對話 | 雲時代,如何夯實安全治理的核心戰略與價值呈現?

數字化時代,上雲是企業不可忽視的路徑,因此對於雲上安全治理以及雲平臺自身安全性的考量,也成爲長期以來業界持續探索的課題。從參考傳統網絡安全而設計的雲安全,到補丁式的雲原生安全,再到如今的雲安全治理體系,階段演進的背後,是雲安全治理能力提升的迫切性要求,以及思維和理念的革新。

進入3.0時代,雲安全治理已然上升戰略與價值層面。既要確保戰略與企業組織業務發展相一致,也要通過量化價值,實現安全投入產出的最大化,進而提升安全治理能力與效率。在數字化時代築牢安全底座,推動產業數字化轉型升級,共建數字經濟美好未來。

正值2024騰訊全球數字生態大會,騰訊雲安全總經理李濱,安在新媒體創始人張耀疆,雲安全聯盟上海分會聯席主席 沈勇,三位嘉賓坐而論道,共話“雲時代,如何夯實安全治理的核心戰略與價值呈現”。

新紀元,雲安全與企業戰略的深度融合

雲安全的發展經歷了三個階段。早期,是對傳統網絡安全模式的借鑑與適應;而後,伴隨容器時代的來臨,雲原生安全嶄露頭角,並催生出豐富的外掛式安全技術;如今,產業開始思考並致力於構建以戰略和價值爲引領、架構爲核心、機制爲支撐的雲安全治理體系,標誌着雲安全已然從單純的技術堆砌邁向了與企業戰略深度融合的新紀元。

Q:雲安全經歷了怎樣的發展脈絡?

李濱:最初在雲尚未定型時,雲安全主要借鑑傳統網絡安全的防護思路和理念。進入容器時代後,與雲相關的資源力度、運行效率、迭代速度越發明顯,國際上因此提出了全新的概念—Cloud Native,即雲原生。然而,雲原生安全與系統的耦合性較差,龐大的資源數據逐漸成爲安全建設的最大阻礙,顯然“先採用後補安全”的方式已無法適用雲安全的需求。需要從全新的理念和架構出發,規劃、引導、設計雲安全治理體系。

之所以稱爲雲安全治理體系,是因爲它具備幾個層面。首先是戰略和價值,有別於過去純技術角度的思考,在今天這樣外部環境、經濟形勢、業務發展方式全然不同的時代下,我們更需要關注安全的價值,即如何使用最大化的投入產出比來提升安全效率,將安全置於企業整體的戰略和規劃中。

以此爲核心,設計合理的安全架構,最後根據架構設計出合理的安全機制,比如哪些機制在早期設計時就應該做好內置,並且以更低的成本提供給用戶。最終形成價值決定戰略、戰略決定架構、架構決定技術形態的分析思路。這也是雲安全進入第三階段的主要特徵。

沈勇:雲安全的蓬勃發展誕生於2010年。第一個階段主要從基礎架構入手,是計算、存儲、網絡、虛擬化技術成熟後的產物,具備全新的組織形態。由於基礎架構的變化對整個IT產生了巨大影響,業界逐漸發現補丁式的安全思維已經跟不上雲應用的迭代速度,雲安全便因此進入第二個階段,即雲原生安全。然而,外界環境的變化不允許人們長時間停留於“縫縫補補”的狀態,所以當雲原生安全還未被業內熟知與充分利用,第三階段的雲安全便“撲面而來”了。

當前階段的雲安全需要更完整的治理體系。首先,從用戶的角度來看,應用永遠都是第一位的,安全本身不是目的,目的是保護有價值的應用;其次,面對不斷髮展的應用,補丁式的安全方案已完全不適用,雲原生安全防護思路已經到達極限,外掛式的安全方解決方案只會導致安全系統過於複雜且成本巨大,因此,用戶急需一種更好的理念和治理體系,來組織、設計雲安全管理。

Q:企業在雲安全建設中應該關注哪些方面?

李濱:企業需要關注雲安全防禦體系落地中的幾個注意事項。首先在應用開發和獲取階段,需要進行網絡安全的同步規劃和建設。尤其需要注意軟硬件應用服務的外採;其次,通過各個數據點的採集指標來形成完整的安全分析和運營系統是重點之一,所以基礎設施安全和安全運營要重點關注;供應鏈安全中包括軟硬件的供應鏈,上下游關係,以及人員和外包服務;而在跨雲安全協同上,需要從底層進行技術支撐,主要體現在身份訪問控制和權限審計等方面;此外,包括數據安全、業務風控等,都是雲安全防禦體系落地過程中需要重點關注的地方。

沈勇:在構建整體雲防護的過程中,首先要有整體性的戰略思維,此思維需要具備頂層設計。因爲過去“先用產品後補防護”的理念和方式已經完全跟不上時代所需,所以企業的安全防禦體系要從業務系統的建設初期就同步部署。最終的目標是讓企業的雲安全建設具備基礎的服務能力,具備個性化的安全能力,以及形成總體的指標體系。

騰訊雲的安全治理戰略與價值呈現

騰訊雲在構建雲平臺安全戰略時,深刻認識到安全不僅是技術層面的保障,更是與多方利益相關者的價值共創與協同。通過全面審視並界定核心利益相關方,騰訊雲確保了安全策略與企業戰略及外部環境的緊密對齊。在此基礎上,騰訊雲積極探索量化安全價值的新路徑,通過構建一套科學、系統且可度量的安全指標體系,將安全從無形保障轉化爲可評估、可優化的戰略資產。

Q:騰訊雲在雲平臺安全治理方面有哪些核心戰略和原則?

李濱:既然是治理,就一定會涉及組織的最高戰略層面,它的內涵是最高層對於治理方向的監督指導和評價。通過提供具體的事項和必要的數據,讓組織最高層來評估目前的治理階段是否準確,從而得到相應的指導和支持。此外,面對“落地治理框架”這一巨大挑戰,企業在治理之下還需具備管理能力,通過流程、組織機構、崗位職責的設定來進行落地。最後還需要在技術的支撐下,才能讓治理框架有效實踐。

騰訊雲在戰略對齊的層面上,首先思考的是“誰爲安全的利益相關方”。作爲互聯網時代下較爲全面的平臺,騰訊雲界定了五個方向核心利益相關方。第一是騰訊客戶,對企業而言,客戶的利益是首要的;第二是監管方,作爲平臺企業,會涉及國家以及不同地區法律法規、行業標準的約束;第三是社會責任,作爲上市公司,廣大的公衆就是利益相關方,即使沒有直接的利益損失,也需要評估和衡量可能對公衆造成的影響;第四,爲了保證財務控制的準確性,內部控制也是利益相關方的重要一環;第五是廣義的風險管理,主要涉及騰訊的客戶、供應鏈上下游等。

綜上所述,騰訊雲除了和企業內部的業務戰略對齊外,還會評估雲安全戰略是否和利益相關方的目標相一致,從而做到安全最終價值的呈現和保障。

Q:騰訊雲在雲平臺安全治理中如何量化安全價值和投資回報率(ROI)?

李濱:在量化安全價值方面,騰訊雲具備了相應的支撐性原則。其一,安全必須可靠、可度量;其二,安全需要形成核心且能覆蓋不同層級的度量指標。比如安全的投入對業務和戰略的支撐能否量化成具體的數值?其次,支撐這些參數所需不同的安全治理模塊有無合適的量化指標?這些指標能否支撐最上層的投入產出比?最終,通過逐層的分解,便能對整個安全治理形成數據化、指標化的度量體系。

在騰訊雲內部,安全指標分爲三層,最核心的是網絡安全ROI;往下是每個安全治理模塊中較爲核心的指標,比如事件全流程的溯源覆蓋率,就是安全事件造成風險損失的核心指標之一;再往下還有漏報和誤報,全流程的分析響應時間,以及最終對安全事件的遏制時間等。每個安全治理模塊中都存在幾項核心指標,且缺一不可,因爲這是構成最上層數據的必要基礎。

通過建立成熟的指標體系,騰訊雲可以實現安全上的戰略和價值。同時,通過持續的優化和迭代,最終形成對用戶而言必要的監控點。這些監控點可回落到系統中,併爲用戶完善系統建設指出必須具備核心監控指標的環節,最終實現保證從系統到架構,再到指標體系的一致性。

雲安全治理體系對用戶的賦能與意義

在探討雲計算環境下安全價值的呈現與實現路徑時,首先要關注如何構建一個全面且可度量的安全體系,這一體系不僅覆蓋了從工具到流程能力的全方位保障,還深刻影響着業務價值的提升與成本的優化控制。通過實現安全指標與業務價值的深度綁定,不僅爲用戶提供了直觀的安全量化評估,還進一步推動了安全成爲業務發展的強大驅動力。

Q:騰訊雲安全指標體系如何讓用戶實現落地?

李濱:在具體形態上,騰訊雲從工具到流程能力進行了全面覆蓋。而從現實出發,所有的價值衡量都有一個前提——在成本有限的情況下將能力價值最大化,這也就是爲什麼必須實現可度量的安全指標,且一定要和業務價值相互綁定。

假設有兩個產品線,產值分別爲1億和10億,此時我們若把安全指標和業務價值相對齊,就能實現量化。比如對於1億的產品,投入相應的安全人員可爲其挖掘100個漏洞,再結合安全事件所造成的停機損失,就能形成該產品線風險成本的總值,對應其產值,就能形成安全的量化值。與之相比,10億的產品線由於其自身業務實現更好,因而在安全投入的相同的情況下,安全投入比和總體風險成本更低,最終體現出更高的業務價值。

如此我們就能得到兩個結果:其一,安全的指標和數據得到了直接的價值量化,公司經營者可清晰辨別安全效果、投入產出比等;其二,安全和業務價值對齊後,爲業務形成了驅動力,即只有做好安全,業務指標才能更爲優良,安全爲助力業務成長提供了價值。

綜上,從戰略到價值對齊,再到可量化的指標,這三點的構成能夠幫助用戶解決“如何呈現安全價值”的問題。

Q:用戶如何看待騰訊雲的價值量化和評價體系?

沈勇:只要用戶在雲上擁有大量的資產,就一定需要雲平臺所提供的評價體系以展現安全的價值,決策者也可以對此進行橫向和縱向的對比。雖然業內可參考的模型有很多,但真正能方便實行和落地的卻很少,所以雲平臺提供方可以通過自身實踐不斷深入,最終能力賦予用戶。像騰訊雲這樣既具備細化指標和總體指標,還能用一種方式計算數據,並落實到平臺上的評價體系十分難得。即使在自定義方面只能滿足70%-80%的需求,對於用戶也已經具備極大的吸引力。

當然,作爲用戶,更希望評價體系能具備基礎模板,讓用戶可以進行一些自定義設計。畢竟同一件事情,不同用戶的看待角度、感受也並不相同,所產生的評價以及發展階段也不一樣,這是用戶最爲期待的產品內容。此外,用戶希望在雲平臺購買服務時,廠商能配齊基礎的安全能力。比如購買雲存儲,用戶希望其中已內嵌發現敏感數據的能力,不需要再單獨配置相關的安全工具。正如“買車無需自己購置安全帶”一樣,這是用戶對於雲平臺首要的期望。

雲與智能融合,讓安全內置業務

安全的數據化與指標化是安全價值構建與提升的基石,而AI技術的深度融入則成爲推動這一進程的關鍵力量。騰訊雲通過一系列前沿實踐,不僅展現了AI高效處理海量數據,精準轉化爲安全研判關鍵指標的能力,更揭示了AI在雲安全領域的廣泛應用與深遠影響。此外,只有強調技術與業務的深度融合,才能實現安全價值的最大化。

Q:AI、大模型等前沿技術和理念如何在雲安全建設中發揮價值?

李濱:安全的數據化和指標化對於安全價值呈現非常重要。以騰訊云爲例,從捕捉到的信號將其轉化成有效數據,再到形成研判的一些關鍵指標,最終形成價值衡量,這是一個數據逐步過濾的分析過程,而其中所接觸的數據是海量的,必須依靠AI才能進行有效處理。

此外,AI作爲快速發展的技術,其本身也會帶來非常多的安全問題和場景。騰訊雲每天爲用戶自動攔截的攻擊超過1.2億次;過去三年以來,騰訊雲每天檢測到的攻擊信號在50億次以上。而這些檢測和攔截都離不開AI的賦能,可以說AI技術已經在騰訊雲上發揮了重要作用。

當然,AI工作還包括了內容風控、反欺詐、攻擊事件的協助分析、數據分析等。AI技術早已在騰訊雲的各個領域有所應用,並在具體的應用上展現出了足夠的價值,最終形成了一整套有效的工具集。大大降低了騰訊雲內部以及用戶的工作量,同時爲安全生產效率帶來了極大的提升。

沈勇:AI必然會影響、賦能各行各業,但AI並不能替代人,而是會讓主動擁抱AI技術的人羣具備更強的競爭優勢。此外,AI不僅賦能雲安全這一個具體的場景,更是極大影響了安全產業的變革與發展。由於AI應用帶來了更大的暴露面,因此安全的產值會更大,對安全人員的需求會更多,同時也會讓安全人員的競爭變得更激烈。

Q:未來,雲安全還呈現哪些發展趨勢?

李濱:過去30年以來,最有價值的安全技術應用其實是指紋識別,以及由此衍生出的人臉識別等。指紋識別其實是衆多老技術的集成,但就是這麼一個小小的改變和拼湊,卻極大地簡化了終端的身份認證,提高了便捷應用的門檻。

如今來看,指紋識別不但簡化了身份認證、手機應用,還進一步帶動了支付鏈條的變化,讓人員願意通過互聯網和移動終端進行業務交易,進而改變了互聯網電子金融和電子商務的生態。所以說,指紋識別帶動了不可估量的產業價值。

因此對雲安全而言,未來也會呈現同樣的發展趨勢。真正的安全技術並不一定要以單獨的產品形態來呈現,關鍵在於能給業務帶來怎樣的助力。安全技術的最終目標是要能融入業務,成爲業務的一部分,這樣用戶才更願意接受,實現安全價值最大化。

沈勇:用戶而言,最希望看到的是好用的產品,內置安全能力。比如,領導地位的產品內置必需的安全能力。用戶並不會因爲某樣產品特別安全而去購買,而是會在產品功能更好的情況下,關注其安全性是否過關。所以可以預測,未來雲安全及產品的發展,或許會是某一個領域中的領導產品將安全作爲自己的護城河,作爲其內置的原生能力。