何朝曦:构建云化安全能力的三个建议
11月12日,深信服智安全创新峰会在云端拉开帷幕,深信服创始人&CEO何朝曦在《构建云化时代的安全能力》主题演讲中指出,业务云化已成为用户实现数字化转型与变革的重要方式,这种跨时代的变迁对用户的安全能力提出了更高的要求,而构建云化时代的安全能力,可以从采用云化交付的安全产品和服务、构建适合云和云原生应用的保护能力、采用适配于云时代的IT基础设施这三个方面着手。
直面云化安全挑战,何以就绪
云计算之所被称为变革性技术,是因为它给业务带来的是全方位的改变。
- 第一个改变是更广泛,云化时代业务部署的环境更广泛,组织需要管理的终端类型也更多样化。
- 第二个是更快速,云时代IT资源和能力可以快速应用到业务创新上,应用的迭代速度也变得前所未有地快。
- 最后是更复杂,云原生架构和开源代码的广泛应用,让IT架构和应用变得越来越复杂。
何朝曦指出,云化时代的这种巨大变化,为用户的安全工作带来了许多新的挑战。首先,传统的安全问题,到了云化时代依然存在,而上云之后,新的安全问题接踵而至,例如对容器、对API的攻击等等,而传统的安全产品大多无法直接部署到云环境中。其次,多云、多终端的环境下,安全保护和运营管理是割裂的。再次,传统的不能迭代的安全产品和服务已经跟不上云化时代业务变化的速度和攻击的速度。最后,云化架构的复杂性,也使得安全保护变得更复杂,成本更高,需要有更简化的方式来实现安全保护。
云化时代安全能力建设的三个建议
针对云化时代用户面临的种种挑战,何朝曦提出了三个建议,助力用户构建云化时代的安全能力。
第一个建议,采用云化交付的安全产品和服务。
云化的业务需要云化的安全来保护,绝大多数安全产品的能力实际上都可以用云化的方式进行交付。比如网关安全、终端安全可以被SASE、云化的XDR来代替,而传统的人工安全服务,也可以使用永久在线、持续对抗的MSS安全托管服务来代替。云化的安全产品和服务能够快速部署、快速演进,大幅简化用户在产品交付和运维上的工作。
在云化时代,深信服已率先将自己的安全能力全面云化,为用户提供云化的交付产品和方案。2018年,深信服在国内率先发布了MSS托管式安全运营服务,通过三年的积累,深信服率先将MSS升级到2.0时代,打造随需可得的托管式安全运营能力,覆盖组织安全工作的核心场景,包括日常安全运营、实战攻防运营、等保合规运营、勒索专项运营等等。并实现标准化、规模化交付能力,服务用户超过1000家。未来,深信服还将持续升级安全运营中心的能力,通过打造超级自动化平台、云端智能机器人、云端高级专家团等方式持续提升平台的安全能力。
同时,深信服的SASE业务将具备丰富的安全栈,包括防火墙、VPN、SD-WAN、全网行为管理、终端安全、失陷主机检测等多种常用的安全保护能力,未来还会加入零信任、数据保护等新的安全栈。截止到今年9月,深信服在全国部署了超过25个POP节点,覆盖了大部分省份,用户累计超过3500家,在线保护的终端超过50万个。
第二个建议,构建适合云和云原生应用的保护能力。
何朝曦认为,在多云共存时代,用户的安全策略也应当是跨云的,需要统一进行管理,实现统一的安全保护。因此,用户最好选择可以SaaS化交付的、实现统一跨云环境的安全保护产品和平台。
在云原生时代,如果想充分发挥出 DevOps 在业务开发上的敏捷性和响应力,就必须将IT安全防护融入业务的整个生命周期中,因此DevSecOps应运而生。安全不应该是业务上线和运维阶段才考虑的问题,而是在业务规划、开发、测试、上线、运维的每一个环节,都嵌入安全开发机制,从而更早发现风险,更早修复,大幅提升业务安全性。何朝曦表示,深信服在采用了DevSecOps的开发模式之后,产品的安全性得到了大幅地提升,也非常愿意向所有用户开放在DevSecOps方面积累的能力和经验。
此外,云化环境下,传统的网络边界已经消失,几乎所有的终端、网络都是不安全的环境,因此在云的时代,要重新建立新的安全保护模型。零信任架构是目前业界广泛认可的用来实现跨云保护的一种安全模式。何朝曦指出,零信任很美好,但是落地往往不如意,用户在建设零信任体系时,要充分考虑相关产品和方案的可落地性,不能选择过度复杂的产品导致方案无法落地。
深信服已经将全网行为管理、VPN等多款安全品与各种系统和终端做进行适配,在零信任方面积累了很多成熟的技术。因此,深信服在落地零信任方案时,可以极大简化用户的工作。仅今年,深信服落地的超过5000点的大型零信任方案就有50多个。
第三个建议,采用适配于云时代的IT基础设施。
何朝曦强调,如果基础设施能够内置安全能力,可以大幅减少用户在云时代下的安全风险。用户本地建设的基础设施,包括私有云平台、超融合等,安全能力和基础设施几乎是完全解耦的,需要单独考虑安全建设问题。在云化时代下,用户需要更多的采用天生具有安全保护能力的数字化基础设施,比如能够内置防勒索的存储,内置微隔离的网络,具备虚拟补丁的计算平台等等。
当然,这种适配于云时代的IT基础设施建设,并非要把企业已有安全设施全部替换掉。企业已有安全设施在云下的环境中仍然发挥作用,而把传统安全产品的部分能力云化并纳入跨云管理平台,就能够成为云化环境安全保护的一部分,不但大幅提升安全效果,也简化了交付的复杂性。
深信服智安全护航云化时代
回归云化时代用户对安全的最本质诉求,何朝曦表示,就是要有效,不但要有效保护业务,还能有效对抗攻击。
虽然安全本身不会给业务创造价值,但安全缺失给业务造成的损失将远超想象。因此安全一定要足够简单,同时又足够可靠,要让用户越来越省心,而不是越来越复杂。这也一直是深信服智安全所倡导的“简单有效、省心可靠”理念。
