下文整理自清华大学大数据能力提升项目能力提升模块课程“Innovation & Entrepreneurship for Digital Economy”(数字经济创新创业课程)的精彩内容。
主讲嘉宾:
Kris Singh: CEO at SRII, Palo Alto, California
Visiting Professor of Tsinghua University
Kevin A. McGrail:Cloud Fellow,Dito
Rich Foltak: SVP, CISO, Head of Cloud, Dito
今天,我们将就互联网安全或者叫网络安全这个主题进行讨论。我邀请了两位在这个领域工作的非常重要的成员来与大家分享。他们会分享所有的细节和专业知识,我们所处的环境以及当下正在发生的一些事情和问题的解决方案。让我首先向大家介绍我们所处的网络安全的总体视角。
数字技术就是实现一切数字化的技术。计算机、笔记本、智能手机现在是物联网,这一切都以数字技术和数字应用解决方案所联系起来,产生了巨大的生产力和经济增长动能。但是,一切好的事物都有其挑战,对数字世界、互联网和数字商业来说,最大的挑战就是安全问题。
一方面,我们想建立几十亿的晶体管和连接,在未来几年内,I O T传感器将被连接在六十多亿台I O T设备中。很难想象每一个连接都要传输数据,我们如何确保从智能手机和传感器以及其他所有内容传输的数据是安全的呢?一方面,我们想实现世界上任何人、任何事的互联互通,另一方面,我们还面临着安全性挑战,下方的图表给出了网络安全的不同层级,外周安全、网络完全、终端安全、应用程序安全以及数据安全5个层次,Rich和Kevin会详细展开讲解。
接下来,我想跟大家深度分享目前关于安全的真实情况以及为什么安全问题成为越来越大的挑战。当今一切都是可移动化的,这意味着可移动的基础设施技术比有线设备安全性更低。越来越多的设备都开始无线化,整个系统也变得越来越开放和宽松。另一个则是云服务。云服务的最高级别是云计算。
这是一种从云端的虚拟世界租借计算机资源到桌面,一切都受到你的计算能力、应用程序的限制,一切都局限在公司内部或者局限在家。人们依赖于自己的计算机存储所有的信息。但是现在我们处于信息爆炸的状态,我们每天产生的数字信息已经不能仅仅通过计算机来存储,不得不一直购买更多的计算机存储空间、更多的应用程序、更大的算力以及更迅速的cpu,云计算应运而生。它就像你从外面租赁存储空间用于扩张个人计算机容量。打个比方来说,我们都使用电能,但是我们自己没有发电厂,所以我们要从电力公司租电并支付相应的费用。云计算这一技术商业领域因此而发展壮大。
亚马逊是云计算领域的教父,他们首先创立了云计算商业,之后微软谷歌等公司才纷纷加入。但是一切好的事物都存在其问题。既然你使用了外部的资源,怎样确保他人存储和管理个人信息能够像自己一样安全呢?云计算领域仍然有很多工作需要做。近几年由于疫情的原因,我们大多数情况只能远程工作,尽管开始慢慢恢复线下办公,但我认为离真正的全面恢复还尚存距离。所以现在出现了一种前所未有的“混合模式”办公——在家或其他地方远程。这有好有坏,好处是人们有了更高的灵活性和自由度,但另一方面,78%的IT行业领导者们觉得远程职工存在更高的安全风险,65%的组织报告在疫情期间遭遇网络攻击的频次小幅增加。“混合模式”也带来了额外的安全挑战。虽然一些人支持政府额外的监管有益处,但是也有人反对网络相关政策。政府处于困境之中,一方面国与国之间正在打网络空间战,另一方面却要监督本国的网络安全。依赖于传感器支持的IOT也面临着风险。
传感器并不安全,因为它们体积过于小以至于无法实现全面集成。简单来说,未来几年网络安全的支出可能高达100-110亿美元,这是很昂贵的。我在于谷歌、苹果亚马逊微软这些公司一起工作的时候,发现,他们都在招聘安全专业的人才,但他们找不到足够的安全专业背景的人。所以安全虽然不具备生产力,但是没有它的商业寸步难行。刚刚从我们所面临的挑战出发探讨了一些消极方面,从积极的视角来看,黑暗的隧道尽头仍有曙光。我对现在的AI应用程序印象很深刻,尤其是如何以更加主动的方式识别个人、分析数据等方面。AI对安全问题解决有重要影响。大部分安全问题是由于我们在社会交往过程中不够谨慎所引起的。就像电脑病毒的传播一样,我们通过社会联系接收到外部的文件,当我们打开邮件之后病毒就进入了个人的电脑。所以除了技术层面之外,在个人层面我们也要更加谨慎。我希望Kevin能在接下来跟大家分享更多内容。
——Kris
我的职业生涯一直围绕安全产品的部署和运营展开,之前在北电网络公司(Nortel)和思科(Cisco)工作,也将安全解决方案嵌入思科、ios和网络之中。其他人提到网络时会想起我,但我实际上是做操作和构建网络环境的安全解决方案的。之后我去了Verizon工作,担任数据中心和云部署的顶尖数据架构师,管理网络端事务。这也让我重新思考我在思科那些年工作的想法。因为我曾试图将思科的解决方案出售给供应商,但却被退回了。当你开始进入运营的世界时,会意识到每个组织和公司都有自己的实践,如果你想真正加入其中,就要以他们的团队认可的方式工作。
我之前在Palo Alto作报告的时候,我想我可能冒犯到了当时在座的所有人。那是在2017年的会议,我在Palo Alto的第三天,我们刚实现所有的新一代关卡和整个Verizon的palo alto系统全景的自动化,一切都是通过机器编排的,没有人类触发防火墙,一切都是按钮部署,有点激进,我们甚至是第一家想到这一点的公司。但问题在于,我与许多开始使用路径服务(比如 pivotal的Cloud Foundry,kubernetes)的公司打交道, 我们虽然是新人,但是95%的应用程序都是路径服务型。
我走过整个会议楼层,跟所有的供应商交谈,他们都是基于虚拟机解决方案的。他们在过去十年里的工作完成得很好,但这不是我的课题,我的目标是新的事务及其背后的原因。我最终成为了德勤的首席架构师,为德勤在谷歌云平台(Google cloud Platform)和Azure上建立一个云管理平台。虽然我熟悉各种技术,但是我认为团队作战才是更重要的,我们不能再各自为战,而应该团结起来推动企业向前发展,每个人都在为企业赋能,这就是我存在的意义。这在演讲中占了十秒,但是我在背后却积累了很多的工作,从产品研发,到在思科取得八项运营和安全领域的专利,运营Verizon的大数据中心,讨论虚拟机的应用,在德勤从无到有地建起市值10亿美元的实践,而现在我在小公司做gcp实践,以上就是我的简单介绍。
我们基采用了前人的技术并做了正确的事。所以这就是我们推广的地方,但palo alto实际上是整个领域的创新者,一年后他们买断所有这些云安全解决方案并嵌入他们所有的平台解决方案里。这个行业里发生了大的变化,那些适应云的公司已经发展了自己的实践,但那些延续过去的公司只是在建一个更好的捕鼠器(mousetrap),并没有做出任何根本性的改变,并未真正改善他们的处境。我不会指名道姓,但你可以看到,在2017年时,有很多企业在整个负载均衡中都出现了混乱,而在相对平等的下一代防火墙空间里,有些公司已经完全被快速发展轨道甩在后面。但其中一部分已经开始接受他们所处世界新的现实情况。
——Rich
我出席了谷歌云服务大会,并作了主题演讲,看到了一些内容。我认为有趣的一件事是他们会成为与CoinBase合作,允许人们为他们的谷歌云订阅付费,以及使用加密货币支付类似费用。还有一堆关于使用加密货币和谷歌中各种数据集的查询,一些非常棒的东西。
——Kevin
谷歌开始关注最高水平的云服务,因为现在他们意识到云服务的商机。他们与微软和亚马逊尚有距离,所以任重道远。我只关注他们的方法仍然需要调整,之后再稍作讨论。
——Kris
从技术视角来看,我们是在多个方面拿苹果和橘子和香蕉比较,但把扔得高和扔得远相比较有点不公平。谷歌是目前仅有的几家具有自动迁移功能的供应商之一,因此,如果他们在你的虚拟机上执行任何服务,他们会自动完成迁移工作负载。当我在德勤时,我们正在建立非常大规模的 SAP系统,是九十六核海量内存的CPU。每当要进行维护时,会自动向您发送电子邮件,说“我们将在周末关闭您的服务”,因此这些系统可用性并不高。我们从来没有在谷歌云平台上经历过这样的停止供应服务期。Oracle也加入了这个市场,但是却不是主要的竞争者,他们可能只是进入比较早。从市场角度和销售角度来看,谷歌经填补了一些历史空白,他们有很大可能成为他们想要创新的思维领袖,他们想要创造捕鼠器(mousetrap),然后当它完成时,他们所有的聪明人都转向下一个捕鼠器(mousetrap),他们要么让它中途夭折,要么继续前进,他们不再做这方面的工作了,但还是在这方面建立了一点声誉。但是这些年来,很多情况都发生了变化,试图追赶趋势并不是一件容易的事。
——Rich
Kris认为生物信息是更好的验证方式,比任何密码都可靠。但是我对此持有反对意见。如果生物信息发生了问题,我们如何改变它呢?
——Kevin
我完全同意Kris所提到的问题和挑战,但是我也同意Kevin所说的,生物信息并不是好的安全手段。在当今的网络世界里,除非你不联网,没有无线也没有实体设备,才会是百分之百安全的,但这样又有什么实际意义呢?所以我想强调的一点是,尽管威胁重重,云安全仍然是目前相对安全的一种方式。为什么云是非常高效的方式呢?云并不是以API接口的方式工作,而是更像软件和模板在工作。
我们基于模板讨论标准正是视同从安全角度制定需要遵守的政策和标准。云服务通常要处理负载均衡的问题,而负载均衡的可选项和设置很多,当将其与NetScaler,F5或其他整个目录的服务进行比较时。实际其中并没有有多少功能被使用,像思科和ios这样的代码,只有大约百分之五的代码是定期使用的。这意味着它们也没有经过充分测试,而您对环境中的错误报告、问题报告了解并不充分,因此从安全角度来看,您希望创建操作功能以允许该服务发生。但是,是否真的需要该功能中含有上百万个节点,而这些节点都可以在您未开启的情况下侵入您的环境。网络裁缝可以从负载均衡角度出发,在转发数据包之前调整数据包时执行所有这些疯狂的功能,而您不会在云中知晓。但是他们专注于构建安全规模,程序通过软件定义的网络将其纳入底层架构。
谷歌没有自动或手动的访问设备权限,无法访问你的数据。因为有多加密层,有点像数据的分离和聚类,所以你的数据在整个数据中心进行分区,而你无法知晓数据的存储情况或者从谷歌获知相关信息。云存储数据遍布数据中心,不像硬盘存储可以随时访问数据并使其变得有意义,因为在谷歌内部它也是加密的。所以我想说的是,谷歌或云的安全等级是一样高的,都可以在本地环境中访问数据,但它们以不同的方式保护。因此,保护个人环境的第一种主要攻击类型是在云中的解决方案隐式启用的。如果你要自己构建它,你必须构建到你自己的设计中,在云中,你处理的方式非常不同。
对于一个负载均衡器来说,不会在算法和其他方面给你一百万个选择,也许你的客户你的应用程序团队不会喜欢默认的云功能,所以他们总是为第三方留出空间,并在需要时提供自己的服务。但从运营角度的基本安全性和功能来看,我实际上认为云可以比大多数公司自己在内部做的事情执行标准更严格。我之所以这么说,是因为人们对环境安全的认识不切实际。举个例子,我们为一家从事金融部门的公司做了一个安全资产,以便于实现国际支付。因为出于安全目的,他们将 palo alto 放在所有通信流的中间,因为他们发现将证书放在 palo 上太难了。他们在未加密的环境中移动了所有数据,因为我想在我的安全设备中进行深度检查,在非加密的环境下显然更容易实现。但这样做并未实现安全提升,现在依赖于设备本身识别模式。从安全视角出发,这并不合适。在云环境中,大家都推荐加密,这是一种非常不同的安全问题的解决方式,看起来更安全,但有可能你的攻击媒介发生了变化。
你可以在云中保护自己免受侵害,但你如何架构 、你如何设计你的整体框架才能保证安全呢?我曾在一家国际知名的医疗保健公司工作,他们有世界各地的间谍机构在这个医院集团网络内部潜伏。所以当你知道别国的间谍时正试图在网络中截获你的数据包时,你又能有多安全呢?所以无论如何,不要把你目前在本地安全的错误感觉作为不把云看作一个充满机遇领域的理由。实际上,我个人认为最大的挑战是文化挑战,是数字信息转型。这真的是一个很大的主题,也是我觉得很多人不太理解的地方。其中正在发生一种文化变革,重点正在从产品转向消费者体验。我知道这听起来很夸张。对组织来说重要的是改变,他们不是从产品和解决方案中寻找安全性,而是寻找从源头开始的安全性,需要在将保护嵌入到每一层中。
我现在在Verizon工作,我们正在构建我们正在构建开放堆栈集群,我们有一个数据中心,我们想开始使用开源并鼓励开源开发。竞争对手推出了一个产品解决方案,让我们完全措手不及。我们的首席技术官跟所有高层领导打电话,并大发雷霆。我们周二重整旗鼓,来自美国的一个印度团队花了四天时间构建了一个应用程序,使用的是 Pivotal Cloud Foundry 的技术。他们构建了一个应用程序,这正是我们的竞争对手正在做的事情。所以如果从成熟度曲线来看,它在一个月内就可投入生产了。我们的应用程序开发从十二个月到十八个月变成了六天。然而,我们仍然需要订购设备、缝合它,其他一切都在九个月的时间里保持不变。那一刻导致我们的首席技术官和整个领导团队放弃了投资我们自己的数据中心,并走上拥抱云的路线。
因为它授权领导团队做出快速决策,并能够转化为快速的结果。这种周期时间的缩短对于人们的理解非常重要。这是很多人说行不通的,我们有一个副总裁公开挑战首席技术官说我们不能这样做,但他最终被公开解雇。我想强调的一点是,要么你是答案的一部分,要么你被其他人代替成为答案的一部分。要快速且需要快速迭代的同时实现安全。像我们这些网络安全的实践者必须要快速推行解决方案。那些大型公司已经适应了快捷的方案并建立了团队,可以快速完成操作。而小公司仍然使用传统模型缓慢前进。网络安全最大的风险之一不必然与某种安全有关,但与如何让企业和安全团队生存下去有关。我们必须保护网络安全,但事实是你应该要改变工作方式。
——Rich
感谢Rich提供的高质量分享。我认为很多安全问题在某种程度上都是心理层面的,因为人们习惯于掌控一切。我认为安全是一场永不停止的游戏。他们想尽力做到最好,而挑战和问题从不会结束。你永远不能断言100%的安全。安全是一个非常复杂的主题,安全问题如此广泛和多样化,安全这场战役将变得比我们以往所应对的情况更加复杂。
——Kris
我们正在进入这个复杂的世界,而现实是当你真正解构它时,我们自己也在使它复杂化。你真正需要多少这种复杂的排列?是的,这很重要,因为它归结为模板中的标准,归结为我不需要所有功能来让我能够完成我的工作。我曾经在Verizon这么说,我们让安全变得简单,我们让不安全变得艰难。因为几年前所有人都在使用 port eighty ,不用处理搜索管理和各种使用443和ssl以及ts的痛苦。
我们简化了整个过程,我们基本上只说“”这是您的按钮,我们将在您的负载均衡器下部署它,您将获得许可证,将为您连接所有内容,但是如果您想使用port eighty,您将不得不批准二十个表格,因此port eighty您必须获得所有这些批准并证明为什么需要使用不安全路径在某个环境中操作。为什么人类是懒惰的,我们会想要在我们的结果中使用最简单的途径来获得我们的解决方案。所以我提倡的是这个让安全成为简单路径的想法可以去掉过多的选择。因为当我们给出太多选项时,我们会感到困惑,我们不知道该怎么做,所以你从人们那里删除了这些选项,并说这是我们为我们的组织创建的标准,这的工作模式实际上在行业中非常有效,但安全团队对次充满抵触。但正如我所言,如果不拥抱改变,就会被取代。这就是应对许多挑战的答案。
——Rich
这是很好的分享,我将继续在此基础上展开。首先想问一下,大家知道为什么云服务叫云服务吗?其实非常简单,在1960年代,当IBM在这之后没多久开始做网络图模板,连接到一个一无所知的网络,它是有雾的,它是多云的。你把它画成一个云,你连接到一个你不知道细节的网络。这对我来说很有趣,特别是作为一个网络安全专家,我们谈论云,而从六十年前的纯网络的角度来看,这意味着一个你对网络一无所知。
——Kevin
如果我们看一下二八定律,大家最关心的是服务目录,即人们如何与你的it产品互动,其中百分之八十是相对简单的服务,而他们一遍又一遍地作出同样的要求。而开始使用它,就像你在亚马逊或阿里巴巴上一样,你想订购小部件,这应该只是一个非常简单的活动,我只需要一个 linux 盒子自己部署它,我们更喜欢自助服务。
构建一个自动化系统,然后允许我进入并自助服务,允许我直接与我的资源互动。这样我不需要和防火墙人员沟通,因为它是一个预打包的解决方案。这能解决我业务的 80% 的使用情形。不要纠结于特殊情况,还是看看如何把它变成一个自动化的解决方案。您会发现,即使是构建了一些自定义解决方案的 20% 的客户也宁愿使用自动化解决方案,因为他们可以将其构建到现有工具的中。这对开发者来说是相对容易的,对用户啦爱说,只需要建立自己的研发线和数据消化模型,关注与高阶层参数调试,不需要知道有多少虚拟机在背后工作,以及背后的逻辑是什么。
他们不会想等六个月甚至一年的时间准备基本框架。因此,对模板执行的任何操作都可以自动构建为基础结构即代码或基础结构部署。在每一层都嵌入了安全机制。这样做的好处在于,一个人使用安全从业者验证了它的每一个版本,但随后每隔一个版本就像是你最初构建的这个体系结构克隆的产物一样。所以如果第一个是安全的,每个人都在第一个体系结构上签了字,我们做了其他所有测试,如果我复制它,它是否应该每个一个实例都像第一个实例一样安全?我知道还有其他因素在起作用。但是它将印证二八定律的事实,即我不必重新审视这些实体,因为它们彼此是独立的节点,我必须保护并确保它们不是潜在的影响我的环境的威胁中。这是任何平台都存在的最大风险之一。如果您的环境完全是克隆出来的,则所有其他危险内容都相同。因为如果存在首个漏洞,它将影响您的整个环境,但是因为你一切实现了自动化,可以知道你遇到的这个问题是什么,并且可以自动化方法将解决方法或解决方案自动化到你的设计中,并且非常快速地部署它。通过这种方式,它允许你跟上软件的速度,但过去有可能需要数周或数月的时间。
——Rich
我认为Rich的分享很清楚地介绍了内箱的概念,我们想尽力把产品做得更易于使用。我也是自动化的追随者。关于安全的一切应该实现自动化,但是需要清楚安全并不是建一个解决方案那么简单。我们需要搞清楚怎样实现安全目标,因为从开发、部署到产品销售涉及到不同的层次,且不是一天就可以建成的。举个例子,如果你在大学学习化学专业,就会知道,在毕业前需要完成大量的实验。这些实验会花掉很长时间,且不是为了解决新的科学问题,不是为了得化学奖,但这些实验却是你理解实验室操作、理解数据存储技术和其他实验室伦理问题、安全问题的基础。如果我需要雇佣一个化学专业毕业的人,我会知道他曾在实验室有过专业训练,而在网络安全领域却没有这样的保证,我们无从得知应聘者是否有系统开发经验。
Kris提到的防御层,我们叫深度防御,你展示的“坚硬外壳”我们叫做MM防御,原因是一旦打开坚硬的外部防御,就可以肆无忌惮地享受里面的内容。这在网络安全模型里是比较有意思的。在08、09年左右,有一个叫做John·Kinder的人发明了“零信任”网络,该模型的逻辑也非常简单——不信任任何人。医疗保健网络中的可能是间谍的内部威胁将不再具有访问权限。外围防御消失,而是进行微分段,我们称之为有毒数据分析,我们添加了多重防火墙,确保在一定条件下人们才有权限进行访问,我们将其称之为kipling tuple。今天存在的标准网络防火墙是 SPI 状态全包检测防火墙,你面临的通常是基于五条信息的决策。什么是TCP或udp的协议,目标端口是什么,什么是目标 IP 地址,什么是源 IP 地址,什么是源端口。你要对使用信息进行决策,从IP 地址到端口,移植到外围内或到防火墙或代理服务,都可以从网站得到答案。
零信任在一开始就使用kipling tuple,这是以诗人Rudyard Kipling的一首诗命名,它只与是谁、什么、在哪里、什么时候、为什么和怎么样这几条有关。除了那些五条信息之外,还可以要他们提供试图访问什么,是谁,属于哪个组,什么时间访问,在哪里的信息。比如,为什么系统在早上两点钟没有人的时候突然有来自俄罗斯的请求,而这些类型的决策现在可以用来做很多事。