云环境下，企业该如何进行安全建设？

前言：

在数字化浪潮下，企业纷纷进行转型，采用云计算技术，“上云”成为趋势。

然而，“上云”在给企业带来诸多好处的同时，也带来新的安全风险。有人说，相比传统 IDC，云环境更安全；也有人说，云没有本地 IDC 更安全。无论观点是否对错，云环境的安全确实是每一个“上云企业”必须考虑的重点。现在，云安全问题不断出现，比如云平台错误配置、数据泄露等。

对企业来说，在云环境下如何进行安全建设？对此，InfoQ 记者专门采访猎豹移动安全总监林鹏。如下为采访原文：

InfoQ： 云计算在中国不断发展，“上云”成为大势所趋。请问，企业上云一般会遇到哪些安全挑战和安全问题？

林鹏：

第一个是监管方面，即数据上的一些问题；第二个是传统企业上云，面临的边界问题。其中，这个边界问题比较严重。传统上，企业使用 IDC，这个是本地环境，可能一条或几条专线直接通到 IDC，管理等比较容易，我们对边界好控制。上云的话，这个边界问题就变得越来越模糊。这是一个主要问题。

还有一个问题是，比如说主机的管控，需格外花费心思。尤其是流量采集的问题，以前的 IDC，可能基本上很简单的一条流量镜向，就能把所有流量采集过来，然后进行分析。因为，流量这个东西对安全来说比较重要。

但如果是上云，尤其是像多云情况，其实对流量的采集是一个比较大的问题。在其他公司，也会存在一个类似的问题。

infoQ：近几年，这些安全问题中最重要的哪个方面？

林鹏：

对我个人而言，我认为还是流量采集的问题比较严重。我对主流几家云服务商（包括腾讯云、AWS）都咨询过，这个问题基本上无解。

除非是像腾讯那种黑石专用服务器可能把流量收集起来。其他的话，再收集自己公司的流量同时，可能也会把别人的流量也收集进来，那网络层面很难做到区分。而对我们来说，这个流量收集不过来，可能会牵涉到后续的很多风险，无法做攻击的识别和攻击的防护，因此，第一道防线也是我认为最重要的防线就失效了。

InfoQ：流量采集方面，多云环境是不是可能会遇到更大的问题？比如，我只用一个云，或者我用 AWS、Azure 和阿里云，情况会变更复杂吗？

林鹏：

可以这么说。不过，单一云环境也不一定是非常好。这种单一的云，是看单区域还是多区域。

举个例子，我们使用腾讯云，在国内用的最多就是腾讯云。这样就有北京的腾讯云、上海的腾讯云，广州的腾讯云，如果是这个情况，相当于一个国家三个 IDC。这样流量统一采集也很比较麻烦，牵涉到费用问题，咨询过腾讯，例如从北京到广州，服务器之间的流量也要额外收费。所以，如果是云，在业务允许的情况下，尽量还是部署在单区域比较好（其他区域可以用于异地备份 / 多活）。

InfoQ：你们对流量采集的这个难题有哪些应对方式

林鹏：

我们尝试了几种方案，从分布式接收数据包，到 PACEKTBEAT。最终使用了 PACKETBEAT 这套方案。我们要采用这个方案，不像是传统的情况，我们可能只要交换机做一个镜像，在交换机上做一个镜像就行了。只要考虑这个交换机的这个性能，而且一般来说，核心交换机的处理能力都比较强。

但如果在云环境，我们想收集流量就必须把 Agent 部署到本地服务器上。本地服务器需要考虑这个 Agent 的性能会对主机产生多少影响。甚至有时候，网络流量会产生的一些费用也需要在我们这个考虑范围内。

InfoQ：目前，云上主机的安全技术都有哪些？

林鹏：

作为云用户来说，云上主机安全技术，还是传统那些，但我觉得核心技术，是 HIDS 的技术和 SOC。

HIDS，全称 Host-based Intrusion Detection System，即基于主机型入侵检测系统。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态行为以及整个计算机系统的状态。

InfoQ: 企业上云，从非核心业务到核心业务，整个云安全的环境建设有什么样的思路？

林鹏：

首先从资产识别方面，资产识别相当于了解自己公司的云这个范围有多大。尤其是边界模糊、IP 地址不固定的情况下，更应该明确自己公司的这个资产边界是什么情况。

从这个角度出发，做先期的规划，规划好护城河范围，再采用不同的技术手段与控制手段，例如是否采用 WAF、HIDS、规划内部与外部的访问端口等等。

InfoQ：以猎豹移动为例，您入职猎豹移动后怎么进行公司云安全的环境建设？

林鹏：

刚开始走了一点弯路。第一次接触云，我也有点“懵圈”，不知道怎么入手。刚开始以传统的 IDC 思维去做这个流量采集，有点难，后来转成了从资产识别入手。

首先，我们先确定我们的边界是什么，收集一下，并认为要一些资产的清单。

然后再去看哪些资产暴露于外，哪些资产是我们内部。我们先去对这些方面进行整理，目前也在持续做这方面的事情。在做这个同时，我们其次部署了各种 Agent，像流量采集的 Agent、HIDS 等等。

我们还做了一些其他的访问控制，比如缩紧之前做的比较宽泛的一些访问控制策略等等，另外对重要端口的一些识别，也做了相应的限制，其他方面跟传统安全建设就一样了，包括漏洞收集、基于流量、HIDS 等等数据源建立各种监控报警平台，日常漏洞挖掘，应急响应等等。

InfoQ：从酷 6、当当到万达和猎豹移动，你经历了中国安全产业的发展，您是如何理解云安全的？

林鹏：

云计算确实能给企业带来很多好处与便利，但是云给安全带来较大的考验，比如流量采集、访问、边界等方面。传统上，我们可以自己控制我们的边界，比如对外我只需规范一下端口。

但是对云来说，除了考虑 80 和 443 端口，我们还要考虑一些访问的问题、资产识别的问题。

而且，很多公司都是从 IDC 上云，以前 IDC 的安全问题都没有解决，上了云还要面对云的这些问题，确实存在更大的风险了。

InfoQ：猎豹移动既使用了腾讯云，也用 AWS。像这种多云环境下，如何保障云安全？

林鹏：

首先，云厂商提供了一些基础的安全服务，但这还远远不够，我们也组建了安全团队，通过技术、制度等手段保证公司的安全。

除此之外，还通过安全周、公众号宣传、安全周播报等手段提高员工的安全意识。另外，还积极参与安全认证体系，希望通过学习外部的先进经验，把公司的安全做好。

InfoQ：在云环境的安全建设中，数据安全处于一种什么样的角色？

林鹏：

数据安全确实非常重要。如今，我们国家也越来越重视这方面。数据安全这块，尤其对用户数据，对个人隐私的这个数据。比如国外的《GDPR》。中国也不断加强数据方面的检查，制定一些个人数据的法律法规。

InfoQ：对企业而言，在云环境的安全建设中，应该如何做数据安全？

林鹏：

这是一个比较大的范围。数据安全可以理解为我们资产的一部分。做安全，主要是保护这方面的东西。这是多方面的，总体来说就是，该做检查就做检查，该做审计做审计，该做防护策略做防护策略，围绕数据安全，我们需要做多种安全的防护，不求无事故，这其实也很难，只求提高攻击者的门槛，或尽量提前一步 ，比黑客更快发现风险并修复。

InfoQ：不同企业或者不同类型的企业，在上云后，这种云环境的安全建设有没有一些共同点？

林鹏：

共同点都是一样，从自己的资产识别和业务角度出发去做安全建设。

现在来说，对自己的资产识别是非常重要的一个环节。如此，首先要明白自己的这个资产都有什么东西，这样才好用一些技术来保护这些资产。

第二，如果可以的话，云服务商提供一些安全防护，每个厂商可能都提供了或多或少的一些安全服务。在价格允许的情况下，可以适当的去购买一些，比如说云厂商提供的一些技术。

当然，光靠服务商提供的还不够，有些需要自己的安全团队来做这些安全建设，或者安全运营时需要考虑自己的公司一些业务情况。或者根据不同业务模式，找不同的侧重点，再去部署一些防御策略。

今年 10 月，林鹏将在 QCon 全球软件开发大会（上海站）2019 分享题为《云环境的安全建设思考》的演讲。

采访嘉宾：

林鹏，猎豹移动安全总监，SECURITY CCIE，曾任当当网安全经理，网信金融安全专家，万达电商信息安全部总经理等职位，长达 8 年的一线安全攻防实战经验，擅长日志分析，安全体系建立，经历了多次从无到有的安全建设，也经历了从 IDC 到云的安全技术转变，经历过万达电商活动期间与黄牛羊毛的业务风控挑战，也经历过与国外黑客组织对抗的应急响应和调查取证。

在 QCon 上海 2019 的演讲中，林鹏老师将介绍云安全与传统 IDC 安全中的不同、云上主机的一些安全技术和云安全的一些思考，点此了解详情。