“为什么现在这么重视云安全,本质是因为云计算作为底层的一种基础技术,无论是数字中国,或者数字新基建,都是以云计算作为基础的。”青藤云安全COO程度如此阐述他对云安全的理解。
当前,新一轮科技革命和产业变革不断深入,数字经济蓬勃发展,计算能力已成为产业核心竞争力之一。根据中国信通院发布《云计算白皮书(2022年)》显示,中国云计算总体处于快速发展阶段,市场规模达3229亿元,较2020年增长54.4%。
既然云产业是数字经济发展的基石,那么云安全就是数字经济高速发展的压舱石,一切应用的开端都应是安全,没有安全的基石,应用业务高楼无异于空中楼阁。正因如此,在2023云安全高峰论坛上青藤就首次提出“业安融合”理念,这一理念将安全与业务深度融合,包括能力的融合、体系的融合、流程的融合,从而实现业务与安全的一体化,并且正式发布先进云安全方案CNAPP。针对云安全未来的发展趋势、云安全创新技术等问题记者采访了青藤云安全COO程度。
由于云计算的动态、分布式和虚拟特性带来了独特的安全挑战,大多数传统安全工具并不能解决这些挑战。78%的组织机构认为,传统安全解决方案在其云环境中根本不起作用或功能有限。
青藤云安全COO程度给记者举了一个例子,“以往传统的网络安全是需要放置一堆硬件设施,然后配置相关的策略,但是云上就没有实体环境去安装传统的产品,也不是简单把防火墙变成一个虚拟化产品部署在云上就可以了。而是应该采用云的方式,充分利用云的网络资源池,将防火墙服务化。”
由于传统安全在云和数字化浪潮下面临着难以适配云和云原生环境、高度碎片化导致效率低下、安全能力迭代演进缓慢、难以融合到业务全生命周期中等困境,因而需要更加敏捷、高效、智能、连接能力更强的先进云安全整体解决方案。
先进云安全整体解决方案——CNAPP(云原生应用程序保护平台)就此应运而生。Gartner将CNAPP定义为“一组集成的安全性和合规性功能,旨在帮助保护和保护开发和生产中的云原生应用程序”。
CNAPP允许组织为云原生环境实施完整的端到端的安全性,而不必将多个解决方案组合在一起来解决特定的、离散的安全问题。在程度的理解中先进云安全方案应该是云原生化的、融合化的、服务化的、智能化的。
“首先,先进的云安全应该是云原生化的,云原生安全需要一套集成方法,从开发阶段扩展到运行时阶段,提供完整生命周期的安全保障能力。其次,先进的云安全应该融合化的,包括能力的融合、体系的融合、流程的融合。为了提高开发运维效率,安全不能作为一个单独的检查项,这会严重降低DevSecOps的交付速度。为此,需要实现安全与人员的融合、与开发工具的融合、以及与流程的融合。再次,先进的云安全应该服务化的,先进云安全方案的实施需要专业的安全服务人员、标准的服务流程以及云原生架构底层服务平台。最后,先进的云安全需要是智能化的,生成式人工智能 (Generative AI) 可以在网络安全防御领域发挥重要作用,包括在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面。图计算技术与AI高度耦合,可以实现多机信息的关联,也是未来的一个重要发展方向。”程度向记者解释道。
其实青藤能够提出“中国云安全整体解决方案”,不仅是因为伴随着云计算的发展逐渐成熟,安全行业对于云安全有了更进一步的理解,更因为青藤在持续的发展中就像“打怪升级”一样,逐渐补齐了云安全的整体能力。
程度说:“青藤最早定位于云安全,但是早期主要的产品是云主机安全产品,后来又开发了容器安全的能力,在具备了解决云上最重要的工作负载能力之后,我们就可以按照CNAPP规划的框架,不断延伸安全的整体解决方案,在一定建设周期后,最终实现全面落地。”
“尤其是在当前大部分企业为了自身的业务安全,大多会采用混合云或者多云的解决方案,尽管各家云厂商的安全性普遍做的相当不错,但是云厂商的安全能力在多云的情况下,无法解决其他云厂商的安全问题,这也给了青藤发展整体解决方案的机遇。”程度补充说。
在云安全时代,交付才是服务的开始,云安全服务也带来网络安全行业商业模式的变革,给市场注入新的活力与增量。
“当我们的产品安装完成后,客户是实实在在进行使用,他们是真的关心产品的效果以及当前的安全状况的,所以运营服务就是体现产品效果的最好方式。”程度说,“我们需要在产品技术上与客户的流程、体系上进行适配定制化,例如客户如果对弱口令比较关注,那么我们就需要定时对弱口令的情况为其提供服务,甚至不同客户对于弱口令的改善要求也不一样,这就需要我们持续运营服务,最终达成其核心目标”。