作者介绍:
在云安全行业拥有超过12年的工作经验。曾任职于阿里云安全和360企业安全,目前负责华为公有云安全解决方案。熟悉DDoS防护、身份访问管理和安全合规性,CISSP,CIPP/E持证者。
文章目录:
技术和商业的本质•the Truth of the Matter.
问题和应对•Problems and Solution.
行业洞察 •Analysis of SASE and CSPM.
总结 •The Future of CloudSecurity
第一小节:
技术和商业的本质•the Truth of the Matter.
问题的来源
我在16年前,刚毕业的时候,写了5年的前端代码,那个时候flash还很盛行,带我入门的师傅,是当时赫赫有名的小小,他当时靠火柴人动画在互联网上名声鹊起。
后来一次机缘巧合,我进入了网络安全行业,就一直做云安全产品做了10年
周末的时候我想去写一个api调用一个云端的Service写一个demo,我发现github上面类库多的跟义乌小商品市场一样,16年前的时候,那会没有这么多lib,我们基本上都是自己从0开始写,但是现在开发好像要先搞一堆环境。过去我们用镰刀,现在都开拖拉机了,如果大项目还能理解,能快速搭建框架并且可以持续性的演进,但是如果只是写一个demo,就显得很臃肿,而且我看了很多框架,看晕了,感觉都差不多。
后来我就思考这个问题,为啥在10年间前端技术发展成这样,
人们发现问题,并希望通过技术手段解决这些问题
但是为啥一直在不停的造轮子?
因为程序员换了一批又一批,每有新人进入这个领域里,经过一段时间的积累,就想通过自己的经验积累,形成组件,能够快速的被调用,提高工作效率,
但是实际上解决的问题还是那些,支持电商交易,教育的业务需求,或者去完成一个协作工具。
其实我想表达的是,安全也是一样,安全现在解决的问题本质一直没有变化,从20年前小榕写的流光扫描器,到今天我们做的态势感知,主机安全,解决的基础性问题还是开放端口的问题,waf解决的还是xss跨站攻击问题
你会发现技术的演进一直都是轮回,就好比说原来手机性能不行,通信管道不够宽,所以只能看静态页面,后来3g出来了,flash盛行了,很多处理逻辑可以放到客户端了,那会有一个词叫,rich客户端或者肥客户端,是因为可以把一部分计算逻辑放到客户端里,减轻服务端的压力,后来慢慢管道又撑大了,云计算出来了,可以搞服务端渲染了,然后云桌面云手机出来了,客户端又开始减肥,所以再过5-10年,VR和全息能力上来了,客户端又要肥胖了,
所以这就像能量守恒定律一样,你完成一笔交易或者完成一个任务的时候,你消耗的电能是恒定的,要么就是你家里电费多一些,数据中心和基站的电费少一些,要么就是反过来,注意,我这里说的是电费,我没有说电量,从电量到电费,是我下一页会讲到的为什么。
最终技术要转化成商业
所有的商业模式和产品,都是按照做蛋糕一样的逻辑去完成的,一层一层的涂奶油。
当一个行业或者业务快速发展的时候,就会暴露很多问题,为了解决这些问题,需要专家出来攻克难关,当专家的经验积累一段时间后,就会成为既定事实或者标准,然后最后成为一个box,开箱即用,但是最后专家的价值或者说这个box还是要转化为货币,就是为刚才讲到的电量到电费。
那么这里有一个关键,就是一个产业或者一个行业,最终要成为标准,就一定是通过货币来衡量的,安全也是一样,后面会提到网络安全保险,这个事情很多业内的专家一直想做,也就是对安全事件的定性定量,但是这就像是转换插头一样,欧洲有欧洲的标准,中国有中国的标准,没有一个恒定标准,就像阿里云和华为云上面的威胁情报也不一样,所以最后还是要靠金融手段来进行量化。这部分在后面会讲到。
云是信息传递基础设施
很多时候,我们去做产品或者做业务也好,你如果搞清楚了这个事情的本质,很多事情就迎刃而解了,我在设计云服务收费模式的时候就是这样子。
首先你要知道互联网解决的本质问题就是信息的传递,过去我们用信件传递信息需要几个月,后来我们用电话可以做到即时,然后用互联网一直在线(这里我推荐三本凯文凯利的书,里面讲到了很多互联网的理念,推荐大家去看),在最近谷歌推出了life-size video这样的全息投影产品,可以做到逼真面对面的信息交流,实际上解决的问题的本质都是信息的传递,只不过传递信息的介质随着技术的发展在改变
那么搞清楚这件事之后,你想信息从一个点传递到另外一个点的时候,来收取费用的时候,应该怎么收费,过去打电话的场景,你打给别人的时候,你就是发起一个request请求,到电话局router转发,最后到达目的点,那么实际上是打电话的人花钱,也就是outbound的费用,而接受电话的人是需要付费的,也就是说inbound是不要钱的。
所以今天所有的互联网带宽计费模式都是这样的。
如果你明白了这件事,你再去设计云服务商业模式的时候,你就明白了,如果你把自己定位一个设备厂商,你可以收费inbooud流量的清洗费用,或者说,其实你和卖设备是一个商业模式, 但是如果你把自己定义为基础设施安全属性的时候,你就不应该收inboud的费用,你应该收出流量的费用,你可以把这个事情想象成,你要去给国家保密局做一条保密专线,用来和外界通话,那么这个费用肯定是outboud的费用,还有一个支撑这个商业模式的理由,我后面会讲到为什么是这样的,在SASE介绍那一章节里。
安全本质
所有的事情都是agent
这个结论是我最近的一个心得,就好像我在做DDoS高防是个agent,waf也是,主机安全也是,vpc和8s里的kuberctl其实也是,包括计算机总线去下发指令给进程去执行,然后计算后返回给cpu进行浮点运算,都是这样的,
还有一个例子就是我们大家平时写ppt给领导汇报,一层一层的汇总,汇总到最后,大领导来执行浮点运算,只要执行0和1就行了,所以我们都是agent。
话说回来,
比如说我要去解决一个安全问题,要去写一个工具,这些工具是现实客观存在的,你不知道怎么实现,所以你要找乙方帮你组件这个方案,
可能我需要雇佣一个阿里巴巴P10的安全专家,这个钱可能对大企业来说不算什么,但是对于中小客户,是雇佣不起的,他需要购买一个具备相同能力的产品或者服务,所以他需要去寻找,
大企业花一笔钱,找专家过来搞定,节省了人力和时间成本 但是对中小客户,没有那么资本去雇佣人才的情况,需要性价比高的工具
这样在商业上就会出现细分。
所有问题的解决方案是 产品+人力。
因为面向的客户,他的体制和企业运作模式不一样,政企的客户,传统客户的思维里,是靠人解决问题,至于用什么工具不是很关心,人力资源更重的企业,对产品不是很重视,
而小企业是支付不起这个费用的,那么他就需要花费自己的时间和精力去寻找性价比高的工具
这就是乔布斯说过的,他不愿意做2B的产品,因为决策者根本不知道具体的执行在做什么,而2C就很简单,你只要满足一个人的需求,而2B你要满足一堆人的需求。
今天成功的服务或者产品,其实就是两个环节的问题
1.信息的传递和信息传递过程中信息不对称的问题
2.你要解决这个问题,你需要找一个代理,agent,这个agent在不同的客户,不同的场景,不同业务,是不同的
不光是数字产业,今天世界上所有的游戏规则都是这样的,都是这个规则,你需要一个agent,你生活在这个世界上,这个游戏规律就是这样的,但是你要做这个agent的时候,你需要了解这些box产品服务,包括业务上出现问题,为啥要有解决方案,因为信息不对称,需要这些解决方案 一个好的商业模式,最关健是你要知道怎么出现这个信息不对称的,你要把这个信息不对称的gap拉齐,或者说填平,利用最小的成本,尽可能的规模化,满足尽可能多的客户需求,那么他就是一个好的生意。
第二小节:
问题和应对•Problems and Solution.
问题的产生
讲了以上这些,刚才我讲了事物发展的规律,那么我们按照刚才的思路来看一下具体的场景,就像我刚才讲的,企业生意的本质是满足协作形式下的各方利益的生意,在一个企业里,有管理者负责决策,由技术管理层,负责把控整体方向,由具体执行人员负责实施,那么一个好的解决方案或者产品实际上是要满足一起企业里多方协作各方的利益,
对于高层来说,更多关心的是为什么 对于中层来说,关心的是要干什么 对于基层来说,关心的是应该怎么做
这里我插一句,曾经有人问我,什么是专家,我想了很久这个问题,最后我得出一个结论, 就像我第二页ppt里陈述的那样,专家是最后成型那个box的初期经验的积累,或者说白了,box的产生是对专家的降维打击
那么按照这个思路来说,专家就是要能在这三个层次上都可以做,能上能下,能做整体的业务规划和企业高层对话,也能和企业的架构师去梳理整体的业务架构,同时还能接地气去做具体的waf配置,甚至可以去做一些api集成和编码工作,你只有做到这些了,你才能对一个企业整体协作的各方利益都了解,满足他们的需求
满足了上面的条件,你才能够把专家的经验灌输给具体的产品box,形成满足各方利益的方案。
华为在上层做的很好,阿里腾讯在下层做的很好,但是今天从上到下都贯通的大厂很少,有一些小的公司可以在某一些细分领域里做到这一点。
两个问题
好的,那么我们再来看一下具体的问题,其实安全要解决的问题就是通过两类方式 商业方式和技术方式,今天我们国内大部分厂商都是聚焦在第二类,目前国外发达国家已经采用第一类方式去解决问题,
对于ceo来说,他最关心的就是两个问题,第一成本效益(就是我需要投入多少钱来实现最大的安全效果),第二,谁来负责做最后一棒,要么是cso,要么是否有三方公司,就是我们说的agent,其实就是网络安全保险
因为在云计算/大数据时代,是具备通过海量租户精细化经营的能力,计算出出现安全事件风险的概率的,这张图里面描述了整个过程
对于cto或者cso来说,在云安全这个领域里,最后就是解决两个技术问题
第一网络边界接入的安全问题,这个就是我后面要讲的sase
第二,对所有资产的安全整体风险的梳理和概况。说白了,就是哪里是有风险的,可以做到心理有数,出现问题不怕,怕的是出现了问题后,cto根本不清楚是哪里的问题。
其实这个事情不光是企业技术负责任关心,还有一个角色很关心,就是监管机构,监管机构希望能掌握企业的整体安全状况,但是这是一个很有意思的话题,企业一般是不愿意把这些交给监管机构的。
安全很多时候是个很矛盾的话题,就好比隐私保护,一方面监管机构强调要对个人信息进行保护,但是同时监管机构在对个人隐私数据的保护,是否会导致个人消费者的反感,就像之前美国政府要求苹果交出个人消费者的数据,最后苹果拒绝了。
SASE是触达业务网络的安全介质
我们来看一下为什么高防最后会变成SASE,这是cto关心的第一个网络接入问题
《电力之争》这部电影,讲的就是爱迪生为代表的GE电器 和 西屋电器 为了争夺美国境内电力能源的故事,当时GE推广的是直流电,西屋电器当时采用的是特斯拉发明的交流电,然后双方在美国境内扩张电厂的故事
其实今天的数据中心就是当时的直流电,云就是当时的交流电,所以我们再看今天电厂,就知道未来肯定是混合云情况,就是公有云和私有云,边缘节点的混合架构,
但是因为这种架构的变化,连接云和数据中心以及各个云pop之间的线路就发生了变化,当信息传递的介质发生了变化,那么安全的属性自然就会发生变化,信息传递的介质肯定是越来越优化,原来是你从园区路由出去,走到省的核心骨干上,再从骨干往其他省走,中间可能有20跳,但是未来可能就只有10跳或者更少,
这里我说一下为什么SASE应该收outbound的费用,因为当你的SASE节点离最终的客户端越来越近,相当于云厂把网络也接管了,那么理想的情况下你的路由信息是在云厂内部的DCI专线里走,那么本来你是需要从一个省的数据中心走到另外一个省的数据中心的,你会在两个省之间进行结算,那么未来你可能只要跟一个云厂结算,然后这个厂商再和两个省的运营商结算,那么理想的情况下,云厂跨省的两个pop点之间的安全就在内网处理掉了。
所以按照这个逻辑,SASE合理的收费模型就是我提到的,一条加密的线路,给保密局使用,但是应该按照出去的流量叠加一部分安全费用来计算。而不是来收取进来的流量。
实际上,最合理的费用应该由三方部分组成,一次性开通配置费用,端口占用费用,和流量费用。
因为介质形态的转变,安全形态发生转变
边界防护:其实本质是云接入POP
安全运营管理
我们再看一下,cto关心的第二个问题,安全运营管理
这张图是我画的一张混合云场景下,黑客分别从5个不同的路径进行渗透的示意图
里面包含了4个区域,公有云,私有云,办公区,分支机构
公有云又分成了互联网接入区,dmz区,生产区,运维区,其实SASE未来解决的就是互联网接入区,
而其他几个部分的整体安全态势,需要一个安全运营管理平台来进行管理,今天我们做的安全大数据运营平台解决这些问题的产品。
Garter 提出的云安全里的主要4个方向, CASB解决的是企业办公出口安全, CIEM解决的是安全身份问题,CWPP解决的是工作负载安全,CSPM解决的是安全态势管理,
我的观点,CWPP和CSPM 合并称为态势管理
CASB和CIEM合并称为SASE
第三小节:
行业洞察 •Analysis of SASE and CSPM.
SASE:解决用户接入最后一公里的问题
腾讯,阿里,字节的网络在基于中信这个网络建设的骨干网其实解决的是用户接入最后一公里的问题。
SASE,CDN,包括云,边缘这些软件服务,和虚拟网络,以及swan这些东西其实都是相当于在一个基础设施上叠加解决方案,但是最后客户买单的,可能最后还是最基础的网络设施的费用,包括流量。
所以未来SASE的最后一公里的竞争,可能就是高速公路上检查站的竞争。
安全态势合规 security posture
云安全态势管理 (CSPM) 是一个新兴的漏洞管理和安全合规技术市场,旨在确保对复杂的现代混合计算环境的保护。CSPM 工具监控云应用程序、服务、容器和基础设施,以检测和修复错误配置或错误执行的策略。当异常或其他错误配置触发时,CSPM 解决方案通常会根据管理员设置的规则自动修复问题。
总结 •The Future of CloudSecurity
有的生意是“点”,有的生意是“面”,云安全最好的作用是连接各个点,形成面,然后最后这个面再变成点
