头脑风暴 | 云时代，网络攻防对抗的发展演化

现在上云已经是一个不争的事实，今天我们看到各种云化的应用。过去，为了实现云计算的集中管理，催生了软件定义网络SDN。现在，业务上云后，你的计算在哪，安全防护也在哪，改变了原来攻防不对称的形态。这既有好的一面，可以动态调度云上的各种资源对安全攻防进行支撑；这也有坏的一面，资源过度集中以后，使得自动化攻击变得更加便利。

我说几点我自己的感受。

我们目前也在做数字化转型，云是必备的数字化底座之一。我们拥有一个成熟的混合云架构，这也让网络边界越来越模糊，安全风险增加，这是很多上云企业的通病。下面我从三个方面简单说一下云时代的安全变化：

我们是做云计算的公司，在全球有很大的一张网，我们对云安全非常重视。

刚才春发总讲的很好，我们都属于云服务商，所以云计算给安全带来的这些困难和麻烦我们感同身受，我简单再补充两点。

刚才提到一个概念DevSecOps，我认为它确实解决了传统安全模型解决不了的安全问题，把安全团队、安全管理引入到开发、测试、上线的整个过程，在CI/CD过程都可以看到安全的影子，比如代码的扫描、漏洞的扫描、安全管控等等。我列举两个例子：

我想从业务角度回答这个问题，我们现在的业务形态多种多样，有传统的，也有云原生化的，这两种形态在未来一段时间会共存。传统型业务需要防火墙和虚拟WAF等进行南北向安全防护；另外一种云原生化的业务，我们会采用云原生安全的方式去做，把现在所说的这些安全功能揉进去。比如我们引入VSOC，同时把青藤的入侵检测能力整合到我们整体的安全架构中。所以说，基于企业的业务形态，传统虚拟化资源池的安全防护方式和云原生安全的防护方式会共存发展。

云计算快速发展，其中开源软件扮演了非常重要的角色。因此，开源软件安全问题就变得非常重要了。本来开源是众人之眼，大家都看着它，它的安全性应该是很强的，但是我们发现，很多开源软件会突然爆发高危漏洞。我们国家对开源软件的安全高度重视，在制度建设、标准研制、技术研发上都在全力突破，希望更好地应对开源漏洞带来的风险。

为什么我会积极引入MSS服务方式。首先是因为技术沉淀不足，我们信息安全人员的技术沉淀，没有想象的那样强大。其次是我们的业态发生了很多变化，很多应用要实现移动化，意味着很多业务要发布到公网上，这使得网络攻击面增大了。

为了应对这些问题，我们打造了统一联动的安全运营体系，做成了可视化风险处置平台，管理员只需要看一个大屏，就可以处理我们集团18个地点的安全事件。当然，并不是说有了这些安全防护手段就可以高枕无忧，其实还差得远。我们需要自己去打自己一鞭子，所以我们引入攻击模拟去测试安全防御能力。在这个过程中，我们发现自己的运营团队跟不上节奏，需要借助专业的安全服务团队进行威胁分析，让我们及时发现、及时处理风险事件。以前我们认为一定要培养自己的人来做安全运营。但实际上这种思路需要改变。我们可以和安全厂商深度合作，借助专业的安全服务，效果更好。

针对云上安全防护建设，我从三个方面来说一下。