如何构建云时代的云原生安全运营中心，看完你就明白了

点击观看大咖分享

云正在对数字化业务的构建带来巨大影响

随着云计算的到来，越来越多的企业会将自己的业务和服务上云，托管到云上，公有云提供的技术和服务也让企业客户数字化业务的构建方式发生了变化。随之而来的，包括我们安全领域的API安全等，都是由于这些变化而产生的。那么云计算和上云到底带来了哪些影响呢？这里主要概括三个方面。

第一，云的一个特性是弹性扩展和动态伸缩，弹性的基础设施支撑更加敏捷的业务。所以企业上云之后，基础设施灵活随需取用，“资产”无时无刻不在发生变化。

第二，云原生正在成为云上业务构建的基本思路。所有业务基础设施全面服务化、可编排、“用完即走”。

第三，借助云原生，不同基础设施的协同调用机制在发生巨大改变。API驱动的DevOps将快速得到大规模的应用。

云上安全建设面临新挑战

而安全行业本身是和客户的技术架构相吻合的，所以说这些变化对整个安全运营和建设也带来了一些新的挑战。这里我们总结了三个挑战，第一个就是传统安全运营中的“资产”发生了变化，以前在云下做安全的时候，资产主要是服务器、PC、打印机等硬件设施。而在公有云上，我们“资产”的概念就扩大了，比如说一些PaaS层、SaaS层的服务、数据存储等，这些新的服务或产品都属于我们在云上做安全的时候需要关注的资产。

第二个就是在在公有云上可能会出现新的风险——云原生的配置风险，这个的话无论我们腾讯云，还是阿里云或者国外的微软、亚马逊等，都会在云产品中设置一些安全选项，比如说对象存储里面会有一些访问权限、数据库里会有一些安全组的配置，而这些配置都是分散在各个产品当中的，缺乏统一的管理和运维的平台，这对于云上的客户来说就很难做到统一的管理和检查，容易产生一些风险隐患。

第三，谈到安全运营其实有两个比较核心的主题，一个是“资产”，另一个就是“威胁”。那么在安全运营中，云上的“威胁”的概念也是需要扩大的。我们在传统安全中比较关注一些外部的攻击、主机上的威胁，但在云上可能会出现一些新的威胁及手段，比如内部用户出现的一些异常操作或越权操作、API的异常调用等。所以说我们在公有云上进行安全运营时，“威胁”的概念要扩大，否则就很难针对云上特有的攻击方式进行监控和防护。

云上安全运营新诉求

正是因为有了上面这些变化和挑战，我们在做云上安全运营的时候就会有一些新的诉求。第一个就是需要对弹性资产进行动态的盘点，有些客户的IT团队可能是由运维和安全两个团队组成，因此团队之间的信息存在滞后性，所有团队可能自己都不知道有多少资产在云上使用、类型是什么样的、哪里有风险。所以在云上是有必要去做动态的资产盘点，给客户一个清晰的展示。

第二，对合规风险进行动态自动化评估。在去年年底提出过一个很重要的概念——动态合规，这个主要就是针对云产品的。因为在公有云上资产的变动速度快，每发生一次变动都需要去检查是否跟合规一致。但是由于变化的速度太快，不能用传统的方法手动去检查合规配置，所以在云上做安全运营就需要一种自动化的检查手段。

第三和第四比较类似，就是云上风险及新威胁的检测能力，之前也提到过云上“威胁”的扩大，因此也需要相应的风险、威胁检测能力。

第五就是客户可能需要一个云上的日志审计平台，也就是在发生安全事件之后提供一个调查溯源的能力，及时对风险点进行查缺补漏。

最后一个就是响应处置的能力，现在很多客户的云上业务构建已经比较自动化了，但是对于云上的安全事件处置可能还是需要手动来进行，没有形成一个自动化的流程。这一块其实是可以借助云原生的一些能力，比如说API的调用机制来完成自动化响应。

云原生的安全运营体系架构

这是我们提出的一个叫“IPMDR”的安全运营体系架构，它会分散在我们日常做安全运营的三大核心环节中，就是“事前安全预防”、“事中监测与检测”以及“事后响应处置”。

那么在“事前安全预防”的环节中，我们首先应该去识别我们在云环境下有哪些资产（包括各类型云原生资产）。在了解了这些资产之后，我们需要做的很重要的一点就是针对这些资产去做一个事前预防的安全体系，包括一些云资产的配置风险检测、攻击面评估、合规风险自动化评估等。如果在云上安全运营中能够做好这些环节的话，那么其实云上真正潜在的风险就会减少很多。

而“事中监测与检测”方面我们会依托防火墙、主机安全等传统的安全产品去做一些流量侧和主机侧的安全事件检测，同时我们也需要对一些云上也有的威胁做一些检测，比如前面提到的APIK的泄露及内部用户的异常行为监控等。

那么在“事后响应处置”方面，我们可以把响应处置分为三个方面，第一个就是我们需要有安全编排和自动化的能力，能够实现批量的自动化响应，提升响应处置效率；第二就是我们需要有一个符合云环境的统一的日志审计和溯源调查平台，来打通云上各安全相关产品的数据；第三个方面就是我们经常会说“安全运营”就是人、技术和流程相互配合的有效体系，所以除了刚刚提到的技术之外，我们也会配套一些人工专家服务，来响应和处置一些安全事件。

构建事前安全预防体系

目前事前安全预防是需要“安全左移”的，“安全左移”是将安全防护尽可能地移动到开发流程的早期，我们传统安全往往是将IT部署好、业务搭建好之后进入到运维环节，交给安全运维人员去进行安全运营及管理。那么在云上做安全需要我们将这些预防环节提前，在安全事件发生之前提升整体安全水位，防患于未然。例如我们可以做刚刚提到的资产动态盘点、攻击面定期识别和加固等操作。

构建事中安全事件监测与威胁检测体系

那么在事中就需要构建一套完善的监测和检测体系了，例如云上安全产品和安全事件统一收集，实现统一监测和全局管理。同时除了传统安全威胁（主机威胁、流量威胁等），一些新型的如API异常调用、Key泄露等也是需要我们去纳管的。

构建事后响应处置体系

当然我们也需要去构建一个事后响应处置体系，在发生安全事件后能够及时响应、阻断、配置加固，并积极采用一些自动化的手段来提高事件的处置效率。同时也需要构建云上安全事件的统一调查溯源平台，保证在安全事件发生之后能够做到“可溯源”。

一个中心和三个基本点

总结下来，构建云时代安全运营体系其实就是一个中心和三个基本点，首先我们应该以云原生的思路去构建云安全运营体系，而不是把传统的安全运营体系搬到云上，否则很难应对云上一些特有的风险。

而三个基本点，第一个是“安全左移”，是云时代安全运营的基本前提，我们一定要有事前感知和风险检查的能力；第二个“数据驱动”，是云时代安全运营的基本要求，我们把分散在各个云平台、云产品上的数据进行收集，然后再进行统一的纳管；第三个就是“自动化”，它是云时代安全运营的基本手段，实际上就是云给安全运营带来的一种便利，因为在传统的体系下想要做到真正的自动化其实还是蛮难的。

问卷

为了给广大开发者提供最实用、最热门前沿、最干货的视频教程，请让我们听到你的需要，感谢您的时间！点击填写 问卷

关注“腾讯云大学”公众号，回复【加群】进入交流群

腾讯云大学是腾讯云旗下面向云生态用户的一站式学习成长平台。腾讯云大学大咖分享每周邀请内部技术大咖，为你提供免费、专业、行业最新技术动态分享。