随着互联网的迅速发展,云计算已经被应用于多个领域,互联网企业也如雨后春笋般涌出,并带动各个行业的创新发展,随之而来云上安全问题也逐渐成为行业关注焦点。
6月25日,腾讯云TVP团队和腾讯安全云鼎实验室联合发起云安全技术闭门会,邀请到5位来自北辰时代科技、钛资本、红途创程、游族网络、腾讯云的安全领域资深技术专家,从多个维度、多种行业综合分析云安全行业痛点,共讨立体、可控、可视的安全之道。
TVP技术闭门会是由腾讯云TVP打造的专属技术闭门研讨会,旨在提供一个开放的交流环境,针对热门技术话题前沿科技、技术管理等话题进行深入探讨。在本次“云安全,行业痛点今何在?”技术闭门会上,5位嘉宾也基于各自在行业多年的经验,分享了对于云安全的实践经验和对未来的预判。
安全从0到1
涂川认为,安全是持续攻防对抗的动态过程,没有绝对的安全,从技术角度来看,安全涵盖的面极其广泛,安全技术的实现,除了有清晰的安全建设意识和规划外,对组织和个人的技术能力要求高,全面安全体系的层次化建设,也绝非某个人或者是某个组织凭一已之力就能做好的,需要全民参与,更需求国家层面来领导与组织。
“从传统网络安全建设扩展到云安全领域,于行业内而言,并没有看到颠覆性的云安全技术出现,虽然底层的平台架构发生了变化,业务的承载模式发生了变化,但围绕业务本身的安全问题,依然存在同样的风险与威胁。好在云计算分布式的计算存储网络可以更灵活地应对大规模高并发的云服务场景。而之前在传统安全架构设计里面,常见的堡垒机、日志审计、WAF防火墙、IPS入侵防御等安全防护手段,在云平台安全服务中,也同样存在。好在国家针对云计算平台的安全,也基于传统的安全架构之外,提出了更高的技术和管理要求,我们也相信,云安全的服务质量亦会越来越强”涂川如是说。
涂川还强调,云安全更重要的是服务,行业迫切需要更加智能的,类似于腾讯云的安全服务,MSS托管的云安全服务形式,基于对云端的持续监控及AI和大数据分析,能够把安全策略和大数据背后人的肉眼不能见的东西做到极致,服务价值非常高。
安全防护边界越来越模糊,需要新思路
今年6月,国家正式出台了《数据安全法》,并将于9月1日起施行。在需求与政策的双重驱动下,红途创程创始人、腾讯云TVP刘新凯分析,如何选择更好的方式保护一个企业的数据,将成为行业未来的热门话题。
刘新凯表示,在讨论风险及合规的视角下,隐私及数据安全需求在改变,管理难度在增加。随着法律和企业的变化,保护的外延在扩张,范畴在变大,从企业的敏感数据逐步扩展到个人隐私数据、企业的敏感数据乃至国家的重要数据。同时,随着云技术、大数据的发展,IOT设备、智能汽车、智能家居等一系列物联网终端的接入,也使得安全防护的边界越来越模糊。新的改变下,需要构建全新的数据安全防护的思路。
人才培养是云安全的基础
相比欧美比较完善的安全行业,国内的安全运营团队成熟度还远远不够。雷葆华表示,“2014年之后国内开始大规模做安全补课,投入比例基本在3%到5%,虽然缩短了差距,但是短期内的大量投入带来的安全人才培养不像产品,不像技术,人才的培养是长期性的事情。”
雷葆华总结道,网络安全不仅仅是靠解决方案或产品就能实现,最终还是需要“人”来落地。
通过托管式的安全服务提升企业安全底线
游族网络运维负责人、腾讯云TVP李志勇认为,从安全服务整体来看,主要还是需要一个强大的安全服务团队,技术的服务是很重要的因素。对于很多企业来说,安全建设可以通过引入一些第三方的安全托管服务,迅速将自身的安全基线拉到行业平均水平。
“从企业安全角度来看,相比专业安全厂商,我们自身的安全短板还是比较明显的,如何能够通过外部的资源和服务补足团队的短板,这是我们会关注的一点。我们用怎样的安全产品、怎样的安全技术满足业务上的需求,同时当我们的安全人才不足的情况下,我们需要引入哪些安全服务。”
李志勇认为,解决这个问题可以从两个方面入手,第一是采用托管式的安全服务,对于安全能力不够的企业来说,托管服务能够使企业的安全建设和行业的安全基建保持一致;第二,很多时候安全在部分企业尤其是规模较小的行业里面是一个可选服务,未来需要把安全服务变成像计算资源、存储资源一样的“标配”,去提升行业的安全水平。
用战争思维构建云时代的安全防护体系
Related Keywords