近日，在2022騰訊全球數(shù)字生態(tài)大會上，以“安全守護，行穩(wěn)致遠”為主題的「云原生安全專場」順利召開。在深入討論云原生安全的行業(yè)發(fā)展趨勢、技術(shù)探索、產(chǎn)品創(chuàng)新和落地實踐的同時，騰訊安全提出了云原生安全“一體化”戰(zhàn)略，并發(fā)布騰訊云原生安全“3+1”一體化解決方案，以“一體化”的思路重構(gòu)云上安全防御體系。

　　基于“安全極簡”思路下的一體化解決方案

　　在全球數(shù)字經(jīng)濟浪潮的沖擊下，數(shù)字化轉(zhuǎn)型已成為企業(yè)和組織應(yīng)對未來不確定性的唯一選擇。云計算作為企業(yè)數(shù)字化轉(zhuǎn)型的得力武器，正從傳統(tǒng) IT 架構(gòu)向云原生架構(gòu)轉(zhuǎn)型，并已成為企業(yè)數(shù)字化的一條必由之路，亦是企業(yè)數(shù)字創(chuàng)新的最短路徑。

　　Gartner報告曾指出，到2022年，將有75%的全球化企業(yè)將在生產(chǎn)中使用云原生的容器化應(yīng)用?，F(xiàn)實中我們也看到越來越多的企業(yè)和開發(fā)者開始把業(yè)務(wù)與技術(shù)向云原生演進，在這一進程中，云原生化后的安全問題也開始凸顯，成為當前企業(yè)要面臨的一大挑戰(zhàn)。

　　信通院在對云原生技術(shù)應(yīng)用的調(diào)研結(jié)果顯示，安全性連續(xù)兩年成為企業(yè)用戶的最大顧慮，2021年近七成用戶擔心在生產(chǎn)環(huán)境中大規(guī)模應(yīng)用云原生技術(shù)時的安全性。而在企業(yè)內(nèi)部，云原生安全領(lǐng)域的能力建設(shè)剛剛起步，20%的用戶云原生環(huán)境沒有任何安全防護。另外，根據(jù)騰訊安全的統(tǒng)計數(shù)據(jù)顯示，在2022年間，已披露的漏洞數(shù)量超過了2.5萬個，而其中高危漏洞數(shù)量更是超過4000個，但整體的修復率卻不足20%，這背后所潛藏的風險可想而知。

　　同時，針對云上的攻擊還呈現(xiàn)出一種令人更加不安的趨勢——復雜攻擊大幅增長，這意味著攻擊者已經(jīng)開始動用多種攻擊手法對目標實施入侵行為，相較于以往單一攻擊手法的攻擊方式而言，大大提升了企業(yè)的防御難度，也對企業(yè)的安全建設(shè)提出更高、更復雜的要求。

　　一方面是云安全態(tài)勢愈加嚴峻，企業(yè)對安全性也有了較高的重視，但另一方面，企業(yè)云原生安全建設(shè)卻依然較為緩慢，那這背后有著怎樣的原因呢？據(jù)了解，在2022年間，騰訊安全對云上用戶進行了深度的溝通和調(diào)研，發(fā)現(xiàn)僅有不到15%的客戶配備了安全運營團隊，并且其中只有23%是有專業(yè)安全背景的?？梢钥闯?，目前安全對于客戶來說還是有很高的門檻，處于 “敵強我弱”的狀態(tài)。

　　而網(wǎng)絡(luò)安全本身具備較高的復雜度，往往需要很強的專業(yè)背景和復雜的操作配置。

　　總結(jié)來看，網(wǎng)絡(luò)安全呈現(xiàn)三大特點：1、形勢嚴峻，漏洞多攻擊多；2、敵暗我明，不知道怎么防；3、門檻又高，要求專業(yè)背景高，人手嚴重不足。

　　可見安全的門檻依然相對較高，無論是知識、人才還是實操能力都相當匱乏，這也意味著多且復雜的安全概念及相關(guān)產(chǎn)品不僅會給用戶帶來高昂的學習、管理成本，也難以充分利用并發(fā)揮安全產(chǎn)品所能提供的防護能力，進而無法有效應(yīng)對風險。

　　騰訊安全認為安全能力持續(xù)演進的同時更應(yīng)該降低使用的門檻，讓安全變得足夠簡單，最好是能一鍵搞定。因此在2022年，騰訊安全提出云原生安全一體化戰(zhàn)略。騰訊安全認為，如何將安全進一步簡化，讓云上用戶以較低成本實現(xiàn)更有效、更便捷的應(yīng)用就成為整體安全建設(shè)過程中的關(guān)鍵。

　　董文輝表示，基于“安全極簡”的思路，幫助客戶實現(xiàn)低成本且快速地搭建安全防御體系，在降低運營成本的同時還能做到提升整體安全水平，是提出云原生安全一體化戰(zhàn)略的主體思想，而此次推出的云原生安全“3+1”一體化解決方案正是這一戰(zhàn)略的落地，通過產(chǎn)品一體化、技術(shù)架構(gòu)一體化、安全能力一體化和運維體系一體化，令企業(yè)安全運營“化繁為簡”。

　　據(jù)介紹，云原生“3+1”一體化解決方案可以簡單理解為3道安全防線+1個安全中心，它覆蓋了網(wǎng)絡(luò)安全、應(yīng)用安全、主機安全和安全運營管理4個維度，建立立體縱深的安全防護體系。具體到產(chǎn)品層面，“3”對應(yīng)的則是云防火墻、云WAF以及云主機安全產(chǎn)品，而“1”則是上個月（2022年11月）剛剛推出的新品——云安全中心。

　　龍海表示：“通過‘1’個云安全中心提供中心化的視角，幫助企業(yè)用戶看到整個云上的資產(chǎn)、風險、事件，與‘3’個單品所提供的原子能力打通，彼此之間形成網(wǎng)格化的聯(lián)動，依靠它們之間的相互關(guān)聯(lián)和支撐去提升防護效率和使用效率，進而可幫助用戶解決大多數(shù)的安全問題?！?/p>

　　這里我們以2021年12月發(fā)現(xiàn)的log4j漏洞為例，如果我們以傳統(tǒng)的防御方式去處理，那么從漏洞的爆發(fā)，到企業(yè)檢測受影響的資產(chǎn)、開啟防護的補丁，再到最終漏洞的修復或者隔離，企業(yè)一般需要在至少5款產(chǎn)品中進行數(shù)十項的操作配置，整個流程往往需要花費180個小時以上的時間。而在騰訊云安全中心，整個流程可以縮短至2個小時以內(nèi)。

　　而騰訊安全的“3+1”一體化安全解決方案之下，由于各個安全產(chǎn)品所提供的原子能力已經(jīng)以插件化的形式串聯(lián)起來，在為客戶提供網(wǎng)格化安全能力的同時，其各自產(chǎn)生的數(shù)據(jù)匯集至云安全中心，并進一步提供中心化的資產(chǎn)視角、場景視角以及事件視角，進行關(guān)聯(lián)分析、溯源，在對人員的安全能力要求不高的情況下即可實現(xiàn)高效的處置，整個流程可以縮短至2個小時以內(nèi)，相比傳統(tǒng)的處置方式提高數(shù)十倍。

　　由此可見，云原生安全一體化戰(zhàn)略的本質(zhì)重點體現(xiàn)在兩點：一是降低客戶使用安全產(chǎn)品的門檻；二是提高客戶使用安全產(chǎn)品的效率，以一種利于企業(yè)用戶降本增效的方式提升安全建設(shè)水平，從而開創(chuàng)一幅雙贏局面。

　　SaaS企業(yè)用戶安全建設(shè)的更優(yōu)解

　　從需求到應(yīng)用 銷售易談騰訊安全一體化方案實踐效果

　　銷售易作為一家以SaaS模式提供CRM系統(tǒng)及服務(wù)的企業(yè)，一方面要做好自身的安全運營和保障，相當于自己扮演一個甲方的角色；另一方面作為軟件服務(wù)提供商也要充分保障給客戶提供的SaaS應(yīng)用系統(tǒng)及其數(shù)據(jù)的安全性，相當于還要扮演一個乙方的角色。這種身兼兩種角色的定位，也讓銷售易深知安全性對企業(yè)發(fā)展乃至生存的重要性。在談及為何會選擇騰訊安全的這套云原生安全一體化解決方案時，李哲祎也為我們分享了他在當時的一些思考。

　　安全需求——云原生架構(gòu)是必要的優(yōu)先選項

　　據(jù)了解，銷售易的整體安全建設(shè)需求主要集中在三點：

　　1 數(shù)據(jù)重要且敏感，對系統(tǒng)安全性要求極高：由于CRM系統(tǒng)承接的數(shù)據(jù)是企業(yè)核心商業(yè)機密，因此其安全性必須得到強有力的保障，對系統(tǒng)的抗攻擊能力、數(shù)據(jù)防泄漏能力、安全可配置能力、安全審計能力都有著極高的要求；

　　2 應(yīng)對業(yè)務(wù)上下游集成所帶來的安全挑戰(zhàn)。這也是CRM與其他一般業(yè)務(wù)系統(tǒng)有所區(qū)別的特點之一，銷售易為客戶提供了包括系統(tǒng)平臺層的自定義代碼能力，客戶可以直接將自己制作的代碼上傳到銷售易平臺，以提供滿足其部分業(yè)務(wù)場景所需的功能。那么由此產(chǎn)生兩個安全挑戰(zhàn)——一是如何保護這部分功能產(chǎn)生的業(yè)務(wù)數(shù)據(jù)；二是如何規(guī)避客戶制作的代碼中可能會出現(xiàn)的漏洞，以避免后續(xù)由此引發(fā)更大的安全風險。

　　3 云原生安全架構(gòu)。由于銷售易CRM系統(tǒng)自身是基于云原生構(gòu)建的，廣泛使用了包括云端IaaS、PaaS能力，因此對云原生產(chǎn)品的安全特性和相關(guān)安全產(chǎn)品有著更嚴格的要求。

　　基于上述三點需求，意味著銷售易初期就確定必須要優(yōu)先考慮以云原生理念設(shè)計的安全產(chǎn)品、平臺。在李哲祎看來，為更好地滿足上述需求，還應(yīng)重點考察以下幾點：

　　1 安全產(chǎn)品的規(guī)則方面需重點考量完整度、可配置程度以及更新速度。其中完整度要看是否能廣泛覆蓋當前大多數(shù)的攻擊場景；可配置程度則關(guān)注其是否可以充分滿足用戶對產(chǎn)品安全規(guī)則的個性化配置需求；規(guī)則的更新速度則在一定程度上決定了產(chǎn)品幫助企業(yè)規(guī)避風險能力的高低，且應(yīng)做到在不影響產(chǎn)品正常使用的情況下達成第一時間快速防護目的。

　　2 運營的復雜度。由于銷售易是多云、多租戶的架構(gòu)，因而必須要考慮包括接入、部署、維護（如定制規(guī)則、告警處理）等涉及安全運營的復雜度以及對工作量的要求，應(yīng)盡可能達到便捷且高效的水平。

　　3 安全產(chǎn)品的資質(zhì)。這依然體現(xiàn)在兩個方面，一是安全產(chǎn)品資質(zhì)能否滿足客戶對銷售易供應(yīng)商資質(zhì)的考核；二是能否滿足銷售易對于安全產(chǎn)品供應(yīng)商的考核。如果安全產(chǎn)品能夠具備如銷售許可、測評報告等國內(nèi)外專業(yè)機構(gòu)認可的資質(zhì)，將會有利于像銷售易這樣的企業(yè)在其客戶層面贏得更多認可。

　　為何騰訊安全一體化解決方案會成為銷售易的第一選擇？

　　可以看出，銷售易在安全產(chǎn)品選型方面有著嚴格且細致的要求，那么騰訊安全所推出的云原生安全一體化解決方案最終是如何脫穎而出成為銷售易的第一選擇呢？現(xiàn)場嘉賓也為我們作了較為詳盡的闡述。

　　● 在涉及安全規(guī)則的能力方面，恰好是騰訊安全作為一家綜合性安全廠商所擁有的優(yōu)勢，一方面是借助其內(nèi)部大量的后端能力，包括各種引擎、安全專家團隊都在時刻關(guān)注各類風險，并可實現(xiàn)快速響應(yīng)。以漏洞舉例，當一個新的漏洞出現(xiàn)在權(quán)威機構(gòu)發(fā)布的最新公告中，或是出現(xiàn)在一個社交媒體的消息中，都可做到敏銳地察覺，隨后根據(jù)漏洞級別進行不同等級的快速響應(yīng)。董文輝表示，如Log4j這種級別的漏洞，一般在2-3個小時內(nèi)即刻完成響應(yīng)；另一方面，騰訊安全旗下的眾多產(chǎn)品幾乎每日都能發(fā)現(xiàn)各種形式的攻擊行為，各個產(chǎn)品團隊都會第一時間去更新和完善相應(yīng)的安全規(guī)則，其速度可以快到分鐘級。需要強調(diào)的是，這些更新不僅針對被發(fā)現(xiàn)風險的應(yīng)用，而是會聯(lián)動到一體化解決方案下的所有產(chǎn)品，可在用戶完全無感知的情況下實現(xiàn)全面的更新和完善，令整體安全防護效率大幅提升。

　　騰訊云原生安全3+1一體化架構(gòu)圖

　　● 在運營的復雜度方面則更容易解釋，因為降低復雜度恰好是騰訊安全推出云原生安全“3+1”一體化解決方案的初衷之一。董文輝介紹道，“3+1”一體化解決方案甚至可以做到即開即用，無需部署。在使用過程中，該方案也始終堅持“一鍵化”的思路，將三道防線的安全產(chǎn)品串聯(lián)起來，在云安全中心就能實現(xiàn)一鍵開啟、一鍵體檢、一鍵處置，這大大降低了用戶的使用和認知門檻，既提高了產(chǎn)品的使用效率，也提高了威脅處置的效率。

　　● 在安全產(chǎn)品資質(zhì)方面，李哲祎表示，有著20年防護經(jīng)驗的騰訊安全本就具有較強的品牌效應(yīng)，其安全產(chǎn)品也可以令銷售易的客戶為之信服。此外，騰訊安全的產(chǎn)品不僅擁有包括完整的各類相關(guān)許可資質(zhì)，還屢屢收獲國內(nèi)外權(quán)威機構(gòu)的認證，在銷售易與客戶關(guān)于安全性的溝通過程中，都有著非常好的效果。

　　收獲肯定——兩大超預期“驚喜”贏得“物超所值”評價

　　相信大家和筆者一樣，在了解了該一體化解決方案的理念、特色和優(yōu)勢之后，更關(guān)心它的實際落地成果，那么作為真實用戶，李哲祎則用簡短的四個字概括了在應(yīng)用該方案后的切身感受——物超所值。

　　在溝通中我們得知，銷售易早前曾部署和使用過其他廠商的云安全產(chǎn)品，但在應(yīng)用過程中發(fā)現(xiàn)存在包括網(wǎng)絡(luò)延遲高、配置復雜度高以及防護規(guī)則精細度不夠等諸多問題，進而導致對業(yè)務(wù)產(chǎn)生影響，經(jīng)多方面的審慎評估后，銷售易決定使用騰訊云WAF產(chǎn)品來替換舊有的安全產(chǎn)品，李哲祎也重點以騰訊云WAF在實際應(yīng)用過程中給他帶來的“驚喜”點做了分享。

　　1 整體漏洞規(guī)則的及時快速更新。這也是李哲祎在本次訪談中反復強調(diào)的重點，因為每當有可與系統(tǒng)關(guān)聯(lián)的新漏洞在網(wǎng)絡(luò)上曝光時，大量客戶會就這一漏洞及相關(guān)風險來與銷售易進行溝通，對其嚴重性、處置進度等高度關(guān)注，因為一旦造成嚴重后果，就會觸發(fā)雙方合同中的安全相關(guān)條款，還要承擔部分賠償責任。在應(yīng)用了騰訊安全的云WAF之后，在包括去年的Log4j以及Spring框架相關(guān)的嚴重漏洞曝光后，該產(chǎn)品都實現(xiàn)了第一時間對規(guī)則進行更新，其速度之快令人驚喜，既保證業(yè)務(wù)系統(tǒng)的正常運行，又對相關(guān)風險實現(xiàn)了有效防護。在李哲祎眼中，這無疑是與騰訊在威脅情報的收集整理、漏洞研究、規(guī)則引擎能力以及安全專家團隊方面的優(yōu)勢不無關(guān)系，也是其產(chǎn)品能力強大的重要體現(xiàn)。

　　2 騰訊云WAF的AI能力。“在初次使用這款云WAF產(chǎn)品時，它的AI能力給我非常大的驚喜?！崩钫艿t回憶道。“以往傳統(tǒng)的產(chǎn)品能力可以將其視為規(guī)則化的能力，但騰訊安全將AI利用到安全產(chǎn)品中的能力值得肯定，比如Bot的能力，只需要通過一個簡單的開關(guān)就可以將能力啟用，而通過其學習算法，還可做到及時發(fā)現(xiàn)存在于我們系統(tǒng)中之中的惡意行為?！痹谒磥?，這相當于給他們提供了對未知威脅的識別能力，完全超出此前的預期。

　　騰訊云WAF產(chǎn)品架構(gòu)圖

　　“以業(yè)內(nèi)對比來看，騰訊安全的一體化解決方案在總體成本方面是可控的，并且能夠幫助我們在云原生架構(gòu)下形成整體的縱深防御，完全達到了我們預期的防控效果，有些功能甚至是超預期的。除此之外，在我們合作的過程中，我們會將自己的一些SaaS化業(yè)務(wù)專有的特殊需求提交給騰訊安全的相關(guān)團隊，他們對此表現(xiàn)出極高的重視，在很短的時間內(nèi)就完成了從產(chǎn)品設(shè)計到最終的迭代上線全過程，從產(chǎn)品到服務(wù)都給我們很好的體驗。”李哲祎總結(jié)道。

　　通過上述內(nèi)容不難看出，騰訊安全在產(chǎn)品方面為銷售易提供了“超預期”的能力和服務(wù)，是令李哲祎選擇用“物超所值”來形容這套一體化解決方案的根本原因。

　　橫向+縱向擴展

　　助力企業(yè)用戶實現(xiàn)云上安全“一鍵”化

　　云原生安全一體化作為騰訊安全未來的戰(zhàn)略之一，“3+1”一體化解決方案肯定是需要持續(xù)演進的。未來，騰訊安全在這一戰(zhàn)略指引下又會有什么樣的規(guī)劃和舉措呢？

　　董文輝表示，從總體規(guī)劃思路角度看，未來這一戰(zhàn)略將會有兩個擴展的方向：

　　01 橫向擴展

　　“騰訊云的邊界延伸到哪里，我們的云原生安全一體化解決方案就會覆蓋到哪里?！倍妮x表示，目前云原生一體化解決方案除了覆蓋公有云之外，在私有云上也已覆蓋。比如，有大量的用戶（如金融行業(yè)）因各種原因需要工作在專有云（私有云）的場景之下，他們都會用騰訊專有云企業(yè)版（Tencent Cloud Enterprise，簡稱 TCE）。

　　“如今，多云部署和混合云部署正快速增長，所以騰訊云原生一體化解決方案將橫向擴展會到覆蓋混合云，這一規(guī)劃目前已處于實施階段?！倍妮x提到。

　　02 縱向擴展

　　“除了當前我們在公有云上會更多地在‘右側(cè)’防護（如基礎(chǔ)環(huán)境安全等）做覆蓋之外，未來我們還會把關(guān)注點進一步‘左移’，做到兩端同步演進發(fā)展，滿足用戶的更多訴求?！倍妮x談道，騰訊安全目前已經(jīng)在開發(fā)安全領(lǐng)域擁有較強的能力積累，下一步會考慮將代碼安全、軟件成分分析、DevSecOps等“安全左移”理念下的產(chǎn)品，與包括情報等在內(nèi)的能力進行整合，都會納入云原生安全一體化的戰(zhàn)略之下，“相信明年會在這方面看到一些進展，而且我們會用很巧妙的方式去做。”

　　目前尚不知他描述中的“巧妙”一詞作何解釋，但這的確讓我們增加了些許期待。

　　隨著企業(yè)上云動作的不斷提速，安全上云的趨勢已不可逆，而云化帶來的邊界消失，也令傳統(tǒng)的安全架構(gòu)面臨嚴峻的挑戰(zhàn)，花費重金堆砌的眾多安全產(chǎn)品各自為戰(zhàn)，大量的安全告警令安全運營人員應(yīng)接不暇甚至顧此失彼，難以有效、高效應(yīng)對安全風險。相比之下，基于云原生的安全架構(gòu)則具備較強優(yōu)勢——更簡單的資產(chǎn)梳理、更快的響應(yīng)速度、更具彈性的抗攻擊能力。

　　騰訊安全在此基礎(chǔ)上通過將旗下各個產(chǎn)品進行融合，彼此之間進行有效的聯(lián)動，并以云原生安全“3+1”一體化解決方案的方式交付，更進一步地降低了用戶側(cè)的安全建設(shè)復雜度，同時提高了安全產(chǎn)品的使用效率，在快速構(gòu)建云上安全體系的同時，克服傳統(tǒng)安全產(chǎn)品架構(gòu)的眾多缺陷，快速有效地提升了企業(yè)整體安全防護能力，這些特點也通過來自銷售易的應(yīng)用實踐分享而有了真切的感受，更令我們對騰訊安全云原生安全一體化戰(zhàn)略的未來——云上安全“一鍵”化有了諸多期待。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<