程式員刪庫被判 6 年，公司損失近億，云原生時代如何打造安全防線？

采訪嘉賓 | 鄭赳

作者 | 阿司匹林

出品 | CSDN（ID:CSDNnews）

9 月 20 日訊息，微盟“刪庫”主角被判處 6 年有期徒刑，

2 月 23 日，微盟研發中心運維部核心運維人員通過 VPN 登入服務器，破壞 SaaS 線上生產環境并洗掉資料庫，隨后微盟內部系統監控報警，導致大面積服務集群無法回應，

根據最新財報，微盟上半年凈虧損為 5.46 億元，其刪庫事件預計賠付 0.87 億元，當然，受損的不只是微盟，還有微盟的一眾客戶，

微盟事件不是必然的，卻是大資料和云計算時代的產物，云上安全的問題需要引起足夠的重視，因為只要上了云，一旦出問題，就面臨業務停擺，甚至倒閉的風險，

安恒資訊高級副總裁兼首席云安全戰略官鄭赳告訴 CSDN，刪庫事件一再發生，很多都是權限管理或者內部的人員管理風險導致的，而這僅僅是上云之后眾多安全隱患之一，因此企業迫切需要將運維管理跟安全管理進行結合，真正實作統一的安全管理，

作為一家從 2007 創立之初就開始專注于安全領域的公司，安恒的業務范圍已經從最初的應用安全、資料安全拓展到如今的云計算安全、工業互聯網安全、大資料安全、智慧城市安全，

為何安恒資訊這么早就開始重視并布局安全，從傳統安全到云安全的變遷程序中有哪些機遇和挑戰，未來云安全會是怎樣的形態？CSDN 采訪到安恒資訊高級副總裁兼首席云安全戰略官鄭赳，一起探討云安全的發展和變遷，

安恒資訊高級副總裁兼首席云安全戰略官 鄭赳

安全領域變遷：從有形到無形，從有界到無疆

鄭赳表示，中國安全領域發展的背后主要有兩大驅動力，一是技術的變化，比如大資料、云計算的發展，技術的發展導致安全產品的形態發生了很大的變化；二是應用場景的變化，比如物聯網、智慧城市的出現，而場景的變化會帶來新的安全挑戰和安全問題，

在數字化與上云的趨勢下，越來越多的企業選擇將業務與資料放在云端，進而使用更為高效、低成本、安全穩定的云端服務，因而 IT 基礎設施逐漸云化，云改變了企業的底層基礎設施架構，安全也隨之往云化，傳統安全架構也不再適用于云上，

隨著 DDoS 攻擊、勒索攻擊、資料泄露等安全事件頻發，我們清晰地認知到，無論是 5G、云計算、人工智能、物聯網等細分的技術，還是云平臺、服務器及硬體等服務，無一不是安全的突破口與防護口，而傳統的“壁壘式建高墻”防護手段早已失效，

在這個萬物互聯的時代，當有人在不加前提約束的條件下簡單問“你的系統安全否？”就變成一個偽命題，因此，安全領域不再有邊界，而是應該成為無處不在的防護盾，

安全上云，不只是“生搬硬套”

由于外部安全攻擊趨于智能化、復雜化、規模化，云上防護的方式變得更多元化、復雜化，部署強大的安全架構是企業迫在眉睫的事，

傳統安全的能力對云有一定的賦能作用，但是安全的遷移并不是單純的“生搬硬套”，傳統的安全防護模式也并不適用于云安全，

鄭赳告訴 CSDN，云安全和傳統安全是完全不同的，兩者的架構邏輯存在很大的差異，比如以前傳統的網路防火墻不能簡單的搬到云上，傳統的防火墻設定在流量的入口和出口之間就能進行防護，但是在云上實作這一點就非常困難，因為云是可以遷移的，因此防火墻的策略也需要可以遷移，

相對于傳統場景，云上的風險也發生了變化：一是風險的優先級發生變化，因為云計算的出現，資料安全和終端安全也變得更加突出和重要，而且不斷涌現出新的理念；二是新風險的出現，比如容器的安全、訪問邊界的安全等，

在進行安全的遷移時，很多傳統安全設備廠商寄希望于“安全盒子”的云化，比如把FW變成vFW，裝到云主機、虛擬機里，再輔以SDN/NFV的理念，一次來解決云上的安全問題，不過，在云廠商看來，這不是云原生安全，只能算是“云夾生”安全，

因此，云原生時代的安全不可能用傳統的硬體盒子來實作，而是需要充分利用云的能力和技術，比如云的負載能力、彈性伸縮能力、備份能力、熱遷移能力、計算能力、大資料能力等等，此外，還要用到云的模式，比如 SaaS 化的服務模式，并根據應用場景提供按需服務，這些是云安全和傳統安全最大的差異，

傳統安全只有經過云化改造才能夠適用，這也是現在安全公司包括所面臨的一些挑戰，

構建云安全能力，需要“系統性思考”

在云計算時代，安全廠商、云計算廠商和客戶是共享責任，即便我們使用的是云上的 IaaS、PaaS、SaaS 服務，但并不意味著企業和客戶把相應的安全責任轉移給云廠商，

云廠商更多的是提供技術層面的武器，但是如何利用好這技術，這是企業的責任，需從企業安全架構層面、從安全實作技術路線上來做分析，

那么在具體實作時，企業如何加強自身的云安全防御架構？

鄭赳表示，構建一個完整的云安全體系需要系統性的思考，這是非常大的挑戰，由于資源的分布不同，如何執行統一的安全策略和安全管理是企業面臨的最大問題，而安恒云可以幫助企業構建一個相對系統的安全防護框架，

目前安恒云提供的解決方案就是針對云上用戶的痛點，首次將云管理和云安全進行結合，簡化運維的復雜度，通過更低的成本，提供更高效的安全能力和更好的體驗，

從“一朵云”到“多朵云”，管理和安全如何真正統一？

隨著伴隨著云計算技術走向成熟以及用戶對成本、備份等多類訴求，“多云”的趨勢已經非常明顯，在鄭赳看來，沒有用戶希望被一家云服務鎖定，而是希望充分利用各家云的服務和價格優勢，因此會有越來越多的企業選擇多云架構，

中國信通院的資料顯示，多云架構已經成為企業主流的部署模式，2020 年高達 93% 受訪企業是多云架構，但多云架構也給企業帶來了一些新挑戰，比如多云安全就是最大的挑戰之一，高達 83% 的調查物件認為多云安全對其挑戰最大，

目前，多云管理和多云安全存在以下 3 大難題：

1、多云管理孤島：多云異構，各云服務商架構差異大，各資源相對獨立，難以統一管理；

2、多云安全建設成本高：每朵云都需要獨立建設安全，安全建設成本高；

3、安全能力無法統一分配、管理與運維：各朵云的云安全能力參差不齊，無法實作統一的安全配置、運維與安全態勢分析，造成應用被入侵、資料被竊取等嚴重安全問題，

這時就需要一個多云管理平臺，將分散的資源統一起來，集中進行管理，安恒資訊也看到了其中的問題，一方面是多云如何進行統一的運營管理，另一方面是多云如何進行統一的安全管理，

正是基于這些考慮，安恒資訊率先提出了多云管理和多云安全相結合的理念和解決方案，并推出了一站式多云管理和多云安全管理服務平臺——安恒云，

鄭赳表示，提供統一的安全策略有很大的難度，從管理維度上來講，只有將不同的云連接起來之后，才能將進行統一的的監控和分析，然后實施統一的安全策略，如果想要做好多云管理，需要從以下幾個維度出發：

1、云資產的管理，通過API對各種云上資產進行識別重組，建立資產庫，然后進行統一的管理；2、對云資源進行統一的監控，分析其使用情況；3、構建云的同業成本分析，幫助用戶優化云資源，節約成本；4、實作統一的自動化運維，

目前，安恒云平臺可以無縫對接阿里云、AWS、華為云、騰訊云、Ucloud、百度云、Azure、京東云、青云等公有云，同時覆寫阿里云、OpenStack、華為云等私有云平臺，讓用戶能在一個平臺上完成多云統一管理，并提供主機監控與自動運維、成本分析與優化、合規運維與審計，實作多云一站式管理，

然而，目前在國內做多云管理和多云安全最大的挑戰就是公有云API的穩定性和開放性問題，

鄭赳告訴 CSDN，很多公有云的 API 都號稱是完整開放的，但是真正使用的時候，就會發現這些函式的水平參差不齊，與國外的能力差距很大，一些公有云的 API 不夠完整，還有一些能力沒有開放出來，因此一些多云管理的想法在這些云上就無法實作，

不過我們并不需要悲觀，在鄭赳看牢，這其實是云成熟度的問題，因為現在很多云上的開發和運維都依賴于 API，因此它不可能隨意變化，未來一定會開放，而且會標準化，需要一個發展成熟的程序，

未來，多云管理平臺的核心功能將不斷演進，與企業IT系統的集成更加緊密，并且與安全和網路產品深度融合，

云原生時代，安全“左移”，DevOps 變 DevSecOps

云原生這個概念現在很火，統計資料顯示，到 2021 年將有 92％ 的公司成為云原生公司，從基礎架構到應用程式的開發，堆疊在傳統方法與更現代的基于云的方法之間形成了鮮明的對比，其中大多數已對成功的模式和實踐達成了主流觀點：DevOps文化、持續交付和微服務架構 ，

然而為什么我們還沒有重新構想云原生的安全性呢？要知道，通常使企業陷入困境的是因為對開發投入太多，而對安全投入太少，

在鄭赳看來，我們需要充分利用云原生的能力來去構建安全能力，如大資料分析能力、網路虛擬化能力、服務器快照、存盤備份等，然而云原生的利用同時也帶來了一些新的風險，比如容器的風險等，

鄭赳表示，未來安全需求方面也會有一些變化，那就是開發運維會跟安全結合，實作DevSecOps，也就是“安全左移”，

關于“安全左移”，微軟企業服務大中華區 Cybersecurity 首席架構師張美波曾對CSDN表示，“軟體有規劃、設計、構建、測驗、部署階段，但往往在軟體的部署階段，我們再去評估安全性，這是非常不好的，如今我們想從開始規劃、設計、構建、階段時就該考慮安全性，”

企業進行架構轉型時，對應的安全架構也將轉型，安全是任何技術的基礎，因此，企業應該將安全也納入速度、敏捷性和連續交付流程中，這樣才能保證企業不會因為安全問題而陷入困境，

結語

資料時代的背景下，無論運用哪一種前沿技術，最終都將體現到海量資料的采集、流轉、應用的流程之中，因為資料的邊界愈加模糊，所以安全能力必須在云-邊-端實作更細粒度的防護，

而構建這道看不見摸不著且無處不在的安全防護門，是時代的機遇，也是挑戰，