我是史中,日常是和各種大神聊天,這次我采訪的對象是亞信安全的通用安全產品中心總經理童寧。這篇文章我從另一個角度“云安全的歷史,我們曾研究過什么”來回答你的問題。
-------正文分割線-------
一個安全人眼中的“十年云安全戰爭”
文 |史中
我覺得,能體現人類最高級文明的生活方式 ,就是“宅”。
你想想,一個人整月都不出門,卻能從門口取回天下美食,取回衣帽鞋襪;能從手上的屏幕學習國際大事,閱盡島國女神,不會落后其他人哪怕一秒。這簡直是時代的勝利。。。
外賣、資訊、聊天,這些我們每天都用到的黑科技就像一座摩天大樓,身下的地基只有一個:計算。如果在計算前加一個限定,那就是云計算。
講真,在今天這個時間點,云計算要是涼了,什么衣食住行肯定全都掛了。所以,現在有很多安全企業的飯碗就是:“拱衛云計算的安全”。
不久前,我遇到了亞信安全的通用安全產品中心總經理童寧。我發現,對于中國云安全的歷史故事,他是一位很合適的講述者。
童寧
說他適合講這段故事,有兩個原因:
1、活久見。亞信安全的前身趨勢科技中國,自稱是全球最早定義“云安全”的廠商,在這個池子里已經游了十年。(要知道云計算本身也才有十二年歷史。)2、兩種視角。2015年亞信科技收購了趨勢科技中國,成立了亞信安全。童寧也隨之進行了身份轉變。這就讓他們能從內外兩個角度描述云安全的“中國往事”。
一、2008-2015:算力就像中國的人口,不斷向大城市聚集
過去十年,有一個有趣的現象:我們身邊的算力在迅速而且不可逆地聚集。就像最近半個世紀,我們身邊的有志青年逐漸向北上廣深聚集一樣。
百川歸海,最終形成了今天的“云計算”形態。
童寧回憶往事,把十年歷史分為三個階段。
1、虛擬化:計算的鄉村
在十年前的 2008年,計算的“上古時期”,單純的寶寶們相信一是一、二是二:一臺計算機,運行一套系統,提供一套服務。天經地義。
但是,腦洞爆表的人類發現了一個更酷的玩法:計算機的本質是計算力,而計算力怎么能受物理機箱的限制呢?我可以用代碼的形式,強行把一臺計算機分割成虛擬的兩臺計算機,讓他們分別運行不同的任務。
這種切分機器的方法就是如今大名鼎鼎的“虛擬化”。大名鼎鼎的 VMware公司就是虛擬化的始祖,至今還有很多企業在使用 VMware的虛擬系統。
就這樣,一發不可收拾,計算力被繼續分割。以至于一臺服務器拖動60-80個桌面,執行60-80套任務,這些都是日常操作,不用扣6的。
好的,現在問題來了:
一臺機器分出了幾十號虛擬主機,那么是否每個虛擬主機都要安裝殺毒軟件呢?這其實是個挺有趣的問題。
想象一幢大樓,原本屬于一家公司,門口站著一位保安。但是后來老板把大樓分成了60間辦公室,租給了60家公司。那么每家小公司都需要自己重新配備一個保安嗎?
講真,一般的辦公樓里并不是每個公司門口都有保安。所以當時趨勢科技覺得,在每一個虛擬機里安裝殺軟也沒有必要。于是他們仗著對自己的技術水平還可以,和 VMware合作開發出一個“通用保安”,用一個人來保衛60個公司。這就是他們津津樂道的“無代理”安全技術。
說起來,這就是云安全的最初形態之一了。
注意,這個時候借助虛擬化技術,幾十組相互獨立的算力,已經能夠匯集到一臺物理機上了。幾十個用戶,就像一個村莊一般組織在服務器里,相互獨立又分享資源。我們剛才提到的算力集中化的浩蕩歷史,自此拉開了帷幕。
2、資源池:計算的城鎮
2013年以后,虛擬化已經成為了家常便飯。VMware成為了炙手可熱的牛X公司,趨勢科技也借著自己虛擬化安全的能力,賺得盆滿缽滿。
但與此同時,各行各業都明顯發現,自己需要的算力比想象中更驚人。中國互聯網像脫韁的野狗一樣往前沖,政府、銀行、券商、運營商、國企、私企業務爆棚,都要擴充自己的算力。于是他們開始大量購買服務器,買服務器就要花錢,如此循環往復,購買、管理、運營的成本暴增。
于是,本來就負責管理全國網絡的三大運營商看到了商機,在他們的主導下出現了幾大數據中心,用幾千臺服務器做成一個資源池,租給用戶或者賣給用戶。
注意,這種局面形成,客觀上讓算力更進一步集中了。如同一個城鎮有上萬人,資源池里往往也匯聚了上萬組獨立的算力。
這時就出現了新的安全需求。租戶的業務五花八門,“資源池”沒辦法具體地照顧到每一個租戶的安全。所以他們想到了一個一勞永逸的辦法:定制統一的安全系統,分配給各個租戶,讓他們自己來管理自己的安全。
看過電影《看上去很美》么,
當小朋友只有幾個的時候,老師可以幫他們一個個擦屁股。但是當一個班有幾萬個小朋友的時候,老師就必須得讓每個小朋友自己學會擦屁股。
這時,像趨勢科技這樣的安全企業,主要提供的就是各個租戶可以自己使用的“安全系統”。
3、公有云:計算的超大城市
云的概念,雖然早在2006年就被谷歌和亞馬遜提出,但是直到2015年,中國人才真正接受了“云作為計算力的基石”這個形態。
云計算的核心技術在于大規模的計算力調度。這種調度技術的不斷完善,直接導致了兩個結果:
1、云上算力進一步集中2、計算的單位成本進一步越低。云上的算力已經到了非常集中的狀態,以中國最大的公有云阿里云為例,上百萬租戶同時在一朵云上既獨立工作,又分享資源。就像北上廣深這樣的超大規模城市一樣,公有云同樣是超大規模的人類組織模式。這堪稱人類社會的奇觀,你體會一下。
至此,無論是國計民生的政務系統,還是吃喝玩樂的互聯網服務,都在以史詩般的速度向云上遷移。以此為基礎,各種公有云的變種:“行業云”“政務云”也開始出現。
你看,在生活中,女孩越是依賴男友,就越怕他出軌。云也一樣,越是依賴云,云上的租戶就越需要云的安全。這時便出現了我們現在公認“云安全”的標準形態:
云本身的安全+云上租戶的系統安全后來的發展證明,云本身的安全更多地被阿里云、騰訊云這樣的云計算服務商包攬,而云上租戶的安全,就由安全企業提供。
直到這里,我們都在以云安全服務商的低視角來觀察整個云計算的歷史。接下來,中哥帶你飛,我們試著像飛鳥一樣,盤旋在祖國上空來繼續我們的觀察。
從天空俯瞰,一場更為浩蕩的變革即將來臨。
二、2015-2017:中國網絡安全的“天局”
2015,堪稱我心中的中國網絡安全元年。
在那一年,啟明星辰的股價從14最高漲到了58,綠盟的股價從10最高漲到了49。在那一年,360宣布從納斯達克退市的計劃,邁出了“回家”的第一步。與此同時,提前兩年已經從美股退市的亞信科技,平地驚雷地收購了頂尖網絡安全企業——趨勢科技中國。從天空俯瞰,似乎有一張碩大的棋盤。每個網絡安全企業都像一枚棋子。直到它們在接下來的幾年里,組成了一個凌厲的攻勢,我們才恍然大悟,這是一場中國在下的大棋。
所謂“沒有網絡安全,就沒有國家安全”。對于中國來說,除了芯片、軟件、電子器件這類“核高基”之外,網絡安全的能力同樣像核武器一樣重要。簡單來說就是:
關鍵的網絡安全能力,一定要由中國人自己來控制。
如此,我們再把鏡頭推回到2015年的亞信安全和趨勢科技中國,就能體會到更多鮮活的情緒。
當時,轟轟烈烈的網絡安全國產化替代浪潮剛剛掀起。凡是外資背景的安全企業,都開始受到準入門檻的限制。
當時,趨勢科技果斷放手如日中天的趨勢科技中國,可謂是一個非常明智的選擇。它敏銳地地預料到,外資背景的安全企業在中國的市場空間會迅速收窄。這個過程不可逆。因為,從未來20年的國家戰略考慮,中國已經橫下一條心,要把“對所有人 Say No”的權利緊緊攥在手里。
如果說網絡安全是一個木桶,那么對于彼時的中國來說,“國產云安全技術”這一塊木板可謂是非常短。即使是啟明、綠盟這樣的龍頭企業,也沒有太多經驗。但是站在2015年,行業的精英都看得很清楚,云計算注定會成為整個國家算力的基礎。中國云安全技術的強弱,用生死攸關來形容一點都不為過。。
“眾里尋他千百度,“趨勢”卻在燈火闌珊處。”趨勢科技彼時已經積累了七年的云安全技術。最終的結局是,亞信得償所愿布局安全領域,頂尖的云安全技術完整保留在了亞信安全中。
三、2018,云安全關鍵的幾步棋
如當年的云計算先驅所料,如今云安全已經成為柴米油鹽水電煤氣一樣的生活必需品。阿里云一騎絕塵,已經開始布局國際市場;各路大企業,也紛紛建立自己的行業云。
于是我得出兩個結論:
1、中國的云計算,已經在世界上處于第一陣營。2、中國的云安全,正在棋盤上落下事關全局的最關鍵的那幾個子。那么,問題來了:
從戰略角度看,中國需要怎樣的云安全呢?
我覺得一般人會忽略的有兩點:
1、代碼自主可控。
安全很特殊。如果你是一個將軍,那么你很可能會選自己的同鄉或親人來做你的警衛員。這說明,保護自己的人,一定要是自己信任的人。
對云計算來說同樣如此。尤其是保護政務、銀行等國家基礎設施的任務,必須由百分百的中國公司完成。“你說什么不要緊,先掏出來身份證來做個政審”,這就是自主可控的核心奧義。
2、穩定。
政務、金融等等重要的基礎設施,最需要保證的就是穩定。一旦停止運行,可能會危機整個國民生產。而如果你的安全產品不僅沒有保證安全,還直接把系統都拖累得掛掉了,這就是標準的豬隊友。
其實不僅是云上的系統,所有系統的根本要求都是三個:穩定、穩定,還是穩定。“業務從來不會為安全讓步”,這是一條顛撲不破的真理。
從童寧的角度看,亞信安全之所以這些年發展得不錯,恰恰因為做對了這兩件事:亞信安全保持了百分之百中國供應商的身份;而因為云安全起步早,當競爭對手還在打磨穩定性的時候,他們已經經歷了摸爬滾打,把穩定性保持在優秀的標準線上。
當然,我覺得能在如今的云安全市場上砍下重大份額的安全廠商,產品都具備這兩項特質。
3、硬實力。
當然,在滿足前兩點的情況下,解決問題的效果當然是最重要的。
童寧告訴我,根據他的經驗,企業或者政府把系統放到云上,主要就面臨兩個問題:
已知威脅;未知威脅。1)面對已知威脅,最要緊的是“速度”。
這里,有一個黑客進攻的“標準模型”。
黑客研究出一個漏洞,把它放到黑市中出售;下一級黑客買到這個漏洞,然后開發出一套攻擊工具,繼續放到黑市中出售;下一級黑客買到這個工具,直接買來,用在已經“踩點兒”已久的公司上,直接入侵拿到數據。從頭到尾,幾個流程下來,所需要的時間往往只有幾小時,最長也不超過一天。
在這個過程中,理論上企業和黑客是在同一起跑線上。一個漏洞被爆出,就相當于“寶藏”藏身之處大白于天下,壞人可以去找,好人同樣可以去拿。
只不過,黑客的進攻已經形成了一個巨大的產業鏈,可謂“紀律嚴明,井然有序”;而很多企業的防守陣型,顯得有點手忙腳亂。
舉個例子:
一個企業,在云上搭建了各種系統,有時連自己都難以清點清楚。這時要想一個一個查詢,再找到需要打補丁的服務,一個一個打好,往往一周的事件已經過去了。看過美劇《行尸走肉》或者電影《生化危機》的童鞋,都能想象,面對快速擴張的感染,最有效的方式就是“快”。快速逃離危險區,一旦上岸,之后就只剩下笑看風云了。
2014年,震驚全球的心臟滴血漏洞,就像生化危機一樣,在短時間內席卷全球。
所以,怎么才能用最快速度打好防護補丁呢?這顯然需要“自動化”能力。
1、在威脅沒來的時候,自動識別自己的系統資產;2、在新威脅出現的時候,自動快速打好補丁;3、因為某些具體原因沒辦法打補丁的情況下,要采用替代方法切斷攻擊路徑。(亞信安全的技術叫做“虛擬補丁”)雖然有點三觀不正,但我還是想說:事實上,熊追你的時候,你只要跑得比最后一名快就行。。。
2)面臨未知威脅方面,最要緊的也是“速度”。
可以說天下武功,唯快不破。一個黑客入侵一套系統,有些步驟是不能省略的。
打個比方:
黑客進攻一個云系統,很像進攻一個城池。他需要先放一個“間諜”進來,搞清楚糧草在哪,兵器在哪,城主又在哪。從這個間諜潛伏在系統里開始,到實質性的進攻被發現,中間的一段時間叫做“自由攻擊時間”。在自由攻擊時間里,黑客每找到一份重要的信息,就會讓勝利的天平傾向于壞人一點兒。所以,縮短自由攻擊時間,讓它趨近于零,是至關重要的。
這種攻擊,考驗的就是在信息不完備的基礎上,實打實的分析能力。就像一個老刑警,確認一下眼神,就能知道對面的是不是小偷。
有時候,連老刑警都說不清楚是為什么,但他就是有感覺。在安全技術中,這就用到了人工智能技術。(之前中哥曾經寫過一篇文章,專門介紹了《用人工智能的“阿法狗警犬”做安全檢測》,感興趣可以看一下。)
有一點需要強調,這種發現未知威脅的能力,就像高考語文卷的最后一道作文題,沒有絕對客觀的數據可以評價,也沒有一個“最好”的標準。
所以,在云安全這條路上,所有人都是小學生,也總有人可以做得更好,誰也別驕傲。
四、未來:云安全的“消失”
雖然已經到了2018年,但我覺得云計算還沒有發展到它的最終形態。
打個比方:
現在的云計算,有點像攢電腦。用戶買來底層云計算服務之后,還要在上面自己安裝調試系統。你自己把系統搞崩潰了,跟攢電腦的商家沒關系;未來的云計算,應該像買手機。用戶買來的云計算服務,上面集成了所有的系統和安全特性,用戶所需要的只是使用,一旦出問題只管找客服。你可能明白我在說什么了:未來的云安全,應該是“潛在水面之下”的能力,根本不用用戶操心。
注意,問題來了。既然云安全應該是云計算的特性,那么未來云安全很可能被整合在底層云計算服務商中,例如阿里云,也許會直接把云安全和云上的安全統統做成一個完整的產品交付。
面對這樣的預期,反觀現在,第三方云安全公司的生意也許正在一個山頂,接下來可能會遇到下坡路。可謂最好的時代,也是最壞的時代。雖然不知道這一天何時到來,但這是所有云安全廠商的盛世危言。
不過童寧覺得,第三方安全廠商的任務還遠遠沒有完結,他們至少有兩條路可走
1)云接入的安全。無論云上的安全做得多到位,在你接入云的過程中,還是可能面臨風險。于是所謂的 CASB(Cloud access security brokers)這類接入云過程中的安全,就會迎來市場的爆發。2)源代碼安全。如果把對付已知威脅的能力比作醫療,把對付未知威脅的能力比作免疫力,那么源代碼安全就是基因工程。如果在開發系統的過程中,就寫進了很多漏洞,就像基因里帶有缺陷一樣,后期如果要醫療,付出的代價是不可想象的。所以,源代碼的安全審計,同樣是未來的一個爆發的市場。雖然童寧很驕傲地跟我介紹,亞信云安全的解決方案已經進入77%的中國500強企業、70%的銀行、80%的券商,XXXXX,但是我覺得他比別人更清楚,爭奪市場本身并不是云安全廠商的終極價值。而有朝一日,中國的云成為世界上最安全的云,才是這些為之奮斗了十年,二十年,甚至三十年的從業者最大的榮光。
我們把目光收回到這局網絡安全的對弈之上。
中國坐在棋盤一側,而另一邊的對手,我們無法選擇。
中國的網絡安全從業者,看著“云計算”這三個字從無到有,從模糊到清晰。最初很多人并沒有想到,自己從事的失業會和這個國家的命運息息相關。慶幸他們并未轉身離去,而是選擇挺身而出,成為了歷史的作者。
十年飲冰,難涼熱血。云計算生生不息,他們功成身退的一天,或許永難到來。
但這,正是世界的動人之處。
再自我介紹一下吧。我叫史中,是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友,可以關注微博:@史中方槍槍,或者搜索微信:shizhongst。
不想走丟的話,你也可以關注我的自媒體公眾號“淺黑科技”。
