。
当然,AI工作还包括了内容风控、反欺诈、攻击事件的协助分析、数据分析等。AI技术早已在腾讯云的各个领域有所应用,并在具体的应用上展现出了足够的价值,最终形成了一整套有效的工具集。大大降低了腾讯云内部以及用户的工作量,同时为安全生产效率带来了极大的提升。
沈勇:AI必然会影响、赋能各行各业,但AI并不能替代人,而是会让主动拥抱AI技术的人群具备更强的竞争优势。此外,AI不仅赋能云安全这一个具体的场景,更是极大影响了安全产业的变革与发展。由于AI应用带来了更大的暴露面,因此安全的产值会更大,对安全人员的需求会更多,同时也会让安全人员的竞争变得更激烈。
Q:未来,云安全还呈现哪些发展趋势?
李滨:过去30年以来,最有价值的安全技术应用其实是指纹识别,以及由此衍生出的人脸识别等。指纹识别其实是众多老技术的集成,但就是这么一个小小的改变和拼凑,却极大地简化了终端的身份认证,提高了便捷应用的门槛。
如今来看,指纹识别不但简化了身份认证、手机应用,还进一步带动了支付链条的变化,让人员愿意通过互联网和移动终端进行业务交易,进而改变了互联网电子金融和电子商务的生态。所以说,指纹识别带动了不可估量的产业价值。
因此对云安全而言,未来也会呈现同样的发展趋势。真正的安全技术并不一定要以单独的产品形态来呈现,关键在于能给业务带来怎样的助力。安全技术的最终目标是要能融入业务,成为业务的一部分,这样用户才更愿意接受,实现安全价值最大化。
沈勇:用户而言,最希望看到的是好用的产品,内置安全能力。比如,领导地位的产品内置必需的安全能力。用户并不会因为某样产品特别安全而去购买,而是会在产品功能更好的情况下,关注其安全性是否过关。所以可以预测,未来云安全及产品的发展,或许会是某一个领域中的领导产品将安全作为自己的护城河,作为其内置的原生能力。