容器技术在诞生的时候,本身并没有太多的考虑安全性,所以近些年来,随着云原生席卷全球,处于云原生计算最前沿的容器技术频频出现安全问题:2018 年,特斯拉、Weight Watchers 在内的多家公司的 Kubernetes 环境遭到攻击;2019 年,黑客利用了一个 Docker Hub 的安全漏洞导致一个企业的 19 万用户数据泄露;另一方面,Log4j 事件预示着全球企业组织正面临漏洞攻击飞速增长的空前局势,软件供应链安全威胁愈演愈烈......
腾讯在网络安全方面有二十多年积攒,同时在攻防主战场“云安全”上有着丰富的实践经验。面对网络安全不断变化的趋势,我们该如何应对?InfoQ 采访了腾讯安全副总裁、腾讯安全云鼎实验室负责人董志强,希望云鼎的安全思路能给我们带来启发和思考。
嘉宾简介:董志强,腾讯安全副总裁、腾讯安全云鼎实验室负责人。从著名的 2006 年专杀“熊猫烧香”,到创建“超级巡警”,再到拓展海外安全,董志强在安全领域一直拥有卓越的技术能力和影响力。2016 年加入腾讯,从反病毒领域转向云安全领域,从无到有牵头组建成立了云鼎实验室,带领团队梳理腾讯云安全架构,并逐步承担云平台的基础安全工作。专注于云领域前沿安全技术研究与创新、安全漏洞研究和处置、云架构和解决方案规划设计、云标准化和合规体系建设等工作。此外,他还在今年 6 月举办的 QCon 全球软件开发大会(北京站)中担任了「业务安全合规」专题的出品人。
InfoQ:从反病毒的专家转向云安全(云鼎),从个人转型的角度来说,您如何看待 To C 的安全与 To B 的安全之间的差异?
董志强:简单说,C 端场景可以用一个产品打穿。B 端的场景就需要多个产品,解决不同场景的安全风险,形成安全纵深防御,体系化来保障安全。
InfoQ:云鼎最初的定位是什么?如果要将云鼎发展分成几个阶段,您总结是怎么样的?
董志强:云鼎从成立之处的定位就是建设领先的云计算安全能力和最佳实践,包括云安全架构与技术研究,产品与平台安全体系,安全运营和治理体系。我们与各兄弟团队紧密协作,比如在云安全的体系建设和运营治理上,与安平进行全方位的协作,在内核防护系统、机密计算方向,会邀请玄武、科恩进行功能验证和安全评审。
第一阶段是解决基本的云安全防护系统的建设问题,比如我们在早期研发了云镜,同时将公司沉淀多年的安全能力包装输出,快速形成了主机、WAF、Ddos 等防护系统。
第二阶段重点解决腾讯云产品的研发安全和租户层面的应急响应工作,落实安全责任共担,安全合规等需求。
第三阶段落实云平台的安全保障工作,持续进行安全研究与创新,将我们的云上的最佳安全实践输出,孵化出安全托管 MSS、数据安全中台等。
InfoQ:对于云基础架构,安全考虑是开发过程的一部分,比如说很多漏洞就是在开发阶段引进来的,也有人认为大多数的云服务形成过程中安全会落后于开发。那么在 2016 年云鼎成立之后,在提升安全性能上首先采取的策略是什么?
董志强:我们知道,IT 需求交付速度和改善效率是企业云化的最大驱动力,为了应对这种要求,采用 DevOps 等敏捷开发模式成为云原生应用的特性之一;比如腾讯会议在 260 天迭代了 29 个版本。但是敏捷倡导的最小化可行产品等概念,需求设计阶段的阶段的减短导致过去安全模式中强调的威胁建模等理念难以开展。对应的解决之道是 Gartner 在 2012 年提出的 DevSecOps,它是一种糅合了开发、安全及运营理念的全新安全管理模式,提出安全是整个 IT 团队(包括开发、测试、运维及安全团队)所有成员的责任,需要贯穿整个业务生命周期的每一个环节。
云鼎为了保障腾讯云产品的研发安全,持续探索 DevSecOps 在腾讯云的落地和实践,我们建立了腾讯云 DevSecOps 模型,基于腾讯安全的能力,构建更易用、高效的 DevSecOps 工具链,将安全能力嵌入到 DevOps 平台,通过 CI/CD 流水线检查及安全门禁等方式实现在业务的研发甚至运营阶段前置、高效的收敛安全漏洞,通过一系列标准要求与度量机制,实现上线前的漏洞收敛率的大幅提升,保障业务快速迭代中的安全质量。
整体我们希望通过 DevSecOps 的落地实践,将安全左移,降低安全问题发现和修复的成本,同时适配敏捷开发模式,提供更高效的安全检测能力与机制,在业务快速迭代的同时保证安全质量,以此来实现腾讯云产品的出厂安全。此外我们也积极参与一些行业标准制定,向行业分享我们的实践经验,比如信通院发布了一系列研发运营安全工具标准,我们是主要的起草单位之一。
InfoQ:云鼎发展到现在,期间您遇到的最大的挑战是什么?
董志强:目前云计算仍然在发展的早期阶段,安全作为伴生技术,出现的时间更晚。早期我们进行安全建设时可以借鉴海外的经验。但最近几年,国内数字经济发展发展迅猛,有很多独特的场景和数字生活体验,提出了新的安全要求,这使得我们重新审视云平台的安全架构,重新定义我们的安全度量标准,我们也在多个方向进行布局,对新的场景进行摸索,尝试突破。
InfoQ:请简要介绍一下近年来的网络安全威胁的变化趋势,这对您本人以及腾讯云的安全防御思路产生了哪些影响?
董志强:这些年在安全威胁上明显的变化有几点:
第一是加密货币的流行,使得黑产更容易实现隐秘的变现,所以挖矿、勒索这类黑产比较流行。从现象上看,针对云服务器攻击植入挖矿软件,加密重要数据资产进行勒索变多了。
第二是供应链安全问题凸显。传统边界防御建设的相对完善,供应链上下游薄弱环节开始被黑客关注。国际组织 Forrester Research 的研究表明,应用软件 80%-90%的代码来自开源组件,而开发者往往对开源社区默认信任。所以对开源组件的攻击,通过源码投毒污染下游生态就成为黑客关注的有效攻击手段。
第三是新的计算形态带来新的安全挑战。比如 Serverless,函数计算等。要保证新技术快速发展同时安全防护不缺位,有比较大的实践挑战。
第四是合规要求带来新的技术挑战和新的业务场景。各国不同的数据安全要求,给数据安全带来新的挑战和发展机会。
在安全防御上,我们一直坚持全栈安全思维,坚持基础设施从底层到上层全链路的安全建设,坚持安全左移,进行 DevSecOps 的云平台最佳实践,在每个云产品里面设立安全卡点,把安全能力做到云里面去,实现更好的云原生安全。其次我们会加强安全专家的队伍建设,以攻促防,进行积极防御。
InfoQ:容器是当前开发者最关心的技术,也处于云原生计算的最前沿。有报告指出,75%正在运行的容器至少存在一个“高”或“严重”漏洞”,为什么在云原生时代里会有如此多漏洞?
董志强:目前大部分容器的漏洞,主要是由于镜像引入的,开发人员将业务代码和依赖的组件与底层操作系统打包成容器镜像文件,然后通过 Kubernetes 等容器编排系统进行部署运行。其中业务代码、第三方组件、底层操作系统均可能存在漏洞。目前软件应用开发中大量引入第三方组件和开源组件的趋势加剧了容器镜像引入漏洞的风险。
运行的容器中的漏洞风险,可以通过对容器对应的镜像文件进行漏洞检测发现,确定漏洞引入的镜像文件层级并进行修复,修复过程可以理解为先对容器对应的镜像做修复并重新打包生成新的镜像,再运行起来成为新的容器来解决,借助自动化的辅助措施可以实现快速修补。
InfoQ:对于任何的虚拟化平台而言,虚拟机 &容器的逃逸都是一个非常严重的安全隐患,基本上能让所有的主机安全防护瞬间失效。针对这类极端问题的防护,和针对常规 DDoS 的防护,您认为比较有效的预防策略分别是什么?
董志强:虚拟机逃逸风险属于云安全的热点话题。作为云安全的建设者,我们针对这类问题其实不会采用单点对抗的解决方案,而是采用两个思路,第一是探寻全栈的防护思路。比如在 KVM/QEMU 以及主机 OS 侧,做了大量加固和漏洞缓解措施,从之前暴露出来的逃逸漏洞反向验证效果来看,我们的防护措施可以发现并阻断这种攻击。第二是配合虚拟化平台定制化的安全架构设计,攻击者想实现可控的逃逸代价非常大。
容器逃逸这里,因为容器共享内核的原因,会有一些内核漏洞宣称可以实现容器逃逸。在防护上除了上面内核加固的思路外,也需要对 Kubernetes、runc 等容器基础设施组件漏洞和配置类导致的逃逸问题进行配置加固,对进程 capability、系统调用、容器间通信隔离等细粒度的管起来,就能有效降低容器逃逸发生的可能。
InfoQ:请您谈一谈对供应链安全的看法,以及腾讯云在供应链安全方面的举措?
董志强:供应链安全这个问题的提出,符合安全趋势发展的一贯规律,就是哪里还没被安全覆盖,黑客就会去哪里捣乱。我们看到软件供应链的安全攻击事件一直呈快速增长态势,供应链安全也成为我们安全工作的重点之一。
供应链安全问题既是技术问题,也是生态问题。腾讯云在软件供应链安全方面,在固件安全分析、源码静态分析、组件的依赖解析和成分分析上,做了很多技术积累。
首先在引入方面,通过自建的软件源集成安全检测能力识别和阻断有害的组件下载,如一些假冒的 pypi 包或者一些存在高危漏洞的组件;同时,建立开源组件黑名单,对于类似 strust2 等常年爆发漏洞的组件,严禁使用和引入。
在使用和维护方面,基于 DevSecOps 与资产测绘,通过 SCA(软件成分分析)、网络探测、主机探测等多方式识别问题及黑名单开源组件并推动收敛和替换;同时通过安全情报监测与开源软件的安全研究,实现对开源组件风险的提前发现与及时响应。
在生态方面,我们跟一些新兴的供应链安全创业公司有很好的合作,也加入了 OpenSSF 这个国际化组织,通过跟业界共建的方式保障供应链安全。
InfoQ:请您谈谈对安全责任共担模型的看法?
董志强:安全责任共担模型是云安全联盟中大家公认的事实上的行业标准,这个模型明确了云厂商和租户的安全边界,也明确了云厂商内部的安全责任。
中国目前从法律层面上已经明确了网络安全的主体责任,无论什么形式的网络攻击,最终都是企业主体需要对安全负责。作为公有云平台,我们也有责任保障云基础设施的安全。从这个角度来说,责任共担模式依然是成立的,公有云和公有云租户各司其职,共同保护云上运行的业务的安全。
InfoQ:不同的云厂商在云安全架构上各有侧重,腾讯云的云安全架构侧重点在哪里?
董志强:腾讯云是一个多生态融合、多业务场景的云平台,优势在于云厂商对不同行业生态及场景的理解。从架构上看我们一直倡导全栈安全能力,从底层基础设施到上层应用安全均有云原生的安全能力嵌入,此外我们深耕场景化解决方案,结合云原生安全架构快速助力企业上云。比如我们能快速打通办公网与云上的安全体系搭建,实现远程办公零信任接入,这对于中大型公司具有很强的吸引力。再比如 mss 服务可以帮助中小型公司做好安全产品和安全服务之间的衔接,提供一站式托管安全,在提升客户安全水位的同时又降低企业的安全成本。
InfoQ:在当前云计算爆发增长的坏境下,安全业务和云业务算是并行发展吗?如何形成更好的整合?
董志强:安全既是业务,也是云的基本属性。没有安全这个前提保障,云的其它优势都无从谈起。随着越来越多的数据、流量、业务搬到云上,云已经成为攻防的主战场。所以我们看到云安全的需求越来越大,新的安全业务模式和产品形态也不断涌现出来,安全也在驱动云业务的发展,两者之间相辅相成。
很多时候我们也会看到云跟安全的融合,这就是我们常说的云原生安全。我们希望做到云默认安全,借助云原生的优势,将云鼎在安全领域的专家经验和技术积累形成普适性的方案, 使得普通用户能一键开启,开箱即用,以此提升客户的安全水位。
活动推荐
面对越来越严格的安全合规要求,研发一直在合规改造的路上挣扎求生,如果你也有这方面的困惑,6 月我们一起关注 QCon 全球软件开发大会(北京站)「业务安全合规」专题,本次采访嘉宾腾讯安全副总裁、腾讯安全云鼎实验室负责人董志强担任专题出品人。
同时,我们也邀请了来自美团点评、腾讯云安全、蚂蚁、百度的 4 位资深安全专家,与你一起探讨企业在业务安全与数据合规过程中所面临的挑战,以及如何应对。
如何评价《大国重器2》?有哪些精彩的故事吗?
《大国重器》第二季在第一季的基础之上,重装升级,从八个角度,海陆空三方面,60个小故事,全面展现“国之利器”:实体制造的强悍之处。
中国的重器之路,短短十载光阴,即从第一季的追赶者,到全面跨越,一步步成长为世界的领先者和掣肘者,这就是属于我们的《大国重器》。
它之于我们的意义,是教科书,是让我们懂得“大国重器”究竟重在哪里,牛在何处。
第二季共分八集,从传统基石,到移动互联,从海陆齐进,到探索太空,在中国制造的强势攻坚下,一项项让世界为之瞩目的第一、首次,不断破土而出,震撼世人。
每一集五十分钟,一般分为6-8个小故事,以该集主要核心内涵展开,截取国内该领域内的顶尖公司或在建/已建项目为案例,详细的阐述大国重器的伟大和彪悍之处。
与第一季相同,每当熟悉的李立宏老师声音一出,大国既视感随之扑面而来。
另外第二季在第一季的基础之上,出品制作方加入了一位重量级的身影:工业和信息化部。
于是在第二季中,我们看到了我们以前从未见过的工厂内景,机器内核以及手动操作全过程,站在多个世界第一和全面领先的基础之上,中国已经有了足够的底气和实力,毫不畏惧的向世界展示我们的“重器之谜”。
八集剧情中,涉及到的领域,既有传统机床、深海打桩、核能发电这些我们略微知晓的传统行业,也有深海光纤、远洋测控这些我们普通人无法接触的新型领域。每一集的每一个小故事,都足够精彩到让我们为之激动、沉浸。
截取两个小故事,来感受下国之利器带给我们的深深自豪和切身改变。
第一集中,第四个小故事,尖端领域:远洋测控。
2017年4月,天舟一号运载火箭的成功发射,让中国再次拿下一个世界第一:世界上载荷量最大的运载火箭。
它成功发射的幕后英雄:远望七号,起到了关键性的领航作用。
远航七号测控范围最远可以达到月球,将在火箭升空七分半以后,全面接管和领航火箭到进入预定轨道的全部旅程。
远望七号背后代表的远洋测控技术,是世界上最领先的测控技术,中国是世界上第四个掌握该技术的国家,从0出发,到100%圆满完成每次任务,中国用了30年。
故事中,远洋号在第431秒成功捕获天舟一号,从导航开始到进入预定轨道,远望七号仅用时166秒,这样的壮举,亘古未有。
第六集中,第三个小故事,云计算带来的治安管理之便。
故事以报警中心,接到老人走失报警电话开启,在报警人电话尚未挂断之前,老人的所有信息已经出现在屏幕之上。
再一转,引入眼帘的是全市的电子视频监控网,结合老人离家时长,圈定可能走失的范围。接下来就是云计算大显身手的时刻,人脸识别技术重装登场,一台台不断转动的监控探头,不断比对切换的监控屏幕。
报警十分钟后,人脸识别探头依旧未捕获走失目标。
改变策略,扩大范围,民警将识别方向,改为人脸库检索系统。
对全市上万个探头,四个小时内所有的人脸进行全面识别,五秒以后,老人的行踪轨迹串联成一条线,呈现在大屏幕之上。
整个搜救行动,从报警开始到找寻结束,共计用时25分钟。
智能大脑、云计算、大数据将慢慢的走进我们生活,支撑起我们更快建、便利的生活轨道。
《大国重器2》还原史上最复杂木马阻击战,除此之外,还有哪些精彩的故事吗?
《大国重器》第二季是CCTV纪录片。本片用独特的视角和震撼的镜头,记录了中国装备制造业创新发展的历史。通过人物故事和制造细节,鲜活地讲述了充满中国智慧的机器制造故事,再现了中国装备制造业从小到大,到赶超世界先进水平背后的艰辛历程。
在充分阐释中国装备制造业创新成就的同时,展望了中国装备制造业迈向高端制造的未来前景。这是一部增加正能量的记录片,不管你是不是科技控,都不妨碍你对这部纪录片里的科技产生浓厚的兴趣。相信每个人看完这部纪录片,都会对中国智造业有一个全新的、详细的了解。
《大国重器 第二季》八集的主题分别是《构筑基石》、《发动中国》、《通达天下》、《造血通脉》、《布局海洋》、《赢在互联》、《智造先锋》、《创新体系》,涉及空天、基建、能源、海洋、通信、智造等领域,展示了我国各项前沿科技。
大推力火箭发动机点火试验、中国卫星制造装备、太空密闭生存试验,展现了我国世界领先的空天技术水平;
世界最长钢制臂架泵车之王、最强悍的高原装载机、最先进的全断面掘进机、最长的地下管廊,都是世界最强悍的基建神器;
特高压、煤液化设备、锂电池、充换电、风光水及核电等超级装备,讲述着能源领域的转型与变革;
全球第一座海洋牧场、世界上最先进的吹砂造陆神器、全球起重能力最强的海上巨无霸、世界上最完备的海洋运输舰队,无不是挺进深蓝的大国重器。
每一项科技都展现了大国风范,足以让国人自豪、让世界赞叹。
气势恢宏影像、详尽的数字、震撼的音乐都给人带来更深刻的认识。甚至各个产业、各个机器中的小细节也一览无余,我们已经有了很多世界领先的技术和产品,实现了人无我有,人有我优。虽然这些话在平日里也总听到,但通过这部片子确实让人体会更多,感触更深。
我认为最精彩的是《赢在互联》这一集。
网络是一个开放和自由的空间,在大大增强信息服务灵活性的同时,也带来了众多安全隐患。黑客和反黑客、破坏和反破坏的斗争愈演愈烈,不仅影响网络稳定运行和用户的正常使用,甚至还可能威胁到国家安全,网络安全的重要性已经成为各国关注的重中之重。
纵观近几年的网络安全事件,数据泄露、病毒攻击、漏洞攻击、信息诈骗等事件在全球频繁发生,造成的经济损失也越来越触目惊心。据有关报道显示,仅2017年,中国网络安全事件造成了超过917亿元的经济损失,网络安全已经成为国家发展必不可少的一环。在互联网的虚拟世界中,正在上演着一场场看不见的暗战,真正的大国需要保障网络安全的重器。
面对互联网的巨大变化,《大国重器第二季》也顺势转变了视野,从单独关注产品到关注体系能力建设,创意和理论立意上也有所改变。与第一季最大的不同在于第六集《赢在互联》,代表国家软实力的网络安全入选《大国重器第二季》,这是一项重大突破。
在《赢在互联》中,腾讯安全联合实验室有幸作为网络安全领域的唯一代表登陆荧幕,全面还原了2017年影响用户规模最大的“暗云Ⅲ”木马攻防战。
《大国重器第二季》的播出再次确立了网络安全的国家战略地位,让民众更加深刻了解网络安全的重要性。以腾讯为代表的互联网安全厂商将持续推进网络安全行业信息共享、协同作战。未来,我们将构筑起中国互联网上的正义者联盟,进一步为国家夯实虚拟世界的铜墙铁壁,维护、保障国家网络安全,成为当之无愧的国之重器。