近日，青藤以“云时代，安全变了”为主题的2023年云安全高峰论坛在北京成功举办。会上，青藤首次提出“业安融合”理念，正式发布先进云安全方案CNAPP。

我国全面进入云和数字化时代

(相关资料图)

当前，全球已进入数字经济时代，我国高度重视数字经济发展。“十四五”规划中明确提到“加快推动数字产业化”，培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业。在数字经济重点产业中，云计算更是位列第一，云计算在数字产业化中的重要地位可见一斑。

中国信通院的研究报告显示，城市云服务发展指数与数字经济规模成S型曲线，呈现明显正相关关系。城市云服务指数越高，数字经济规模越大。与此同时，国内各大省市在其各自制定的“十四五”规划中，均明确确定了云计算相关的任务目标，大力推动数字经济发展。总体来讲，我国已经全面进入了云和数字化时代。

云和数字化时代面临更加艰巨的安全挑战

进入云和数字化时代，组织机构面临着更加艰巨的安全挑战。随着企业的数字化转型，其业务也呈现出开放互联、高效运转、结构复杂、快速变化等特点。这些新特点给安全带来更为艰巨的挑战，包括：暴露面增加导致更易遭到攻击，一旦被攻击风险扩散速度加快，边界模糊导致难以防护等问题。

尤其是企业业务上云后，业务发展更加高效，变化也更快，业务之间的关系也更为复杂，而安全改进却进行得比较缓慢，这也就导致安全很难跟上业务的发展步伐。但在数字化转型的深入发展过程中，越来越多的关键基础设施运行在云端，一旦遭到攻击，对企业造成的打击也更为致命。

云计算的动态、分布式和虚拟特性带来了独特的安全挑战，大多数传统安全工具并不能解决这些挑战。78%的组织机构认为，传统安全解决方案在其云环境中根本不起作用或功能有限。

业内人士认为，在新的数字化浪潮下，传统安全方案主要面临着以下困境：一是难以适配云和云原生环境；二是高度碎片化导致效率低下；三是安全能力迭代演进缓慢；四是难以融合到业务全生命周期。

因此，新时代需要新安全。新时代的安全体系应该具备以下四个特征，一是敏捷：能够跟上企业业务和安全威胁的快速变化，具备敏捷发布和部署的能力。二是高效：在爆炸式海量数据和行为中实时发现并根除风险和威胁，而不是月，不是天。三是智能：能够基于AI进行智能化分析，提高更好的安全防护效果。四是连接：能够实现人与人、人与系统、系统与系统的连接。

针对安全与业务发展脱节的这一重大难题，青藤首次提出了“业安融合”理念，将安全与业务深度融合，包括能力的融合、体系的融合、流程的融合，从而实现业务与安全的一体化。首先，在业务方面要做到——风险洞察：将安全洞察融合到风险管理框架和数字发展计划中；业务融合：将业务、IT流程与安全要求、合规要求进行融合；业务弹性：确保组织能够在遭受攻击期间保持运行，并迅速恢复全面运行状态。此外，在安全方面，要实现——安全治理：持续确认、衡量和管理安全态势，以降低风险并确保合规；安全融合：将安全融合到DevSecOps的流程中，拉齐安全、开发和运营实践；安全运营：检测攻击、做出响应并将业务恢复正常运行，对隐藏威胁进行狩猎，并共享威胁情报。

先进云安全方案CNAPP

鉴于传统安全解决方案在云和数字化浪潮下面临的困境，在本次大会上，青藤提出了先进云安全方案CNAPP。具体来看，该方案应该是云原生的、融合化的、服务化的、智能化的。具体表现为——云原生的：云原生安全需要一套集成方法，从开发阶段扩展到运行时阶段，提供完整生命周期的安全保障能力；融合化的：如上文所述，云安全的融合包括能力的融合、体系的融合、流程的融合。为了提高开发运维效率，安全不能作为一个单独的检查项，这会严重降低DevSeOps的交付速度。为此，需要实现安全与人员的融合、与开发工具的融合、以及与流程的融合；服务化的：先进云安全方案的实施需要专业的安全服务人员、标准的服务流程以及云原生架构底层服务平台；智能化的：生成式人工智能 (Generative AI) 可以在网络安全防御领域发挥重要作用，包括在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面。图计算技术与AI高度耦合，可以实现多机信息的关联，也是未来的一个重要发展方向。