专访|云安全攻防：从理论到应用的全面探索

李来冰

云安全之旅：从初梦到探索

李来冰：非常荣幸收到CSA的邀请，我叫李来冰，来自腾讯安全云鼎实验室，担任云安全高级研究员一职。我的主要研究方向为云产品安全测试与云特性漏洞挖掘、云安全风险收敛与能力建设等。

李来冰：我是从之前加入绿盟的星云实验室开始接触云安全的。进入绿盟之前主要从事的是Web安全攻防研究，期间也慢慢了解到容器、虚拟化相关的技术，但大多浅尝辄止。中间有幸加入星云实验室，体系化地学习了云安全相关的技术。

在不断学习的过程中，我深知云安全是一个前景较好但又需要深耕的领域，因此决定全心投入其中。

后来偶然的机会，加入了如今的云鼎实验室，专注于挖掘腾讯云自身产品的安全漏洞，通过不断实践提升了个人的能力，视角也开始从攻击拓展到防御，也越来越清楚云安全建设之不易，未来希望能够在云安全领域有不错的成就和发展。

李来冰：CCPTP课程包含了云渗透测试体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论以及实操技术等内容。

在CCPTP课程编写的过程中，我主要负责云管理层渗透测试章节的编写，但在看到教程的整体大纲之后，还是收货颇丰。过去的工作中，我的关注点更偏向于云原生技术的攻防研究与实践，对于云计算的整体安全以及公有云安全的研究面是有所欠缺的。

所以在学习了CCPTP课程之后，对于云计算安全有了更加体系化的掌握，这样的好处是，在云环境攻击实战于防御检测的实际工作中，所能联想的攻击面与攻击链都能有所提升，照应了安全行业的经典名言“知识的广度决定攻击面的宽度，知识的深度决定攻击链的长度”，云计算领域也是如此。

李来冰：专注于云计算领域，是CCPTP的核心特征，也是与其他渗透测试课程的主要区别。其次在于课程的更新与发展，由于云计算技术的不断发展与变化，CCPTP认证课程可能会更加关注最新的云计算安全技术与知识，以保证学员在云安全知识上的发展。

对于云安全领域的贡献和价值，CCPTP云渗透测试认证专家作为全球首个云渗透测试能力培养课程及人才培养认证，弥补了国内云渗透测试认知的差距和技能型人才培养的空白。其次相关人员在完成CCPTP课程的学习之后，会获得相应的认证和证书，该证书在云安全行业中具有一定的权威性和认可度，有助于提升在云安全领域的职业竞争力。同时实际工作中在面对云安全领域的威胁和挑战时，会更加专业的进行解决。

李来冰：通过学习CCPTP，帮助我掌握了全面的云安全知识和实战技术，使我能够更好地适应云环境下的安全挑战，例如在云安全产品赋能工作中，能够考虑的面更加广泛，大大的提升了安全产品的防御能力。同时在云安全领域的培训交流工作中，思路和表述更具专业性。

云安全之旅：从发展到实践

李来冰：《实践论》中提到，“理论来自实践，又反作用于实践，对实践具有重要的指导作用”，安全攻防也是如此。在进行云环境的实战工作之前，掌握体系化的云安全理论知识是最佳前提。同时理论也不应该脱离实践，两者应紧密联系，相互反哺，才能良性发展。

·云安全人才的需求增长

随着云计算的广泛应用增加，云渗透测试将成为保障云环境安全的重要环节。未来，云渗透测试需求将持续增长，对专业人员的需求也将相应增加。

·自动化与AI的结合

随着自动化和人工智能技术的发展，云渗透测试也将受益于这些技术。自动化工具和漏洞扫描器的进一步发展，以及利用机器学习和深度学习技术来识别和应对新型威胁，将成为未来云渗透测试的重要趋势。

·持续学习和专业化要求

云渗透测试行业将不断发展和演变，渗透测试人员需要进行持续学习，跟进最新的安全趋势和技术。专业化的培训和认证将成为渗透测试人员提升自身竞争力和适应行业发展的必备条件。

·复杂化的云环境

不同的云服务提供商、多云环境、容器化和无服务器架构等技术使得云渗透测试的范围更广，攻击面更大，渗透测试人员需要更深入地了解这些技术和架构，并相应地开展渗透测试工作。  

·自动化和人工智能

渗透测试工具和平台的自动化程度不断提高，人工智能技术的应用也不断增加。虽然自动化工具可以提高效率，但同时也意味着渗透测试人员需要不断学习和适应自动化工具的使用，并确保在自动化测试中不会错过重要的漏洞。  

·隐私保护和合规性

随着数据保护和隐私法规的加强，在进行云渗透测试时，必须遵守相关法规和合规要求，确保不会侵犯用户的隐私权，并且对敏感数据进行妥善处理。  

CCPTP