2019-12-26 09:42
首先感谢主办方对京东云的邀请!今天下午给大家做一个分享,主要介绍一下我们在合规和安全建设方面的一些我们自己的经验。我们主要从我们自己的痛点和我们做的主要的事情跟大家做一个分享。
做合规建设也好,安全建设也好,以前大家做信息系统建设的时候,都是先建设后治理,但是对于我们来说,先建设后治理带来一个最大的问题就是,当你把一个信息系统建设好以后需要做改造,这时候你会发现遇到方方面面的阻力,比如说我的业务已经上线了,你需要做安全方面的改造或者合规方面的改造,面临着经营和运营的压力,你面临的阻力会更大。我们在做安全合规建设的时候,我们有一点最大的不同,首先在信息系统建设过程中,我们是以合规安全做基本的出发点,这作为我们经营开发基本的政策,落实到我们整个开发的全生命周期流程。
从合规角度我们分几个大的方面,安全研究、产品、服务、安全运营,我从这几个方面给大家简单介绍一下。先看看京东云的安全体系,从安全体系来讲,我们做云怎么做?首先云本身是一个基础设施,你要做到云上业务和云平台的安全,首先要保障云的基础设施安全,这是最基本的。底座安全以后,首先我要保证提供给云上服务的自身是安全的,不会受到攻击,用户上云的时候业务系统也会面临着安全防护的需求,在整个基础设施安全之上,我们会做云自身安全服务的治理,以及面向租户安全产品的开发。这些都是更多偏技术一点,技术是安全和管理,包括流程几个方面同时做才能起作用。做安全这么多年,发现往往出问题的时候,不是出在技术上,往往是管理和流程上。在云的安全治理过程中,我们从运维安全和运维安全两个方面做相关的建设工作。这些所有的工作都以安全合规作为我的出发点来做的。
在安全治理这块跟大家分享一下简单的经验,谈到安全治理大家都不陌生,SDR的概念是微软很多年前就提出这个概念,在国内很多家企业也在实践,同样是SDR,大家的心得很多人是不太一样的。SDR大家都知道,它贯穿整个软件生命开发的全生命流程,如果说我们盲目的做SDR,大家会想这个理论非常完善,一把全上,但实际上当你全上的时候会面临很多方面的问题,会有很多的阻力。我们在实施安全治理的过程中我们分几个步骤,第一当然是规范体系的建设,制定相关的规范以后,让整个治理工作有了一个基本的依据。规范制定之后,我们要把整个规范相应的内容落实好整个开发生命周期里面去,最大的一个难点,业务开发的时候有时间和上线的要求,加入安全考虑的时候,必然带来新的开发成本和时间、人员上的成本,这时候很多业务第一反应,会有一个抗拒的心理,第二,他会找一堆的理由,我不懂安全,我没法做。这个阶段,要分阶段来做,我们从最核心的代码安全,包括上线后安全的检测,上线后的漏洞扫描,对开发流程产生的冲击不那么大,自动化、半自动化的点来切入,这样的话收效比较大,对于业务的冲击也比较小。
解决这些基本的核心问题以后,下一步可以再向前延展,比如说设计阶段的安全检查,当你整个组织接受了这个,承认了这个工作给他带来好处的时候,再进一步推广,阻力就会比较小。
刚才说的很多都是技术方面,在做真正安全治理的时候,相关的人员和组织保障也是非常重要的。这是我们数据安全体系简单的一个框图,我的数据安全治理要覆盖整个全生命周期,要做这个治理,首先你要有一系列相应的工具来支撑你的工作,在这个工具的基础上,主要是提供技术保障。你在深面还要有对应的人员组织和流程制度的建设,保障技术也好,工具也好,相应的流程也好,能够真正的落地,如果没有这些保障工具都是摆设。我们在这个过程中会发现,安全团队对于开发团队来说,你放在监管者的角度去做这件事情的话,相对来说你会发现很多工作推进起来会很困难。我们更多是把自己看成是一个面向开发者服务的角度,你这个业务开发上线以后,如果你被报出漏洞,被别人攻击了,产生了危害,最终这个业务团队也是要受到相应的惩罚的。
我们以我们的经验、我们的能力帮助开发团队做这个事情,我们建立一个基本的安全官制度,以前传统企业里面,一个企业就一个安全官,叫首席安全官,他要管很多的事情,合规、内控、风险、安全体系的建设,他一个人忙不过来。我们安全团队的头业有限,我们在每个业务团队里面都有一个安全接口人,我们命名为这个小团队的安全官。他其实是我们安全团队的触手,帮助我们,让我们相关的政策,我们的技术,我们的流程,在各个开发团队落地。我们不需要投入很多人,我们只需要把各个团队的接口人做好对应的培训和沟通工作,很多的工作就能够在这个团队落地。
另外一方面很重要的就是运营工作。从全球来看,大家都很关注安全,随着数字化转型,所有的业务都在朝线上发展,到了线上以后,线上就是你的生产系统,就是你的核心环境,你的核心数据都在线上,如果出了安全问题,给企业带来的损失是非常巨大的。我们在线上运营过程中,我们建立一套自己标准化的体系,从事前的预防,事中的监控,事后的处置,形成完整的闭环。以前传统的防护大家都是做边界防护,现在由于云的发展,到租户内部,还有网络之间的隔离,东西向的流量的访问控制。在建设过程中,我们不光考虑边界防护,以零信任的概念构建整个安全体系,零信任不同的人有不同的理解,传统的安全厂商做零信任的时候做一个网关,进行动态身份的识别和风险的发现,作相应的访问控制。云自身就是一套复杂的系统,我们做零信任的时候还不一样,其实基于微服务的治理,每个服务有自己的服务提供方和调度方,我对任何调用我的人首先都是不信任的,你要访问我必须有访问权限,这时候你才能访问我的业务。基于这套系统,我们整个云的底座组件之间的调动都是基于身份去访问,比如说我内部的一个管理员你来进行相关操作的时候,只要你这台主机没有对应的身份信息你就无法访问服务。
在处置流程上也是非常重要的一环,我们天天暴露在公网上这么多的服务,面临着全球各个团体的挑战,有一个很重要的工作,就是安全的应急响应,我们在做应急响应处置过程中,如果你没有实现的演练,事先流程化的指导,你会发现做起事情来手忙脚乱,一个问题来了以后不知道找谁处理。我们会针对安全和运营过程中的问题做到安全的流程制定,平时我们会在重大的节日,或者重大的活动前,或者定期我们会做一些破坏性演练,和安全流程和处置的预演工作,确保我们在真正出现安全风险的时候能够快速的处置。
前面很多是我们自身的安全治理,解决云上租户信任的问题,我告诉我的用户,你用我的云平台是安全的。对于云租户上云面临另外一个问题,租户自身的业务系统也要有对应的安全保护措施。我们在打造自己安全底座的同时,我们还会打造一系列云上安全服务产品,为租户提供服务。核心理念,是围绕着我们大数据平台为中心,把我们相关的数据打通,实现全局一体化的管理。我感知到相关的风险以后,可以和各个安全组件进行联动,进行安全事件相应的处置,第一提升用户的处理安全事件的效率,第二,提供一揽子的安全的解决方案,解决他自身业务安全合规的问题。
有了技术,我们做安全这么长时间,技术只能说是一个基础,安全并不是靠传统的技术,或者现在的新兴技术就能解决的,人是一个关键的因素。去年全球的安全人才的缺口应该是200万左右,今年更多,尤其国内发展比较晚,云计算又在快速发展阶段,我们想在社会上招聘优秀的安全人才是非常困难的,行业里面人才是非常紧缺的。要做好安全治理,光给用户提供一系列的安全产品是不够的。我以前曾经发现我们的一个客户,开了一个防火墙的产品进行相应的防护,只是简单的开启的,由于他的网站是加密方式传输的,没有配制证书的卸载功能,为了更好的支持云上租户安全的治理和服务工作,我们还有用户安全的运营团队,除了对我们云平台自身的安全状况进行常态的监控和运营以外,第二,作为我们整个接口部门,及时相应用户的安全事件和需求,用户遇到安全问题以后,他第一时间联系我们的团队,我们协助他解决相应的问题。当用户在配制方面存在相应的难处的时候,他也可以联系我们做处理。通过这个团队的设立,可以帮助用户用好云上的安全产品,他的业务系统才能达到一个比较合理的安全水平。
最后一点,我认为还是比较关键的一个点。安全绝对不是安全团队一个团队的事情,安全对一个公司也好,对于一个云的业务单元也好,是一个全员的事情。安全一定是组织的最高战略,针对这一方面,我们除了安全团队还有开发团队,我们还会对全员进行安全意识的培训,无论是开发、运维、市场的安全意识,确保我们系统的运营安全。在重大活动期间,在活动前我们会进行安全的预演,活动中进行安全保障措施,只有这样才能保障活动的顺利进行。
京东云虽然时间不长,但是我们给自己的定位和起点是非常高的,我们的目标是打造可信任、安全、合规、可好的云,成为企业、政府、家庭数字化转型过程中安全的合伙人。谢谢!