作者 | Tina、魏星

容器技術(shù)在誕生的時(shí)候，本身并沒有太多的考慮安全性，所以近些年來，隨著云原生席卷全球，處于云原生計(jì)算最前沿的容器技術(shù)頻頻出現(xiàn)安全問題：2018 年，特斯拉、Weight Watchers 在內(nèi)的多家公司的 Kubernetes 環(huán)境遭到攻擊；2019 年，黑客利用了一個(gè) Docker Hub 的安全漏洞導(dǎo)致一個(gè)企業(yè)的 19 萬用戶數(shù)據(jù)泄露；另一方面，Log4j 事件預(yù)示著全球企業(yè)組織正面臨漏洞攻擊飛速增長的空前局勢，軟件供應(yīng)鏈安全威脅愈演愈烈......

騰訊在網(wǎng)絡(luò)安全方面有二十多年積攢，同時(shí)在攻防主戰(zhàn)場“云安全”上有著豐富的實(shí)踐經(jīng)驗(yàn)。面對網(wǎng)絡(luò)安全不斷變化的趨勢，我們該如何應(yīng)對？InfoQ 采訪了騰訊安全副總裁、騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)，希望云鼎的安全思路能給我們帶來啟發(fā)和思考。

嘉賓簡介：董志強(qiáng)，騰訊安全副總裁、騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人。從著名的 2006 年專殺“熊貓燒香”，到創(chuàng)建“超級(jí)巡警”，再到拓展海外安全，董志強(qiáng)在安全領(lǐng)域一直擁有卓越的技術(shù)能力和影響力。2016 年加入騰訊，從反病毒領(lǐng)域轉(zhuǎn)向云安全領(lǐng)域，從無到有牽頭組建成立了云鼎實(shí)驗(yàn)室，帶領(lǐng)團(tuán)隊(duì)梳理騰訊云安全架構(gòu)，并逐步承擔(dān)云平臺(tái)的基礎(chǔ)安全工作。專注于云領(lǐng)域前沿安全技術(shù)研究與創(chuàng)新、安全漏洞研究和處置、云架構(gòu)和解決方案規(guī)劃設(shè)計(jì)、云標(biāo)準(zhǔn)化和合規(guī)體系建設(shè)等工作。此外，他還在今年 6 月舉辦的 QCon 全球軟件開發(fā)大會(huì)（北京站）中擔(dān)任了「業(yè)務(wù)安全合規(guī)」專題的出品人。

?InfoQ：從反病毒的專家轉(zhuǎn)向云安全（云鼎），從個(gè)人轉(zhuǎn)型的角度來說，您如何看待 To C 的安全與 To B 的安全之間的差異？

董志強(qiáng)：簡單說，C 端場景可以用一個(gè)產(chǎn)品打穿。B 端的場景就需要多個(gè)產(chǎn)品，解決不同場景的安全風(fēng)險(xiǎn)，形成安全縱深防御，體系化來保障安全。

?InfoQ：云鼎最初的定位是什么？如果要將云鼎發(fā)展分成幾個(gè)階段，您總結(jié)是怎么樣的？

董志強(qiáng)：云鼎從成立之處的定位就是建設(shè)領(lǐng)先的云計(jì)算安全能力和最佳實(shí)踐，包括云安全架構(gòu)與技術(shù)研究，產(chǎn)品與平臺(tái)安全體系，安全運(yùn)營和治理體系。我們與各兄弟團(tuán)隊(duì)緊密協(xié)作，比如在云安全的體系建設(shè)和運(yùn)營治理上，與安平進(jìn)行全方位的協(xié)作，在內(nèi)核防護(hù)系統(tǒng)、機(jī)密計(jì)算方向，會(huì)邀請玄武、科恩進(jìn)行功能驗(yàn)證和安全評審。

第一階段是解決基本的云安全防護(hù)系統(tǒng)的建設(shè)問題，比如我們在早期研發(fā)了云鏡，同時(shí)將公司沉淀多年的安全能力包裝輸出，快速形成了主機(jī)、WAF、Ddos 等防護(hù)系統(tǒng)。

第二階段重點(diǎn)解決騰訊云產(chǎn)品的研發(fā)安全和租戶層面的應(yīng)急響應(yīng)工作，落實(shí)安全責(zé)任共擔(dān)，安全合規(guī)等需求。

第三階段落實(shí)云平臺(tái)的安全保障工作，持續(xù)進(jìn)行安全研究與創(chuàng)新，將我們的云上的最佳安全實(shí)踐輸出，孵化出安全托管 MSS、數(shù)據(jù)安全中臺(tái)等。

?InfoQ：對于云基礎(chǔ)架構(gòu)，安全考慮是開發(fā)過程的一部分，比如說很多漏洞就是在開發(fā)階段引進(jìn)來的，也有人認(rèn)為大多數(shù)的云服務(wù)形成過程中安全會(huì)落后于開發(fā)。那么在 2016 年云鼎成立之后，在提升安全性能上首先采取的策略是什么？

董志強(qiáng)：我們知道，IT 需求交付速度和改善效率是企業(yè)云化的最大驅(qū)動(dòng)力，為了應(yīng)對這種要求，采用 DevOps 等敏捷開發(fā)模式成為云原生應(yīng)用的特性之一；比如騰訊會(huì)議在 260 天迭代了 29 個(gè)版本。但是敏捷倡導(dǎo)的最小化可行產(chǎn)品等概念，需求設(shè)計(jì)階段的階段的減短導(dǎo)致過去安全模式中強(qiáng)調(diào)的威脅建模等理念難以開展。對應(yīng)的解決之道是 Gartner 在 2012 年提出的 DevSecOps，它是一種糅合了開發(fā)、安全及運(yùn)營理念的全新安全管理模式，提出安全是整個(gè) IT 團(tuán)隊(duì)（包括開發(fā)、測試、運(yùn)維及安全團(tuán)隊(duì)）所有成員的責(zé)任，需要貫穿整個(gè)業(yè)務(wù)生命周期的每一個(gè)環(huán)節(jié)。

云鼎為了保障騰訊云產(chǎn)品的研發(fā)安全，持續(xù)探索 DevSecOps 在騰訊云的落地和實(shí)踐，我們建立了騰訊云 DevSecOps 模型，基于騰訊安全的能力，構(gòu)建更易用、高效的 DevSecOps 工具鏈，將安全能力嵌入到 DevOps 平臺(tái)，通過 CI/CD 流水線檢查及安全門禁等方式實(shí)現(xiàn)在業(yè)務(wù)的研發(fā)甚至運(yùn)營階段前置、高效的收斂安全漏洞，通過一系列標(biāo)準(zhǔn)要求與度量機(jī)制，實(shí)現(xiàn)上線前的漏洞收斂率的大幅提升，保障業(yè)務(wù)快速迭代中的安全質(zhì)量。

整體我們希望通過 DevSecOps 的落地實(shí)踐，將安全左移，降低安全問題發(fā)現(xiàn)和修復(fù)的成本，同時(shí)適配敏捷開發(fā)模式，提供更高效的安全檢測能力與機(jī)制，在業(yè)務(wù)快速迭代的同時(shí)保證安全質(zhì)量，以此來實(shí)現(xiàn)騰訊云產(chǎn)品的出廠安全。此外我們也積極參與一些行業(yè)標(biāo)準(zhǔn)制定，向行業(yè)分享我們的實(shí)踐經(jīng)驗(yàn)，比如信通院發(fā)布了一系列研發(fā)運(yùn)營安全工具標(biāo)準(zhǔn)，我們是主要的起草單位之一。

?InfoQ：云鼎發(fā)展到現(xiàn)在，期間您遇到的最大的挑戰(zhàn)是什么？

董志強(qiáng)：目前云計(jì)算仍然在發(fā)展的早期階段，安全作為伴生技術(shù)，出現(xiàn)的時(shí)間更晚。早期我們進(jìn)行安全建設(shè)時(shí)可以借鑒海外的經(jīng)驗(yàn)。但最近幾年，國內(nèi)數(shù)字經(jīng)濟(jì)發(fā)展發(fā)展迅猛，有很多獨(dú)特的場景和數(shù)字生活體驗(yàn)，提出了新的安全要求，這使得我們重新審視云平臺(tái)的安全架構(gòu)，重新定義我們的安全度量標(biāo)準(zhǔn)，我們也在多個(gè)方向進(jìn)行布局，對新的場景進(jìn)行摸索，嘗試突破。

?InfoQ：請簡要介紹一下近年來的網(wǎng)絡(luò)安全威脅的變化趨勢，這對您本人以及騰訊云的安全防御思路產(chǎn)生了哪些影響？

董志強(qiáng)：這些年在安全威脅上明顯的變化有幾點(diǎn)：

第一是加密貨幣的流行，使得黑產(chǎn)更容易實(shí)現(xiàn)隱秘的變現(xiàn)，所以挖礦、勒索這類黑產(chǎn)比較流行。從現(xiàn)象上看，針對云服務(wù)器攻擊植入挖礦軟件，加密重要數(shù)據(jù)資產(chǎn)進(jìn)行勒索變多了。

第二是供應(yīng)鏈安全問題凸顯。傳統(tǒng)邊界防御建設(shè)的相對完善，供應(yīng)鏈上下游薄弱環(huán)節(jié)開始被黑客關(guān)注。國際組織 Forrester Research 的研究表明，應(yīng)用軟件 80%-90% 的代碼來自開源組件，而開發(fā)者往往對開源社區(qū)默認(rèn)信任。所以對開源組件的攻擊，通過源碼投毒污染下游生態(tài)就成為黑客關(guān)注的有效攻擊手段。

第三是新的計(jì)算形態(tài)帶來新的安全挑戰(zhàn)。比如 Serverless，函數(shù)計(jì)算等。要保證新技術(shù)快速發(fā)展同時(shí)安全防護(hù)不缺位，有比較大的實(shí)踐挑戰(zhàn)。

第四是合規(guī)要求帶來新的技術(shù)挑戰(zhàn)和新的業(yè)務(wù)場景。各國不同的數(shù)據(jù)安全要求，給數(shù)據(jù)安全帶來新的挑戰(zhàn)和發(fā)展機(jī)會(huì)。

在安全防御上，我們一直堅(jiān)持全棧安全思維，堅(jiān)持基礎(chǔ)設(shè)施從底層到上層全鏈路的安全建設(shè)，堅(jiān)持安全左移，進(jìn)行 DevSecOps 的云平臺(tái)最佳實(shí)踐，在每個(gè)云產(chǎn)品里面設(shè)立安全卡點(diǎn)，把安全能力做到云里面去，實(shí)現(xiàn)更好的云原生安全。其次我們會(huì)加強(qiáng)安全專家的隊(duì)伍建設(shè)，以攻促防，進(jìn)行積極防御。

?InfoQ：容器是當(dāng)前開發(fā)者最關(guān)心的技術(shù)，也處于云原生計(jì)算的最前沿。有報(bào)告指出，75% 正在運(yùn)行的容器至少存在一個(gè)“高”或“嚴(yán)重”漏洞”，為什么在云原生時(shí)代里會(huì)有如此多漏洞？

董志強(qiáng)：目前大部分容器的漏洞，主要是由于鏡像引入的，開發(fā)人員將業(yè)務(wù)代碼和依賴的組件與底層操作系統(tǒng)打包成容器鏡像文件，然后通過 Kubernetes 等容器編排系統(tǒng)進(jìn)行部署運(yùn)行。其中業(yè)務(wù)代碼、第三方組件、底層操作系統(tǒng)均可能存在漏洞。目前軟件應(yīng)用開發(fā)中大量引入第三方組件和開源組件的趨勢加劇了容器鏡像引入漏洞的風(fēng)險(xiǎn)。

運(yùn)行的容器中的漏洞風(fēng)險(xiǎn)，可以通過對容器對應(yīng)的鏡像文件進(jìn)行漏洞檢測發(fā)現(xiàn)，確定漏洞引入的鏡像文件層級(jí)并進(jìn)行修復(fù)，修復(fù)過程可以理解為先對容器對應(yīng)的鏡像做修復(fù)并重新打包生成新的鏡像，再運(yùn)行起來成為新的容器來解決，借助自動(dòng)化的輔助措施可以實(shí)現(xiàn)快速修補(bǔ)。

?InfoQ：對于任何的虛擬化平臺(tái)而言，虛擬機(jī) & 容器的逃逸都是一個(gè)非常嚴(yán)重的安全隱患，基本上能讓所有的主機(jī)安全防護(hù)瞬間失效。針對這類極端問題的防護(hù)，和針對常規(guī) DDoS 的防護(hù)，您認(rèn)為比較有效的預(yù)防策略分別是什么？

董志強(qiáng)：虛擬機(jī)逃逸風(fēng)險(xiǎn)屬于云安全的熱點(diǎn)話題。作為云安全的建設(shè)者，我們針對這類問題其實(shí)不會(huì)采用單點(diǎn)對抗的解決方案，而是采用兩個(gè)思路，第一是探尋全棧的防護(hù)思路。比如在 KVM/QEMU 以及主機(jī) OS 側(cè)，做了大量加固和漏洞緩解措施，從之前暴露出來的逃逸漏洞反向驗(yàn)證效果來看，我們的防護(hù)措施可以發(fā)現(xiàn)并阻斷這種攻擊。第二是配合虛擬化平臺(tái)定制化的安全架構(gòu)設(shè)計(jì)，攻擊者想實(shí)現(xiàn)可控的逃逸代價(jià)非常大。

容器逃逸這里，因?yàn)槿萜鞴蚕韮?nèi)核的原因，會(huì)有一些內(nèi)核漏洞宣稱可以實(shí)現(xiàn)容器逃逸。在防護(hù)上除了上面內(nèi)核加固的思路外，也需要對 Kubernetes、runc 等容器基礎(chǔ)設(shè)施組件漏洞和配置類導(dǎo)致的逃逸問題進(jìn)行配置加固，對進(jìn)程 capability、系統(tǒng)調(diào)用、容器間通信隔離等細(xì)粒度的管起來，就能有效降低容器逃逸發(fā)生的可能。

?InfoQ：請您談一談對供應(yīng)鏈安全的看法，以及騰訊云在供應(yīng)鏈安全方面的舉措？

董志強(qiáng)：供應(yīng)鏈安全這個(gè)問題的提出，符合安全趨勢發(fā)展的一貫規(guī)律，就是哪里還沒被安全覆蓋，黑客就會(huì)去哪里搗亂。我們看到軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長態(tài)勢，供應(yīng)鏈安全也成為我們安全工作的重點(diǎn)之一。

供應(yīng)鏈安全問題既是技術(shù)問題，也是生態(tài)問題。騰訊云在軟件供應(yīng)鏈安全方面，在固件安全分析、源碼靜態(tài)分析、組件的依賴解析和成分分析上，做了很多技術(shù)積累。

首先在引入方面，通過自建的軟件源集成安全檢測能力識(shí)別和阻斷有害的組件下載，如一些假冒的 pypi 包或者一些存在高危漏洞的組件；同時(shí)，建立開源組件黑名單，對于類似 strust2 等常年爆發(fā)漏洞的組件，嚴(yán)禁使用和引入。

在使用和維護(hù)方面，基于 DevSecOps 與資產(chǎn)測繪，通過 SCA(軟件成分分析)、網(wǎng)絡(luò)探測、主機(jī)探測等多方式識(shí)別問題及黑名單開源組件并推動(dòng)收斂和替換；同時(shí)通過安全情報(bào)監(jiān)測與開源軟件的安全研究，實(shí)現(xiàn)對開源組件風(fēng)險(xiǎn)的提前發(fā)現(xiàn)與及時(shí)響應(yīng)。

在生態(tài)方面，我們跟一些新興的供應(yīng)鏈安全創(chuàng)業(yè)公司有很好的合作，也加入了 OpenSSF 這個(gè)國際化組織，通過跟業(yè)界共建的方式保障供應(yīng)鏈安全。

?InfoQ：請您談?wù)剬Π踩?zé)任共擔(dān)模型的看法？

董志強(qiáng)：安全責(zé)任共擔(dān)模型是云安全聯(lián)盟中大家公認(rèn)的事實(shí)上的行業(yè)標(biāo)準(zhǔn)，這個(gè)模型明確了云廠商和租戶的安全邊界，也明確了云廠商內(nèi)部的安全責(zé)任。

中國目前從法律層面上已經(jīng)明確了網(wǎng)絡(luò)安全的主體責(zé)任，無論什么形式的網(wǎng)絡(luò)攻擊，最終都是企業(yè)主體需要對安全負(fù)責(zé)。作為公有云平臺(tái)，我們也有責(zé)任保障云基礎(chǔ)設(shè)施的安全。從這個(gè)角度來說，責(zé)任共擔(dān)模式依然是成立的，公有云和公有云租戶各司其職，共同保護(hù)云上運(yùn)行的業(yè)務(wù)的安全。

?InfoQ：不同的云廠商在云安全架構(gòu)上各有側(cè)重，騰訊云的云安全架構(gòu)側(cè)重點(diǎn)在哪里？

董志強(qiáng)：騰訊云是一個(gè)多生態(tài)融合、多業(yè)務(wù)場景的云平臺(tái)，優(yōu)勢在于云廠商對不同行業(yè)生態(tài)及場景的理解。從架構(gòu)上看我們一直倡導(dǎo)全棧安全能力，從底層基礎(chǔ)設(shè)施到上層應(yīng)用安全均有云原生的安全能力嵌入，此外我們深耕場景化解決方案，結(jié)合云原生安全架構(gòu)快速助力企業(yè)上云。比如我們能快速打通辦公網(wǎng)與云上的安全體系搭建，實(shí)現(xiàn)遠(yuǎn)程辦公零信任接入，這對于中大型公司具有很強(qiáng)的吸引力。再比如 mss 服務(wù)可以幫助中小型公司做好安全產(chǎn)品和安全服務(wù)之間的銜接，提供一站式托管安全，在提升客戶安全水位的同時(shí)又降低企業(yè)的安全成本。

?InfoQ：在當(dāng)前云計(jì)算爆發(fā)增長的壞境下，安全業(yè)務(wù)和云業(yè)務(wù)算是并行發(fā)展嗎？如何形成更好的整合？

董志強(qiáng)：安全既是業(yè)務(wù)，也是云的基本屬性。沒有安全這個(gè)前提保障，云的其它優(yōu)勢都無從談起。隨著越來越多的數(shù)據(jù)、流量、業(yè)務(wù)搬到云上，云已經(jīng)成為攻防的主戰(zhàn)場。所以我們看到云安全的需求越來越大，新的安全業(yè)務(wù)模式和產(chǎn)品形態(tài)也不斷涌現(xiàn)出來，安全也在驅(qū)動(dòng)云業(yè)務(wù)的發(fā)展，兩者之間相輔相成。

很多時(shí)候我們也會(huì)看到云跟安全的融合，這就是我們常說的云原生安全。我們希望做到云默認(rèn)安全，借助云原生的優(yōu)勢，將云鼎在安全領(lǐng)域的專家經(jīng)驗(yàn)和技術(shù)積累形成普適性的方案， 使得普通用戶能一鍵開啟，開箱即用，以此提升客戶的安全水位。

?活動(dòng)推薦

面對越來越嚴(yán)格的安全合規(guī)要求，研發(fā)一直在合規(guī)改造的路上掙扎求生，如果你也有這方面的困惑，6 月我們一起關(guān)注 QCon 全球軟件開發(fā)大會(huì)（北京站）「業(yè)務(wù)安全合規(guī)」專題，本次采訪嘉賓騰訊安全副總裁、騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)擔(dān)任專題出品人。

同時(shí)，我們也邀請了來自美團(tuán)點(diǎn)評、騰訊云安全、螞蟻、百度的 4 位資深安全專家，與你一起探討企業(yè)在業(yè)務(wù)安全與數(shù)據(jù)合規(guī)過程中所面臨的挑戰(zhàn)，以及如何應(yīng)對。

（推廣）