征战云时代,为什么安全是关键命题?
从左到右:李亮(主持人)、张美波、蒋涛、韦青
全球数字化转型浪潮不断推进下,企业上云步伐加快,在这个过程中不少企业发现,随着 IT 基础设施逐渐云化,云改变企业的底层基础设施架构,安全也随之往云化,传统安全架构不再适用于云上。
伴随AI、云计算等前沿技术的发展,外部安全攻击趋于智能化、复杂化、规模化,云上防护的方式变得更多元化、复杂化,部署强大的安全架构是企业迫在眉睫的事。那么在具体实现时,企业如何加强自身的云安全防御架构?
传统安全基于“确定性”,知道敌人是谁,清楚敌人可能从哪个门进来,我们提前将这个门修好,城墙加固。如今进入云时代,确定性的系统安全变成一个伪命题,我们进入了一个“确定性终结”的时代。
我们往往在软件的部署阶段才去评估其安全性,这并不是最优的。“安全左移”后,应从软件开始规划、设计、构建阶段时就该考虑其安全问题。
需将安全、可信和可控分开,厂商通过不断打怪来提高自己的能力,可信与可控则需要更高层的法律与制度来约束。
企业进行架构转型时,对应的安全架构也将转型,安全是任何技术的基础。即使技术做得再好,如果没有安全的话系统像建在沙滩上的城堡,随时可能会倒。
微软这样描述自己的软件开发生命周期:从第一行代码开始我们考虑安全的设计。
安全是整个社会或者双方责任,是共享责任。
每个人是“安全上下文语意条件下的一分子”,每个人可以为安全做贡献,同时还可能是一个漏洞。
作为管理者关心的问题:第一有没有安全等级标准,第二有没有不同的安全技术方案选择。
安全是微软的核心战略方向,微软 CEO 萨提亚·纳德拉曾表示,我们承诺给客户提供安全和隐私。
每个公司应结交一位安全界朋友,一是让对方帮忙监测企业系统;二是万一企业出现安全事故后,可请安全专家解决。
云安全区别传统安全:没有边界限定
李亮(主持人):如今我们谈的“安全”与 5~8 年前的“安全”有很大差别,在您看来现代安全和传统安全有什么区别?
企业安全挑战
蒋涛:随着网络边界和企业业务的渗透,企业在数字化后将会发现安全有可能存在巨大的潜在风险和问题。
一是企业代码拥有不同的开源库,开源库里本身可能存在安全隐患,二是程序员或第三方开发商开发的代码,大部分公司没有一套安全检测手段来做安全检查,很多企业的安全监测尚处于初级的阶段。
两位微软安全专家曾撰写过书籍《编写安全的代码》,通过大量的实例和代码,详细地分析说明了编写安全应用程序的方方面面,提供许多实用技术内幕。
从这我们看到,程序员需经过基础培训从而来写出安全代码。但在现实中,近乎 99.9%的程序员没经历过安全代码的培训,公司也没有配备上线前的安全检测,甚至大部分企业没有配置专门的安全工程师。这些公司基本处于完全不设防的状态,这是件非常可怕的事情。
企业往往在遇到安全问题后才想到防范,这跟人生了病才会去看医生一样,平常让他注重健康,他便不以为然。
现在大多数人停留在点上:代码是否安全、数据是否安全、帐户是否安全。但安全是“系统”工作,如果有一个地方有漏洞,其他的没什么价值。
从企业的角度上,他们面对这样的变化需要在思维上做怎样的转变?
蒋 涛:企业需要做一些安全培训课程。开发者写安全代码是基础部分,同时将安全工具化作为上线的第一层检测,每个公司需要做代码静态分析。其次,帮助业务和运营人员建立基础安全知识,大部分老板没有这种意识。
张美波:蒋老师说的是“安全左移”,为什么称为“左移”?软件有规划、设计、构建、测试、部署阶段,但往往在软件的部署阶段,我们再去评估安全性,这是非常不好的。如今我们想从开始规划、设计、构建、阶段时就该考虑安全性。
云时代下,技术架构安全挑战
云时代下,从整体技术架构上现在遇到哪些问题?
张美波:从两个维度来看:一是企业在数字化转型中基础技术架构变化;二是目前面临的安全威胁和攻击行为的变化。
在企业数字化转型后,原来企业以网络为边界,如今随着企业规模越来越大,网络架构越来越复杂,随着移动互联的发展,企业边界已逐渐变大。再加上云计算,企业的数据和应用已慢慢地移出网络边界,进入到 Internet 上。假如这个企业是做物联网的,那基本就没有边界了。
所以就会遇到这样的问题:原来是依赖于网络为边界,分为内部网络和外部网络,普遍认为内部网络是可信的。如今由于边界模糊了,不能再把网络作为安全边界,零信任架构应运而生。
零信任架构的核心是把防控策略下沉,从原来以网络为边界、到现在以用户身份验证凭据为边界,下图是微软的零信任架构图,首先是身份验证,还有利用网络、应用、数据、基础架构等六个核心的资源组进行不同的防控。
企业上云,到底安不安全?
李亮(主持人):现在一些企业固有的传统观念里认为上云后不安全,内心不免有些抵触,关于云和自建平台谁更安全的问题,您怎么看?
蒋涛:大部分公司没有安全系统,即使采购安全系统也是小量。而每一家云公司肯定是被攻击最厉害的,从云系统来看,他们是安全的。
随着国家对数据、系统安全的要求越来越严格,肯定是上云后将更安全。把数据放在自建平台就好比放在家里,你以为屋子没有漏洞,但对专业选手来说全部都是破洞,可能对他来说,就是没有围墙的院子可随便来逛。
张美波:这也可以用“钱分别放在银行和家里”来做比喻。从专业性上看,云厂商的安全加固措施、安全防护措施会更加完善,只是我们担心数据会不会被它拿走,而微软云强调透明性、隐私保护和安全性。
在云计算时代,安全厂商、云计算厂商和客户是共享责任。即便我们使用的是云上的 IaaS、PaaS、SaaS 服务,但并不意味着企业和客户把相应的安全责任转移给云厂商。云厂商更多的是提供技术层面的武器,但是如何利用好这技术,这是企业的责任,需从企业安全架构层面、从安全实现技术路线上来做分析。
韦青:我们要把安全与可信和可控分开来看。如果纯粹从安全,从 Safety、Security 来讲的话,像刚才蒋老师说的,一定是云计算公司较安全。这和游戏升级打怪一样,打了几百亿的“怪”生存下来的人,肯定是最厉害的人。
但是否可信?这不只是技术问题,而是由法律、法规来决定,可控也是由法律、法规来决定。
我们需将安全、可信和可控分开,厂商做厂商的事,我们厂商不断通过打怪来提高自己的能力,可信则需要更高层的法律制度来约束。
以前大家习惯购买一个产品,现在买产品形式的越来越少,而是购买服务。一旦采购的是服务,本身使用服务的人就是产品的一部分了,两者的概念不一样。
张美波:我们企业从底层转型时,对应的安全架构也在转型,安全是任何技术的基础。即使技术做得再好,如果没有安全的话,系统像建在沙滩上的城堡,随时可能会倒。很多企业没有这个意识,一般想的是眼前解决业务问题。
一般企业IT需关注三个方面:安全、用户体验和功能,要做到三者平衡很难,通常只能平衡两个。说得难听点,安全是 cost,并不会带来实际的收入。
张美波:之前 Windows XP 被攻击很多,2002年,比尔·盖茨建立了可信计算,从那时起微软所有产品是按照 SDL(Security Development Lifecycle,软件安全开发周期)流程来构建,SDL 是微软提出的从安全角度指导软件开发过程的管理模式。
微软是 SDL 的发明者,也是 SDL 的最佳实践者,并且很多国际客户按照 SDL 标准进行实施。如今微软提出新标准 SDL+DevSecOps,拥有八个环节,每个环节里都将安全集成进去:
李亮(主持人):微软这样描述自己的软件开发生命周期:从第一行代码开始我们考虑安全的设计。今天不光是微软,任何从事云、传统软件、硬件、物联网、数据平台等研发工作时,我们需要不断地将这个理念植入到整体的思维方式里。
张美波:微软本身有很庞大且复杂的云时代安全商业架构,软件开发对我们来讲是基础,所以它在最底下部分,基础是 SDL。其架构非常庞大,基本囊括微软所有和安全相关的产品。
左边是客户端部分,微软强调是统一的客户端,不仅是 Windows 客户端,还有苹果、安卓、Linux 都属于左边部分内容。
中间部分涉及到微软 IaaS 和 PaaS,包括混合云部分,涉及到很多具体的功能。
下边部分是世界级 IoT 物联网的安全部分,微软有物联网安全架构和物联网的成熟度模型,并拥有国际化标准,一些国内厂商是直接引用该标准。
右边是信息保护部分,微软拥有完整的数据生命周期的,即从数据开始创建到销毁结束这个完整的数据生命周期,里面涉及到 AIP、SaaS 等产品。
还有关于身份验证防控部分,拥有 AzureAD 等技术。
左上角部分是很容易被别人忽略掉,大家通常认为安全是做加固的,而微软认为安全是有生命周期:事前的安全加固、事中的安全监测和事后的响应。事中监测和事后响应依靠 SOC,这是最新的 Azure Sentinel 产品。微软 SOC 基于Azure Sentinel 来实现,Azure Sentinel 集成很多安全系统,如 ATP、AzureAT、AzureSecurity Center,还有外部的各种第三方防火墙、网络安全设备、IT及事件管理系统等。
我们有完善的系统集成能力,并依托 Security Graph 这个分析和 AI 能力实现安全事件的自动响应。
李亮(主持人):今天的安全理念和传统的会太一样,作为企业和员工,我们该发力在哪些具体的点上或者该参考什么样的架构来构建自己的企业级安全体系?
蒋涛:从企业的角度来看,我认为现在比较需要有一个类似软件成熟度 CMMI 的安全成熟度产品,就是根据企业性质、企业数据、数据价值来设计相应的安全等级,这个等级不是从保护角度来制定,而是从企业需求和商业价值的角度来。
从上面两位嘉宾的介绍,现在微软跟以前我们理解的微软不太一样,可能大多数人对微软的认知可能是 10 年前的微软。
如今微软在安全上投入巨大,我要请这个“安全保镖”需花费多少?作为管理者,我可能会考虑,其他软件都是微软的了,现在需不需要买个“全家桶”,那么有更优惠的方案或者有自选方案吗?
这是作为管理者关心的问题:第一有没有等级标准,第二有没有不同的方案选择。
李亮(主持人):微软不是一下子就跳到今天的环境下,有一本书《工具,还是武器 ?》上讲述很多关于微软在构建今天的可信云平台过去走过的很多路,大家如果有兴趣的话,可以读一读这本书。
张美波:安全对微软来讲说是核心战略方向,微软 CEO 萨提亚·纳德拉曾表示,我们承诺给客户提供安全和隐私。
微软不仅是全球第一流的IT企业,还是全球第一流的网络安全企业。如今微软每年投入超过 10 亿美元进行安全产品研发。从全球范围看,不要说投入超过 10 亿,安全行业收入超过 10 亿可能就几家企业。
其实对微软而言,安全也是社会责任,微软经常联合很多国家一起行动,和黑产抗争到底:今年3月,微软和一些国家政府联合打破全球最大僵尸网络;7月,微软联合国家政府组织一场针对 62 个国家的网络欺诈攻击。
今年,Gartner发布《Solution Comparison for the Native Security Capabilities 》报告,首次全面评估全球 TOP 云厂商的整体安全能力,其中微软 Azure 获得全球云厂商最多的 High 评分,位列第一。另外,微软有 5 个安全产品和服务是处于 Gartner 领导象限。其中,Microsoft Defender 从落后到领先,一年半时间逆袭成为现在的领导者。
因为我们拥有微软智能安全图谱,这是全球最大的全情报平台,拥有大数据、机器学习、人工智能、云计算应用平台,每月在设备检测出的安全威胁数量超 50 亿次,每月身份验证请求数超过 5400 亿次,这是非常庞大的数据。
我们把所有数据放到分析平台上,通过机器学习进行分析。首先,在上层我们从不同的渠道收集数据,数据经过脱敏、处理、整理,通过大数据分析平台反馈到产品上,产品层面同样也会把数据反馈到 Graph 里相互迭代。
基于微软强大的安全能力,如今微软提供给大家一套安全套件 Microsoft 365,可覆盖 85% 以上企业的 IT 和日常运营场景。涵盖 20+ 产品,从四个类别来做防护:一是身份与访问管理;二是威胁保护与安全检测;三是信息保护;四是安全管理与监控。产品里面分等级,不同许可证里涵盖的产品是不一样的。
韦青:它无法用单一的“产品”来形容,它可称之为“安全系统”,而不只是安全“产品”。
安全案例分析
张美波:微软把过去 20 年的网络攻击行为进行分析,发现最早在 2004 年之前我们所面临的攻击行为主要是传统老三样:木马、病毒、蠕虫。从2005年开始,攻击行为变成有组织的犯罪团伙作案,不像传统老三样了,而是以金融、金钱为目标,攻击技术就变成金融欺诈、身份凭据窃取、勒索、挖矿等。
到了 2012 年,攻击行为又进化了,原来更多针对系统服务数据等,现在针对关键基础设施、工业互联网、物联网等,涉及的安全从数据和服务上升到人身、国家、社会。所以现在全球国家把网络安全放在较高的地位。
下面和大家分享微软的客户案例,六个 APT 组织攻击某世界 500 强金融企业。一开始该企业发现自己被攻击后,尝试清除攻击者,企业以为清除完成,但实际上没清除好,该 APT 组织在企业系统潜伏了 8 个月。企业不得不寻求微软的帮助,微软安全专家只花了 3 天时间就把它清除掉,同时发现里面还有另外五个组织在潜伏。
所以在这里强调,网络安全是社会责任的问题,去年微软和合作伙伴成立了微软智能安全联盟,未来该联盟应联合全球 133 家厂商的力量共同打击黑产。
微软安全解决方案
张美波:下面给大家看看,安全厂商是怎么实现安全技术,并映射到具体的企业场景里去。其中最典型的是,入侵者通过两种途径从内部发起攻击,一是用户访问 Web 网站受到攻击,被装上了漏洞软件;二是钓鱼邮件,91% 攻击行为通过钓鱼邮件发起,其中涵盖恶意链接和恶意附件,紧接着系统客户端被感染,被入侵者命令控制,这是非常常见的事。
下一步,入侵者先做环境侦测 ,窃取用户身份凭据,紧接着在系统内部做横向移动,如拿到用户名来攻击电脑。当拿到比较高级别帐号后攻击系统。下一步,入侵者在系统里做持续保持和控制权,如系统后门木马等,同时窃取机密数据,入侵者可潜伏很久,这是整个攻击链模型。
那么微软安全产品是怎么来抵御的?
在钓鱼邮件层,通过Office 365 ATP(ATP是高级威胁保护套件)的邮件网关和高级反恶意链接工具来实现的。在使用 Office 365 时,可将恶意电子邮件、恶意链接直接封掉,保护用户不受到攻击影响。
在第二阶段,通过 Micosoft Defender ATP 来实现对设备的保护。在身份验证凭据和横向移动层,通过 ATA、Azure ATP 企业 APT入侵平台来保护。对于身份验证与凭据保护,通过 AzureAD 进行保护。针对特权帐户管理、高危操作、重大权限操作,需要审批流程才可以操作,而不是进来直接可以做的。Conditional Access 也一样,这是实现零信任访问架构的核心。
在数据保护上,我们做到全数据生命周期保护,如 PPT 文档可加权限让对应的帐户查看,同时设个权限有效期。整套解决方案是通过 Azure Security Center 和 Azure Sentinel 来实现安全态势感知和 SOC 安全运营中心,这是微软供应链模型和对应的产品架构。
未来安全技术
蒋涛:在短期内,企业系统处于“混合”状态:一部分在云上(单云/多云),一部分在本地。在这种情况下,我们希望能有一套企业安全等级,不是最高级别到全系统级别的全防护策略,而是代码、数据、灾备应有一套安全监测标准,将这些串成企业安全等级。
未来应有一个安全蓝图,大家共同来描绘和参与其中。今天我学习到很多,之前认为安全很重要,但没意识到安全这么重要。另外,安全培训是企业重要的工作,如何通俗易懂地讲给管理者、开发者、运维人员是一件重要做的事情。每个公司都应该交一个安全界的朋友,第一,让对方帮忙监测企业系统;第二,万一企业出现安全事故后,需要请安全专家解决。
未来我们遇到的安全威胁将越来越多,未来将会出现两种入侵者,一是专业级的选手,大部分公司不需要太担心,他们可能会攻击金融等重点领域。二是由于现在攻击技术在平民化,可能出现一些“小毛贼”攻击者,所以企业要具备底线,每位员工须接受企业安全技术培训。公司里不一定设有安全的工程师,但是一定会建立一套数据的安全守则。
张美波:《孙子兵法》里有两句话我非常喜欢:“知己知彼百战不殆”“用兵之法,无恃其不来,恃吾有以待之”,意思是我们要做好比较完善的防备,然后才能有备无患。
很多企业不知道自己有什么资产,甚至不知道哪些系统需要保护,我们需识别资产风险,明确下来哪些东西需要保护,只有了解了目标和方向后,才知道下一步应往什么方向走。
韦青:今天微软跟 CSDN 联合举办《刷新 CTO》本期安全话题,希望能为大家打开一扇窗口,不要把安全当成别人的事情,安全是你和我都相关的事情。如今每个人互相存在连接,有可能发生物理空间所有风险原封不动搬到数字空间,希望大家借此机会对企业安全有所思考。
社会已进入复杂系统时代,这是混沌、复杂、随时涌现和融合的时代。我们把过去确定论的思想放下来,基于每家企业财力、能力的增加,慢慢扩展安全技能。
李亮(主持人):据统计,企业里有专门安全人员的比重不到 10%,安全比重开销平均约 3~5%。随着企业业务云化进程加快,安全是非常大、非常有潜力的市场,希望各位多掌握安全知识。
铛铛档~你们要的微软数字安全中心视频来啦~
扫描二维码或点击阅读原文,免费报名学习吧