回顾云安全发展:十年饮冰,难凉热血

外卖、资讯、聊天,这些我们每天都用到的黑科技就像一座摩天大楼,身下的地基只有一个:计算。如果在计算前加一个限定,那就是云计算

一、2008-2015:算力就像中国的人口,不断向大城市聚集

过去十年,有一个有趣的现象:我们身边的算力在迅速而且不可逆地聚集。就像最近半个世纪,我们身边的有志青年逐渐向北上广深聚集一样。百川归海,最终形成了今天的“云计算”形态。

1、虚拟化:计算的乡村

在十年前的 2008 年,计算的“上古时期”,单纯的宝宝们相信一是一、二是二:一台计算机,运行一套系统,提供一套服务。天经地义。但是,脑洞爆表的人类发现了一个更酷的玩法:计算机的本质是计算力,而计算力怎么能受物理机箱的限制呢?我可以用代码的形式,强行把一台计算机分割成虚拟的两台计算机,让他们分别运行不同的任务。

这种切分机器的方法就是如今大名鼎鼎的“虚拟化”。大名鼎鼎的 VMware 公司就是虚拟化的始祖,至今还有很多企业在使用 VMware 的虚拟系统。就这样,一发不可收拾,计算力被继续分割。以至于一台服务器拖动60-80个桌面,执行60-80套任务,这些都是日常操作,不用扣6的。

好的,现在问题来了:一台机器分出了几十号虚拟主机,那么是否每个虚拟主机都要安装杀毒软件呢?这其实是个挺有趣的问题。想象一幢大楼,原本属于一家公司,门口站着一位保安。但是后来老板把大楼分成了60间办公室,租给了60家公司。那么每家小公司都需要自己重新配备一个保安吗?

讲真,一般的办公楼里并不是每个公司门口都有保安。所以当时趋势科技觉得,在每一个虚拟机里安装杀软也没有必要。于是他们仗着对自己的技术水平还可以,和 VMware 合作开发出一个“通用保安”,用一个人来保卫60个公司。这就是他们津津乐道的“无代理”安全技术。说起来,这就是云安全的最初形态之一了。注意,这个时候借助虚拟化技术,几十组相互独立的算力,已经能够汇集到一台物理机上了。几十个用户,就像一个村庄一般组织在服务器里,相互独立又分享资源。我们刚才提到的算力集中化的浩荡历史,自此拉开了帷幕。

2、资源池:计算的城镇

2013 年以后,虚拟化已经成为了家常便饭。VMware 成为了炙手可热的牛X公司,趋势科技也借着自己虚拟化安全的能力,赚得盆满钵满。但与此同时,各行各业都明显发现,自己需要的算力比想象中更惊人。中国互联网像脱缰的野狗一样往前冲,政府、银行、券商、运营商、国企、私企业务爆棚,都要扩充自己的算力。于是他们开始大量购买服务器,买服务器就要花钱,如此循环往复,购买、管理、运营的成本暴增。

于是,本来就负责管理全国网络的三大运营商看到了商机,在他们的主导下出现了几大数据中心,用几千台服务器做成一个资源池,租给用户或者卖给用户。注意,这种局面形成,客观上让算力更进一步集中了。如同一个城镇有上万人,资源池里往往也汇聚了上万组独立的算力。这时就出现了新的安全需求。租户的业务五花八门,“资源池”没办法具体地照顾到每一个租户的安全。所以他们想到了一个一劳永逸的办法:定制统一的安全系统,分配给各个租户,让他们自己来管理自己的安全。

看过电影《看上去很美》么,当小朋友只有几个的时候,老师可以帮他们一个个擦屁股。但是当一个班有几万个小朋友的时候,老师就必须得让每个小朋友自己学会擦屁股。这时,像趋势科技这样的安全企业,主要提供的就是各个租户可以自己使用的“安全系统”。

3、公有云:计算的超大城市

云的概念,虽然早在2006年就被谷歌和亚马逊提出,但是直到2015年,中国人才真正接受了“云作为计算力的基石”这个形态。

云计算的核心技术在于大规模的计算力调度。这种调度技术的不断完善,直接导致了两个结果:1、云上算力进一步集中;2、计算的单位成本进一步越低。云上的算力已经到了非常集中的状态,上百万租户同时在一朵云上既独立工作,又分享资源。就像北上广深这样的超大规模城市一样,公有云同样是超大规模的人类组织模式。这堪称人类社会的奇观,你体会一下。

至此,无论是国计民生的政务系统,还是吃喝玩乐的互联网服务,都在以史诗般的速度向云上迁移。以此为基础,各种公有云的变种:“行业云”“政务云”也开始出现。你看,在生活中,女孩越是依赖男友,就越怕他出轨。云也一样,越是依赖云,云上的租户就越需要云的安全。这时便出现了我们现在公认“云安全”的标准形态:云本身的安全+云上租户的系统安全。

后来的发展证明,云本身的安全更多地被云计算服务商包揽,而云上租户的安全,就由安全企业提供。直到这里,我们都在以云安全服务商的低视角来观察整个云计算的历史。接下来,我们试着像飞鸟一样,盘旋在祖国上空来继续我们的观察。从天空俯瞰,一场更为浩荡的变革即将来临。

二、2015-2017:中国网络安全的“天局”

所谓“没有网络安全,就没有国家安全”。对于中国来说,除了芯片、软件、电子器件这类“核高基”之外,网络安全的能力同样像核武器一样重要。简单来说就是:关键的网络安全能力,一定要由中国人自己来控制。

如此,我们再把镜头推回到2015年,就能体会到更多鲜活的情绪。当时,轰轰烈烈的网络安全国产化替代浪潮刚刚掀起。凡是外资背景的安全企业,都开始受到准入门槛的限制,外资背景的安全企业在中国的市场空间会迅速收窄。这个过程不可逆。因为,从未来20年的国家战略考虑,中国已经横下一条心,要把“对所有人 Say No”的权利紧紧攥在手里。

如果说网络安全是一个木桶,那么对于彼时的中国来说,“国产云安全技术”这一块木板可谓是非常短。即使是启明、绿盟这样的龙头企业,也没有太多经验。但是站在2015年,行业的精英都看得很清楚,云计算注定会成为整个国家算力的基础。中国云安全技术的强弱,用生死攸关来形容一点都不为过。

三、2018:云安全关键的几步棋

如当年的云计算先驱所料,如今云安全已经成为柴米油盐水电煤气一样的生活必需品。各路大企业,也纷纷建立自己的行业云。中国的云计算,已经在世界上处于第一阵营。中国的云安全,正在棋盘上落下事关全局的最关键的那几个子。那么,问题来了:从战略角度看,中国需要怎样的云安全呢?一般人会忽略的有两点:

1、代码自主可控。安全很特殊。如果你是一个将军,那么你很可能会选自己的同乡或亲人来做你的警卫员。这说明,保护自己的人,一定要是自己信任的人。对云计算来说同样如此。尤其是保护政务、银行等国家基础设施的任务,必须由百分百的中国公司完成。“你说什么不要紧,先掏出来身份证来做个政审”,这就是自主可控的核心奥义。

2、稳定。政务、金融等等重要的基础设施,最需要保证的就是稳定。一旦停止运行,可能会危机整个国民生产。而如果你的安全产品不仅没有保证安全,还直接把系统都拖累得挂掉了,这就是标准的猪队友。其实不仅是云上的系统,所有系统的根本要求都是三个:稳定、稳定,还是稳定。“业务从来不会为安全让步”,这是一条颠扑不破的真理。

3、硬实力。当然,在满足前两点的情况下,解决问题的效果当然是最重要的。尤其企业或者政府把系统放到云上,主要就面临两个问题:已知威胁和未知威胁。

1)面对已知威胁,最要紧的是“速度”。这里,有一个黑客进攻的“标准模型”。

黑客研究出一个漏洞,把它放到黑市中出售;

下一级黑客买到这个漏洞,然后开发出一套攻击工具,继续放到黑市中出售;

下一级黑客买到这个工具,直接买来,用在已经“踩点儿”已久的公司上,直接入侵拿到数据。

从头到尾,几个流程下来,所需要的时间往往只有几小时,最长也不超过一天。在这个过程中,理论上企业和黑客是在同一起跑线上。一个漏洞被爆出,就相当于“宝藏”藏身之处大白于天下,坏人可以去找,好人同样可以去拿。只不过,黑客的进攻已经形成了一个巨大的产业链,可谓“纪律严明,井然有序”;而很多企业的防守阵型,显得有点手忙脚乱。

举个例子:一个企业,在云上搭建了各种系统,有时连自己都难以清点清楚。这时要想一个一个查询,再找到需要打补丁的服务,一个一个打好,往往一周的事件已经过去了。看过美剧《行尸走肉》或者电影《生化危机》的童鞋,都能想象,面对快速扩张的感染,最有效的方式就是“快”。快速逃离危险区,一旦上岸,之后就只剩下笑看风云了。

2014年,震惊全球的心脏滴血漏洞,就像生化危机一样,在短时间内席卷全球。

所以,怎么才能用最快速度打好防护补丁呢?这显然需要“自动化”能力。

1、在威胁没来的时候,自动识别自己的系统资产;

2、在新威胁出现的时候,自动快速打好补丁;

3、因为某些具体原因没办法打补丁的情况下,要采用替代方法切断攻击路径。(亚信安全的技术叫做“虚拟补丁”)

虽然有点三观不正,但我还是想说:事实上,熊追你的时候,你只要跑得比最后一名快就行。。。

2)面临未知威胁方面,最要紧的也是“速度”。可以说天下武功,唯快不破。一个黑客入侵一套系统,有些步骤是不能省略的。打个比方:

黑客进攻一个云系统,很像进攻一个城池。他需要先放一个“间谍”进来,搞清楚粮草在哪,兵器在哪,城主又在哪。

从这个间谍潜伏在系统里开始,到实质性的进攻被发现,中间的一段时间叫做“自由攻击时间”。

在自由攻击时间里,黑客每找到一份重要的信息,就会让胜利的天平倾向于坏人一点儿。所以,缩短自由攻击时间,让它趋近于零,是至关重要的。这种攻击,考验的就是在信息不完备的基础上,实打实的分析能力。就像一个老刑警,确认一下眼神,就能知道对面的是不是小偷。有时候,连老刑警都说不清楚是为什么,但他就是有感觉。

在安全技术中,这就用到了人工智能技术。有一点需要强调,这种发现未知威胁的能力,就像高考语文卷的最后一道作文题,没有绝对客观的数据可以评价,也没有一个“最好”的标准。所以,在云安全这条路上,所有人都是小学生,也总有人可以做得更好,谁也别骄傲。

四、未来:云安全的“消失”

虽然已经到了2018年,但我觉得云计算还没有发展到它的最终形态。打个比方:

现在的云计算,有点像攒电脑。用户买来底层云计算服务之后,还要在上面自己安装调试系统。你自己把系统搞崩溃了,跟攒电脑的商家没关系;未来的云计算,应该像买手机。用户买来的云计算服务,上面集成了所有的系统和安全特性,用户所需要的只是使用,一旦出问题只管找客服。

你可能明白我在说什么了:未来的云安全,应该是“潜在水面之下”的能力,根本不用用户操心。注意,问题来了。既然云安全应该是云计算的特性,那么未来云安全很可能被整合在底层云计算服务商中,例如直接把云安全和云上的安全统统做成一个完整的产品交付。

面对这样的预期,反观现在,第三方云安全公司的生意也许正在一个山顶,接下来可能会遇到下坡路。可谓最好的时代,也是最坏的时代。虽然不知道这一天何时到来,但这是所有云安全厂商的盛世危言。不过,第三方安全厂商的任务还远远没有完结,他们至少有两条路可走

1)云接入的安全。

无论云上的安全做得多到位,在你接入云的过程中,还是可能面临风险。于是所谓的 CASB(Cloud access security brokers)这类接入云过程中的安全,就会迎来市场的爆发。

2)源代码安全。

如果把对付已知威胁的能力比作医疗,把对付未知威胁的能力比作免疫力,那么源代码安全就是基因工程。如果在开发系统的过程中,就写进了很多漏洞,就像基因里带有缺陷一样,后期如果要医疗,付出的代价是不可想象的。所以,源代码的安全审计,同样是未来的一个爆发的市场。

我们把目光收回到这局网络安全的对弈之上。中国坐在棋盘一侧,而另一边的对手,我们无法选择。中国的网络安全从业者,看着“云计算”这三个字从无到有,从模糊到清晰。最初很多人并没有想到,自己从事的事业会和这个国家的命运息息相关。庆幸他们并未转身离去,而是选择挺身而出,成为了历史的作者。十年饮冰,难凉热血。云计算生生不息,他们功成身退的一天,或许永难到来。

但这,正是世界的动人之处。

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@youkuaiyun.com。本站原创内容未经允许不得转载,或转载时需注明出处::优快云资讯门户 » 回顾云安全发展:十年饮冰,难凉热血

赞 (0)