一个安全人眼中的“十年云安全战争” – 作者:史中浅黑科技

大家好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事,不妨加微信(微信号:shizhongst)告诉我,反正我也不一定撩得到。



一个安全人眼中的“十年云安全战争”

文 | 史中


我觉得,能体现人类最高级文明的生活方式 ,就是“宅”。

你想想,一个人整月都不出门,却能从门口取回天下美食,取回衣帽鞋袜;能从手上的屏幕学习国际大事,阅尽岛国女神,不会落后其他人哪怕一秒。这简直是时代的胜利。。。

外卖、资讯、聊天,这些我们每天都用到的黑科技就像一座摩天大楼,身下的地基只有一个:计算。如果在计算前加一个限定,那就是云计算。

讲真,在今天这个时间点,云计算要是凉了,什么衣食住行肯定全都挂了。所以,现在有很多安全企业的饭碗就是:“拱卫云计算的安全”。

不久前,我遇到了亚信安全的通用安全产品中心总经理童宁。我发现,对于中国云安全的历史故事,他是一位很合适的讲述者。

Clipboard Image.png

童宁

说他适合讲这段故事,有两个原因:

1、活久见。亚信安全的前身趋势科技中国,自称是全球最早定义“云安全”的厂商,在这个池子里已经游了十年。(要知道云计算本身也才有十二年历史。)

2、两种视角。2015年亚信科技收购了趋势科技中国,成立了亚信安全。童宁也随之进行了身份转变。

这就让他们能从内外两个角度描述云安全的“中国往事”。

Clipboard Image.png

一、2008-2015:算力就像中国的人口,不断向大城市聚集 

过去十年,有一个有趣的现象:我们身边的算力在迅速而且不可逆地聚集。就像最近半个世纪,我们身边的有志青年逐渐向北上广深聚集一样。

百川归海,最终形成了今天的“云计算”形态。

童宁回忆往事,把十年历史分为三个阶段。

1、虚拟化:计算的乡村

Clipboard Image.png

在十年前的 2008 年,计算的“上古时期”,单纯的宝宝们相信一是一、二是二:一台计算机,运行一套系统,提供一套服务。天经地义。

但是,脑洞爆表的人类发现了一个更酷的玩法:计算机的本质是计算力,而计算力怎么能受物理机箱的限制呢?我可以用代码的形式,强行把一台计算机分割成虚拟的两台计算机,让他们分别运行不同的任务。

这种切分机器的方法就是如今大名鼎鼎的“虚拟化”。大名鼎鼎的 VMware 公司就是虚拟化的始祖,至今还有很多企业在使用 VMware 的虚拟系统。

就这样,一发不可收拾,计算力被继续分割。以至于一台服务器拖动60-80个桌面,执行60-80套任务,这些都是日常操作,不用扣6的。

好的,现在问题来了:

一台机器分出了几十号虚拟主机,那么是否每个虚拟主机都要安装杀毒软件呢?

这其实是个挺有趣的问题。

想象一幢大楼,原本属于一家公司,门口站着一位保安。但是后来老板把大楼分成了60间办公室,租给了60家公司。那么每家小公司都需要自己重新配备一个保安吗?

Clipboard Image.png

讲真,一般的办公楼里并不是每个公司门口都有保安。所以当时趋势科技觉得,在每一个虚拟机里安装杀软也没有必要。于是他们仗着对自己的技术水平还可以,和 VMware 合作开发出一个“通用保安”,用一个人来保卫60个公司。这就是他们津津乐道的“无代理”安全技术。

说起来,这就是云安全的最初形态之一了。

注意,这个时候借助虚拟化技术,几十组相互独立的算力,已经能够汇集到一台物理机上了。几十个用户,就像一个村庄一般组织在服务器里,相互独立又分享资源。我们刚才提到的算力集中化的浩荡历史,自此拉开了帷幕。

2、资源池:计算的城镇

Clipboard Image.png

2013 年以后,虚拟化已经成为了家常便饭。VMware 成为了炙手可热的牛X公司,趋势科技也借着自己虚拟化安全的能力,赚得盆满钵满。

但与此同时,各行各业都明显发现,自己需要的算力比想象中更惊人。中国互联网像脱缰的野狗一样往前冲,政府、银行、券商、运营商、国企、私企业务爆棚,都要扩充自己的算力。于是他们开始大量购买服务器,买服务器就要花钱,如此循环往复,购买、管理、运营的成本暴增。

于是,本来就负责管理全国网络的三大运营商看到了商机,在他们的主导下出现了几大数据中心,用几千台服务器做成一个资源池,租给用户或者卖给用户。

注意,这种局面形成,客观上让算力更进一步集中了。如同一个城镇有上万人,资源池里往往也汇聚了上万组独立的算力。

这时就出现了新的安全需求。租户的业务五花八门,“资源池”没办法具体地照顾到每一个租户的安全。所以他们想到了一个一劳永逸的办法:定制统一的安全系统,分配给各个租户,让他们自己来管理自己的安全。

看过电影《看上去很美》么,

Clipboard Image.png

当小朋友只有几个的时候,老师可以帮他们一个个擦屁股。但是当一个班有几万个小朋友的时候,老师就必须得让每个小朋友自己学会擦屁股。

这时,像趋势科技这样的安全企业,主要提供的就是各个租户可以自己使用的“安全系统”。

3、公有云:计算的超大城市

Clipboard Image.png

云的概念,虽然早在2006年就被谷歌和亚马逊提出,但是直到2015年,中国人才真正接受了“云作为计算力的基石”这个形态。

云计算的核心技术在于大规模的计算力调度。这种调度技术的不断完善,直接导致了两个结果:

1、云上算力进一步集中

2、计算的单位成本进一步越低。

云上的算力已经到了非常集中的状态,以中国最大的公有云阿里云为例,上百万租户同时在一朵云上既独立工作,又分享资源。就像北上广深这样的超大规模城市一样,公有云同样是超大规模的人类组织模式。这堪称人类社会的奇观,你体会一下。

至此,无论是国计民生的政务系统,还是吃喝玩乐的互联网服务,都在以史诗般的速度向云上迁移。以此为基础,各种公有云的变种:“行业云”“政务云”也开始出现。

你看,在生活中,女孩越是依赖男友,就越怕他出轨。云也一样,越是依赖云,云上的租户就越需要云的安全。这时便出现了我们现在公认“云安全”的标准形态:

云本身的安全+云上租户的系统安全

后来的发展证明,云本身的安全更多地被阿里云、腾讯云这样的云计算服务商包揽,而云上租户的安全,就由安全企业提供。

直到这里,我们都在以云安全服务商的低视角来观察整个云计算的历史。接下来,中哥带你飞,我们试着像飞鸟一样,盘旋在祖国上空来继续我们的观察。

从天空俯瞰,一场更为浩荡的变革即将来临。

Clipboard Image.png

二、2015-2017:中国网络安全的“天局”

2015,堪称我心中的中国网络安全元年。

在那一年,启明星辰的股价从14最高涨到了58,绿盟的股价从10最高涨到了49。

在那一年,360 宣布从纳斯达克退市的计划,迈出了“回家”的第一步。

与此同时,提前两年已经从美股退市的亚信科技,平地惊雷地收购了顶尖网络安全企业——趋势科技中国。

从天空俯瞰,似乎有一张硕大的棋盘。每个网络安全企业都像一枚棋子。直到它们在接下来的几年里,组成了一个凌厉的攻势,我们才恍然大悟,这是一场中国在下的大棋。

所谓“没有网络安全,就没有国家安全”。对于中国来说,除了芯片、软件、电子器件这类“核高基”之外,网络安全的能力同样像核武器一样重要。简单来说就是:

关键的网络安全能力,一定要由中国人自己来控制。

如此,我们再把镜头推回到2015年的亚信安全和趋势科技中国,就能体会到更多鲜活的情绪。

当时,轰轰烈烈的网络安全国产化替代浪潮刚刚掀起。凡是外资背景的安全企业,都开始受到准入门槛的限制。

当时,趋势科技果断放手如日中天的趋势科技中国,可谓是一个非常明智的选择。它敏锐地地预料到,外资背景的安全企业在中国的市场空间会迅速收窄。这个过程不可逆。因为,从未来20年的国家战略考虑,中国已经横下一条心,要把“对所有人 Say No”的权利紧紧攥在手里。

如果说网络安全是一个木桶,那么对于彼时的中国来说,“国产云安全技术”这一块木板可谓是非常短。即使是启明、绿盟这样的龙头企业,也没有太多经验。但是站在2015年,行业的精英都看得很清楚,云计算注定会成为整个国家算力的基础。中国云安全技术的强弱,用生死攸关来形容一点都不为过。。

“众里寻他千百度,“趋势”却在灯火阑珊处。”趋势科技彼时已经积累了七年的云安全技术。最终的结局是,亚信得偿所愿布局安全领域,顶尖的云安全技术完整保留在了亚信安全中。

三、2018,云安全关键的几步棋

如当年的云计算先驱所料,如今云安全已经成为柴米油盐水电煤气一样的生活必需品。阿里云一骑绝尘,已经开始布局国际市场;各路大企业,也纷纷建立自己的行业云。

于是我得出两个结论:

1、中国的云计算,已经在世界上处于第一阵营。

2、中国的云安全,正在棋盘上落下事关全局的最关键的那几个子。

那么,问题来了:

从战略角度看,中国需要怎样的云安全呢?

我觉得一般人会忽略的有两点:

1、代码自主可控。

安全很特殊。如果你是一个将军,那么你很可能会选自己的同乡或亲人来做你的警卫员。这说明,保护自己的人,一定要是自己信任的人。

对云计算来说同样如此。尤其是保护政务、银行等国家基础设施的任务,必须由百分百的中国公司完成。“你说什么不要紧,先掏出来身份证来做个政审”,这就是自主可控的核心奥义。

2、稳定。

政务、金融等等重要的基础设施,最需要保证的就是稳定。一旦停止运行,可能会危机整个国民生产。而如果你的安全产品不仅没有保证安全,还直接把系统都拖累得挂掉了,这就是标准的猪队友。

其实不仅是云上的系统,所有系统的根本要求都是三个:稳定、稳定,还是稳定。“业务从来不会为安全让步”,这是一条颠扑不破的真理。

从童宁的角度看,亚信安全之所以这些年发展得不错,恰恰因为做对了这两件事:亚信安全保持了百分之百中国供应商的身份;而因为云安全起步早,当竞争对手还在打磨稳定性的时候,他们已经经历了摸爬滚打,把稳定性保持在优秀的标准线上。

当然,我觉得能在如今的云安全市场上砍下重大份额的安全厂商,产品都具备这两项特质。

3、硬实力。

当然,在满足前两点的情况下,解决问题的效果当然是最重要的。

童宁告诉我,根据他的经验,企业或者政府把系统放到云上,主要就面临两个问题:

已知威胁;

未知威胁。

1)面对已知威胁,最要紧的是“速度”。

这里,有一个黑客进攻的“标准模型”。

黑客研究出一个漏洞,把它放到黑市中出售;

下一级黑客买到这个漏洞,然后开发出一套攻击工具,继续放到黑市中出售;

下一级黑客买到这个工具,直接买来,用在已经“踩点儿”已久的公司上,直接入侵拿到数据。

Clipboard Image.png

从头到尾,几个流程下来,所需要的时间往往只有几小时,最长也不超过一天。

在这个过程中,理论上企业和黑客是在同一起跑线上。一个漏洞被爆出,就相当于“宝藏”藏身之处大白于天下,坏人可以去找,好人同样可以去拿。

只不过,黑客的进攻已经形成了一个巨大的产业链,可谓“纪律严明,井然有序”;而很多企业的防守阵型,显得有点手忙脚乱。

举个例子:

一个企业,在云上搭建了各种系统,有时连自己都难以清点清楚。这时要想一个一个查询,再找到需要打补丁的服务,一个一个打好,往往一周的事件已经过去了。

看过美剧《行尸走肉》或者电影《生化危机》的童鞋,都能想象,面对快速扩张的感染,最有效的方式就是“快”。快速逃离危险区,一旦上岸,之后就只剩下笑看风云了。

Clipboard Image.png

2014年,震惊全球的心脏滴血漏洞,就像生化危机一样,在短时间内席卷全球。

所以,怎么才能用最快速度打好防护补丁呢?这显然需要“自动化”能力。

1、在威胁没来的时候,自动识别自己的系统资产;

2、在新威胁出现的时候,自动快速打好补丁;

3、因为某些具体原因没办法打补丁的情况下,要采用替代方法切断攻击路径。(亚信安全的技术叫做“虚拟补丁”)

虽然有点三观不正,但我还是想说:事实上,熊追你的时候,你只要跑得比最后一名快就行。。。

2)面临未知威胁方面,最要紧的也是“速度”。

可以说天下武功,唯快不破。一个黑客入侵一套系统,有些步骤是不能省略的。

打个比方:

黑客进攻一个云系统,很像进攻一个城池。他需要先放一个“间谍”进来,搞清楚粮草在哪,兵器在哪,城主又在哪。

从这个间谍潜伏在系统里开始,到实质性的进攻被发现,中间的一段时间叫做“自由攻击时间”。

Clipboard Image.png

在自由攻击时间里,黑客每找到一份重要的信息,就会让胜利的天平倾向于坏人一点儿。所以,缩短自由攻击时间,让它趋近于零,是至关重要的。

这种攻击,考验的就是在信息不完备的基础上,实打实的分析能力。就像一个老刑警,确认一下眼神,就能知道对面的是不是小偷。

有时候,连老刑警都说不清楚是为什么,但他就是有感觉。在安全技术中,这就用到了人工智能技术。(之前中哥曾经写过一篇文章,专门介绍了《用人工智能的“阿法狗警犬”做安全检测》,感兴趣可以看一下。)

有一点需要强调,这种发现未知威胁的能力,就像高考语文卷的最后一道作文题,没有绝对客观的数据可以评价,也没有一个“最好”的标准。

所以,在云安全这条路上,所有人都是小学生,也总有人可以做得更好,谁也别骄傲。

四、未来:云安全的“消失”

虽然已经到了2018年,但我觉得云计算还没有发展到它的最终形态。

打个比方:

现在的云计算,有点像攒电脑。用户买来底层云计算服务之后,还要在上面自己安装调试系统。你自己把系统搞崩溃了,跟攒电脑的商家没关系;

未来的云计算,应该像买手机。用户买来的云计算服务,上面集成了所有的系统和安全特性,用户所需要的只是使用,一旦出问题只管找客服。

你可能明白我在说什么了:未来的云安全,应该是“潜在水面之下”的能力,根本不用用户操心。

注意,问题来了。既然云安全应该是云计算的特性,那么未来云安全很可能被整合在底层云计算服务商中,例如阿里云,也许会直接把云安全和云上的安全统统做成一个完整的产品交付。

面对这样的预期,反观现在,第三方云安全公司的生意也许正在一个山顶,接下来可能会遇到下坡路。可谓最好的时代,也是最坏的时代。虽然不知道这一天何时到来,但这是所有云安全厂商的盛世危言。

不过童宁觉得,第三方安全厂商的任务还远远没有完结,他们至少有两条路可走

1)云接入的安全。

无论云上的安全做得多到位,在你接入云的过程中,还是可能面临风险。于是所谓的 CASB(Cloud access security brokers)这类接入云过程中的安全,就会迎来市场的爆发。

2)源代码安全。

如果把对付已知威胁的能力比作医疗,把对付未知威胁的能力比作免疫力,那么源代码安全就是基因工程。如果在开发系统的过程中,就写进了很多漏洞,就像基因里带有缺陷一样,后期如果要医疗,付出的代价是不可想象的。所以,源代码的安全审计,同样是未来的一个爆发的市场。

虽然童宁很骄傲地跟我介绍,亚信云安全的解决方案已经进入77%的中国500强企业、70%的银行、80%的券商,XXXXX,但是我觉得他比别人更清楚,争夺市场本身并不是云安全厂商的终极价值。而有朝一日,中国的云成为世界上最安全的云,才是这些为之奋斗了十年,二十年,甚至三十年的从业者最大的荣光。

Clipboard Image.png

我们把目光收回到这局网络安全的对弈之上。

中国坐在棋盘一侧,而另一边的对手,我们无法选择。

中国的网络安全从业者,看着“云计算”这三个字从无到有,从模糊到清晰。最初很多人并没有想到,自己从事的失业会和这个国家的命运息息相关。庆幸他们并未转身离去,而是选择挺身而出,成为了历史的作者。

十年饮冰,难凉热血。云计算生生不息,他们功成身退的一天,或许永难到来。

但这,正是世界的动人之处。


再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以关注微博:@史中方枪枪,或者搜索微信:shizhongst

不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”

来源:freebuf.com 2018-04-24 16:59:12 by: 史中浅黑科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论