本文是WOT2016互聯(lián)網(wǎng)運(yùn)維與開發(fā)者大會(huì)的現(xiàn)場(chǎng)干貨，新一屆主題為WOT2016企業(yè)安全技術(shù)峰會(huì)將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開！

云時(shí)代的有哪些新挑戰(zhàn)?有哪些老問題?企業(yè)對(duì)云安全的真實(shí)需求是什么?針對(duì)這些問題，在WOT2016互聯(lián)網(wǎng)運(yùn)維與開發(fā)者大會(huì)的運(yùn)維安全專場(chǎng)中，青藤云安全創(chuàng)始人張福在主題為《面向未來的自適應(yīng)安全架構(gòu)》的精彩演講進(jìn)行了詮釋，并展示了青藤的解決方案——自適應(yīng)安全架構(gòu)。他表示：“就像云遷移是一個(gè)遞進(jìn)構(gòu)成，云安全落地最需要的是自適應(yīng)。”

【嘉賓簡介】

[[167572]]

張福，青藤創(chuàng)始人，自初中起張福就是安全攻防技術(shù)的愛好者、研究者，大學(xué)畢業(yè)后歷任盛大技術(shù)總監(jiān)，MochiMedia中國CTO、昆侖萬維游戲和移動(dòng)互聯(lián)網(wǎng)事業(yè)部技術(shù)負(fù)責(zé)人，長期結(jié)合互聯(lián)網(wǎng)業(yè)務(wù)和產(chǎn)品，對(duì)企業(yè)安全需求有深入的理解和實(shí)踐。

多年來，張福一直在企業(yè)內(nèi)部做安全相關(guān)工作，創(chuàng)業(yè)后通過與多位企業(yè)運(yùn)維負(fù)責(zé)人的溝通，大家都認(rèn)為企業(yè)的安全很難做。因?yàn)楝F(xiàn)在在企業(yè)內(nèi)部沒有自己的安全架構(gòu)，而且資源和安全人員也很匱乏。在企業(yè)內(nèi)部做安全，缺乏人才，整個(gè)IT技術(shù)設(shè)施的架構(gòu)管理不是很好。

云計(jì)算時(shí)代的新挑戰(zhàn)

云計(jì)算時(shí)代的新挑戰(zhàn)是什么呢?張福表示，主要有兩大挑戰(zhàn)：

第一，IT環(huán)境動(dòng)態(tài)變化帶來的挑戰(zhàn)。隨著云計(jì)算的興起普及，網(wǎng)絡(luò)邊界越來越模糊，業(yè)務(wù)變得越來越動(dòng)態(tài)。比如：以前部署幾千臺(tái)機(jī)器上的應(yīng)用，可能需要規(guī)劃很久，然后逐步去部署。但是現(xiàn)在云計(jì)算時(shí)代，部署非常的快，在短時(shí)間內(nèi)即可把整個(gè)都換一遍。這種高動(dòng)態(tài)性，以及越來越復(fù)雜的軟件架構(gòu)，使得安全變得越來越難做。

第二，對(duì)于行業(yè)來說，黑客攻擊日益隱蔽、專業(yè)。黑客攻擊越來越活躍，黑客攻擊越來越偏向商業(yè)化。早期的黑客可能僅僅是炫耀自己的技能，而現(xiàn)在的很多黑客要的是實(shí)際的經(jīng)濟(jì)利益。而且，黑客賺的錢遠(yuǎn)比一個(gè)安全從業(yè)者賺的要多。在黑客的世界里，黑客既能夠賺錢，有很拽，而安全從業(yè)者又苦逼，又不被重視，賺錢還少。這就導(dǎo)致了一家企業(yè)的安全難以做好，無論這家企業(yè)是大公司還是小公司。即使公司非常有錢，在安全上投入很大，但是也未必能夠把安全做好，因?yàn)樽畲蟮膯栴}在于人員的匱乏，而且缺乏一種好的理念和技術(shù)做事情。

企業(yè)對(duì)云安全的真實(shí)需求是什么?

通過對(duì)多個(gè)企業(yè)的調(diào)研，張福發(fā)現(xiàn)談到對(duì)安全的想法，企業(yè)搞不清楚是老問題還是新問題，企業(yè)的想法很簡單，就是需要一種方法，能夠把新老問題都解決，徹底解決企業(yè)的需求。也就是，企業(yè)需要跨越式一舉解決新老問題，既立足于解決當(dāng)前需求，又能提供適應(yīng)業(yè)務(wù)變化，面向未來，可擴(kuò)展升級(jí)。

云安全落地最需要的是自適應(yīng)

索尼《刺殺金正恩》等安全事件的發(fā)生，以及軍工、金融企業(yè)遭遇到非常嚴(yán)重的定向攻擊，給這些企業(yè)帶來了很大損失。因此，整個(gè)行業(yè)開始反思，安全究竟哪里做的不好?其實(shí)并不是安全的產(chǎn)品做的不好，而是整個(gè)安全的體系在過去是有缺陷的。為什么這么說呢?是因?yàn)檫^去的安全，過于強(qiáng)調(diào)于防御。企業(yè)以為購買了防火墻等安全設(shè)備，就可以防住一切攻擊。而安全廠商僅僅是滿足客戶的需求。現(xiàn)在企業(yè)終于意識(shí)到將去太多的投入或太多的期望都放在防御上，是錯(cuò)誤的。因?yàn)閷?duì)于黑客來講，你的防御措施只能擋住一部分已知的攻擊，有大量的攻擊或者新的方法是你現(xiàn)有的防御體系擋不住的。所以如果假設(shè)一家企業(yè)不能擋住所有的攻擊，那他應(yīng)該怎么辦呢?假設(shè)黑客如果成功攻擊了一家企業(yè)，你能在第一時(shí)間發(fā)現(xiàn)并且采取快速的有效的處理，其實(shí)他也不會(huì)遭遇很大的損失。盡管防不住，但是能夠第一時(shí)間發(fā)現(xiàn)，其實(shí)損失還是能夠控制在很小的范圍內(nèi)的。所以這就是自適應(yīng)安全的第二個(gè)象限，叫監(jiān)測(cè)。因?yàn)楸O(jiān)測(cè)的能力，使得我防不住，但是我能夠即使處理。所以在近幾年，就是美國或者全球的安全市場(chǎng)上，監(jiān)測(cè)能力是被大家尤其強(qiáng)調(diào)的。做好防御和監(jiān)測(cè)體系是不是就沒問題了呢?其實(shí)也不是不能的。其實(shí)我們可以想像一下，比如說公司里管理的服務(wù)器，有一臺(tái)突然產(chǎn)生了報(bào)警，他告訴你監(jiān)測(cè)到了黑客活動(dòng)的跡象，接下來你會(huì)怎么辦?你肯定心里很緊張，但是有三個(gè)東西你一定會(huì)想了解。第一個(gè)問題，企業(yè)的防御很強(qiáng)，監(jiān)測(cè)也到位，黑客是怎么進(jìn)來的呢?因?yàn)樗┩噶四愕姆烙w系，而你的監(jiān)測(cè)只能知道他存在，但是你不知道他是怎么存在的。第二個(gè)問題，黑客在個(gè)業(yè)務(wù)系統(tǒng)范圍里到底干了些什么，這也是不知道的。第三個(gè)，除了已發(fā)現(xiàn)的，他究竟還潛伏在了哪些地方。這三個(gè)問題回答不了其實(shí)對(duì)于一家企業(yè)來講是致命的。

所以對(duì)于一家大企業(yè)來講，他一定想把這個(gè)東西搞清楚。所以整個(gè)大數(shù)據(jù)，在安全領(lǐng)域的應(yīng)用，主要是集中在這個(gè)方向。這就需要自適應(yīng)安全的最重要的能力，就是做回溯分析。通過回溯分析了解黑客是怎么進(jìn)來的，做了什么，干了什么，將整個(gè)場(chǎng)景還原，然后反過來加強(qiáng)企業(yè)的防御和監(jiān)測(cè)體系。所以這樣就使得安全成了一個(gè)閉環(huán)，它不再是一個(gè)孤立的東西，而是一個(gè)可以持續(xù)改進(jìn)的東西。

假設(shè)青藤盡可能去建立防御體系，發(fā)現(xiàn)被穿透的后立刻做分析，從而再改進(jìn)企業(yè)的防御和監(jiān)測(cè)體系。當(dāng)這個(gè)閉環(huán)形成后，一家企業(yè)安全的系統(tǒng)，它就不是一個(gè)死的東西了，而是一個(gè)有生命力、有活力的東西，它會(huì)一直跟隨你的變化而不停的演進(jìn)。那這個(gè)系統(tǒng)的核心是什么?是人，正是由于人的持續(xù)對(duì)業(yè)務(wù)的監(jiān)控和分析，使得這個(gè)體系是活躍的。所以在未來，大家看安全的時(shí)候，一定會(huì)發(fā)現(xiàn)人在安全里面是不可替代的，在最新的安全體系里面，人的作用是更加重要的。所以以人為核心的持續(xù)監(jiān)控和分析，來驅(qū)動(dòng)這套體系，就形成了自適應(yīng)安全。

然而在一家企業(yè)內(nèi)部，這樣的一個(gè)循環(huán)迭代，這種改進(jìn)是很慢的。因?yàn)榈谝唬惚仨毜冒l(fā)現(xiàn)你防不住的攻擊才能去改進(jìn)它，但是如果這種攻擊本身就是發(fā)現(xiàn)不了的，那你也沒有辦法去改進(jìn)。所以就有了第四象限，就叫威脅聯(lián)動(dòng)?，F(xiàn)在講的比較活的威脅情報(bào)，其實(shí)是放在第四象限的。為什么會(huì)有這個(gè)東西呢?就是假設(shè)如果能夠把千千萬萬的企業(yè)聯(lián)結(jié)在一起，一家企業(yè)產(chǎn)生的問題能夠進(jìn)行有效的分析之后，然后同步給其他企業(yè)，那我作為其他企業(yè)來講，并沒有被黑客攻擊，但是我能夠知道這種黑客攻擊的方法，在我的業(yè)務(wù)系統(tǒng)里面，是不是能夠繞開我的防御系統(tǒng)，是不是能夠逃避我的監(jiān)測(cè)能力?所以我就能夠有針對(duì)性的在我自己體系內(nèi)去修改，去加強(qiáng)我的防御和監(jiān)測(cè)。所以使得這個(gè)圈就不再是每家公司孤立的轉(zhuǎn)，而是整個(gè)行業(yè)的公司，有一家在轉(zhuǎn)這一個(gè)圈的時(shí)候，其他的企業(yè)也跟著轉(zhuǎn)一圈，這樣對(duì)于每家企業(yè)來講安全體系的進(jìn)化就會(huì)變得非?？焖伲夷軌蚝芎玫母M(jìn)最新的情況。所以這個(gè)就是第四象限，那防御、監(jiān)測(cè)、回溯、分析和威脅聯(lián)動(dòng)，就構(gòu)成了自適應(yīng)的安全體系，它的核心就是人的持續(xù)監(jiān)控和分析。

自2014年6月Gartner提出這個(gè)體系后，整個(gè)安全行業(yè)特別是美國的和以色列的，都在往這個(gè)體系上走。如果大家會(huì)硅谷看一下的話，就會(huì)發(fā)現(xiàn)各個(gè)公司都在做自適應(yīng)安全。在未來越來越動(dòng)態(tài)和復(fù)雜的環(huán)境下，如何把安全做好，如何抵御哪怕是最專業(yè)的黑客的攻擊，設(shè)計(jì)這個(gè)自適應(yīng)的安全體系就是為了解決這個(gè)問題。

自適應(yīng)安全體系

因?yàn)樽赃m應(yīng)安全的體系，在國外是由眾多硬件構(gòu)成的，但是由硬件構(gòu)成的體系有一個(gè)問題。第一，各個(gè)廠商的設(shè)備之間沒法很好的做溝通協(xié)作。第二，它的成本也會(huì)非常的高。第三，即便你有很多產(chǎn)品來構(gòu)成這個(gè)體系，但其實(shí)還是需要去做一個(gè)管理系統(tǒng)的，就是把這些零散的產(chǎn)品能夠整合在一起，變成一個(gè)統(tǒng)一的、完整的東西，所以在國外雖然自適應(yīng)安全提出來之后，大家都看到是一個(gè)未來的方向，但是事實(shí)上他的落地是非常慢的，可能就是真的需要比如說五年到十年的時(shí)間，才能慢慢落地，但是在中國情況不一樣。因?yàn)橹袊陌踩珡S商數(shù)量其實(shí)也比較少，細(xì)分也沒那么高，相比美國來講，中國安全的行業(yè)，還是一個(gè)比較狹窄，并且就是比較傳統(tǒng)和保守的行業(yè)。

所以，構(gòu)建這個(gè)體系時(shí)青藤云安全選擇從底層做起，先做了一個(gè)最基本的架構(gòu)，這個(gè)架構(gòu)是一個(gè)軟件的架構(gòu)，它是由三種Agent加sever構(gòu)成的。這三種Agent，第一種是需要裝在每臺(tái)服務(wù)器上的。它可以裝在虛擬機(jī)里面，也可以裝在物理機(jī)，可以裝在阿里云上，也可以裝在UCloud和AWS上，所以它是跟基礎(chǔ)架構(gòu)無關(guān)的。第二種Agent，能夠把任意一臺(tái)虛擬機(jī)或者物理機(jī)變成一個(gè)流量分析的設(shè)備，只要你把流量丟給它，它就能夠從流量中分析出東西來。那這兩個(gè)東西最大的特點(diǎn)是什么呢?就是它是相互聯(lián)動(dòng)和配合的，它是一個(gè)整體，而不是零散的東西，而且它們干的事情跟傳統(tǒng)的安全I(xiàn)PS、IDS、防火墻都是截然不同的。第三個(gè)Agent是一個(gè)分布式的外部系統(tǒng)。它能夠站在外部來看待問題，所以這三種Agent其實(shí)代表了看待問題的三個(gè)角度，第一個(gè)角度就是一家企業(yè)內(nèi)部的角度，因?yàn)樵诿颗_(tái)機(jī)器上都有Agent，所以它能夠像人一樣的站在內(nèi)部來看待問題。第二個(gè)角度就是站在網(wǎng)絡(luò)和邊界的角度，也就是站在業(yè)務(wù)內(nèi)部和業(yè)務(wù)外部的邊界處，來感知你很多的信息。第三個(gè)角度，就是站在一個(gè)獨(dú)立第三方的角度，就是作為一個(gè)獨(dú)立第三方，我是怎么來看待這些資產(chǎn)和問題的?所以這三種角度，就帶來了一個(gè)非常完整的視角。

演講視頻：http://edu.51cto.com/lesson/id-100718.html