万科集团吴致远：云时代的安全挑战与发展 | FreeCoolTalk

全球正在朝着数字化的方向滚滚前行，我国“东数西算”工程也在2022年全面启动，越来越多的传统企业走上了云端。万物“皆可上云”向着“皆需上云”的趋势转变，根据 GIV 预测，至 2025 年，全球企业云技术使用率将达到 100%。

数字化和云化正在改变一切，同时也带来了新的云威胁。在企业云安全市场爆发的背后，云安全问题日益严峻，和传统安全问题相比，云安全问题更加难以发现，且产生的危害也更加巨大。

越来越多的企业逐渐增加对安全方面的投入，同时细分领域和场景的安全实践推动云安全市场需求水涨船高。如何真正做好云时代企业安全体系建设，在这个过程中存在哪些挑战，未来的发展方向如何？

带着这些问题，FreeBuf咨询有幸邀请到万科集团信息安全负责人吴致远进行访谈，以下为访谈内容实录，由FreeBuf咨询加工整理。

FreeBuf咨询：外界对于安全圈有一些刻板印象，比如高薪、加班、闷骚等，对此您有什么看法？

吴致远：这个因人而异，具体事情具体分析，比如“高薪”就需要看所处的行业，“加班”也是要看每个企业的实际情况，可能有一些工作确实要加班完成；如果事情干完了我也会多陪陪家人。至于“闷骚”我觉得不是那么绝对。

FreeBuf咨询：企业安全负责人一直被吐槽是“背锅侠”，针对这个问题您怎么看？

吴致远：安全圈确实有这么个有意思的吐槽，其实“背不背锅”主要看安全团队、业务团队、开发团队以及其他IT支撑团队的关系和责任划分。简单来说，安全是为了更好地促进业务发展，让IT团队更顺利地完成工作，而不是一味地进行阻止，这样大家的关系也许会更融洽一些。当然，前期一定要把相关的责任划分清楚，避免出了问题，责任都落到安全负责人或安全团队身上。

FreeBuf咨询：在企业安全建设过程中，安全部门可能会存在和业务、研发等其他部门斗智斗勇，对此您怎么看？

吴致远：我认为这是企业效率和安全之间的平衡，所以斗智斗勇肯定会存在，但是我认为大家的初衷是好的，都是为了公司发展，一方是为了安全，另一方是为了效率，这需要平衡，双方都需要互相理解和协作。但是，有些涉及安全底线的规则需要达成共识，安全部门需要在相应的规则下将安全风险做到可控。

FreeBuf咨询：您之前作为评委参加了首届网安新势力发布会，比较看好哪些企业呢？

吴致远：我印象比较深的是EDR这方面，虽然国内一些大厂号称有比较成熟的EDR方案，但是说实话和国外一些产品比还是有非常大的差距，我个人比较看好一些细分领域的安全初创企业，他们组织结构更简单，也有足够的热情从头开始打磨产品，期待不久之后国内有更好用的EDR产品出来。

FreeBuf咨询：在EDR领域，您有没有一些建议给到企业或个人吗？

吴致远：这方面的技术我们目前还是落后于国外一些公司，我个人的建议是，在打磨产品的时候我们不一定需要完全迎合甲方的意见。虽然市场很残酷，但是我们更要去把产品做好，大家可以多看看国外的安全产品，例如SaaS化的EDR、云化的EDR等，很多都具备强大的安全能力。

FreeBuf咨询：目前新势力大会第二季正在筹备中，您对此有什么建议？

吴致远：希望会有更多的创新性安全产品出现，例如CSPM等，还有一些针对公有云、云原生的安全产品，这些产品在我国还是偏少。

FreeBuf咨询：企业上云时，我国更喜欢私有云，国外更青睐公有云，从安全角度来看，造成这种差异的主要因素是什么？

吴致远：信任是其中的原因之一。我国大量企业没有使用公有云，一个重要原因就是不安全，似乎所有数据都攥在自己的私有云或者数据中心上才安全，随着云安全的迭代发展，实际上在公有云上也一样非常安全，我个人认为租一个数据中心里面的机柜和租一个公有云的物理机，本质上来说没有任何区别。

FreeBuf咨询：您如何看待国内外上云的差异，未来的趋势是公有云还是私有云？

吴致远：我比较看好公有云。我在万科负责基础架构，也是推动万科整体上公有云的一员。在2022年年底，万科又关掉了一个数据中心，未来还将关闭一个自2020年自建的小数据中心。接下来，万科90%的业务都将在公有云上，只有10%无需上公有云或比较特殊的在私有云上。

企业上公有云的优势非常多。最明显的基础安全、物理安全等都不需要担心，以前在VMware，企业还需要关注底层物理机的状况，现在这些责任都分摊至云服务商。

很多时候我也不太理解，为何私有云会成为主流，而公有云只是辅助，大多数企业都在私有云上，只有部分新兴企业才会上公有云。即便是像万科这样的传统企业，也在私有云上运行了很多年，我们也是在最近三年时间里，才把业务转型至公有云上。

但不可否认的是，在公有云上会给企业带来很大的帮助。资源更加灵活，也更加安全，业务能力更容易拓展，而不需要花费很大的精力部署自己的数据中心来获得能力。

例如，在2021年，万科某个业务部门提出使用AI进行标签识别，以此提升服务质量。如果是在私有云，这个功能会非常麻烦，项目周期预计要6-12个月，而在公有云这块业务实现起来就比较简单，大概只需要一个月即可完成。

这仅仅是其中一个案例，公有云的好处还有很多，例如万科以前将邮件部署在私有云上，存在较多的分支，必须维持昂贵的专线，以及购买相应的邮件安全网关等各种防护手段，但迁移至公有云后，安全问题不需要再担心，因为有一个全球最大的安全产商为我们提供防护，只需要把规则和想要的服务配置好即可。

因此，我个人认为公有云才是未来的趋势，只是不知道国内什么时候能够大规模接受公有云。

FreeBuf咨询：那么您认为现在国内没有完全接受公有云的主要原因是什么呢？

吴致远：可能是受传统安全思想的影响，认为数据中心、服务器放在自己机房最为安全，业务、数据握在手中会比公有云更安全。这其实是一个过时的想法，我举个例子，当下企业办公很多人都在使用钉钉、企业微信、飞书等，很多重要的资料也在这些平台上，其实也就放在了公有云上。企业可以接受用微信发送重要文档，却无法接受上公有云，这个地方存在矛盾。也许等大家接受度更高一些，公有云就会成为主流。

FreeBuf咨询：您预计需要多久的时间，公有云占有率能够达到60%及以上呢？

吴致远：目前三大运营商也在主推他们的云，但是我个人认为公有云要想占据主流地位，至少需要5-10年，也许还会更久一些。说实话，我个人对于国内公有云市场信心不是很足，腾讯、阿里、华为等依旧还在为企业建设私有云，但是这些私有云未来可能会存在很多安全问题，还有可能无法及时升级，得不到妥善的维护。

FreeBuf咨询：在您看来，公有云和私有云的在安全方面有哪些差异？

吴致远：事实上，私有云的安全性不如公有云，尤其是涉及底层安全时没有办法和公有云团队抗衡，原因在于并不是所有企业都对云很精通，且无法像公有云一样具有规模效应；在云安全建设过程中，私有云也无法和公有云的团队技术实力相比。

另外，私有云在安全建设过程中，更多的是购买各类安全产品，让私有云具备一定的安全防护能力，因此其防护等级和安全人才存在明显的关联性，资源投入充足、安全建设方案优秀，私有云的安全防护能力才会有保障。

公有云则不然，企业在安全人才的关联性远没有私有云那么高，这一点使得企业云安全的下限保持在较高水准，也将大大简化安全部门的工作，安全人员只需认真做好本职工作，不用关心虚拟机、容器等公有云该操心的问题。

FreeBuf咨询：您刚刚提到，万科也是在近三年内完成私有云到公有云的转型，期间是否遭遇一些安全问题？

吴致远：三年时间里，我们把大部分系统迁移至公有云，整个过程中也把系统梳理了一遍，没有遭遇什么大的安全事件。事实上，从目前企业实践来看，在私有云上出现问题的概率更大，在公有云上的安全问题相对少一些，风险相对也低一些。

另外，万科上层领导也支持向公有云转型，当然期间也遇到了一些阻力。例如内部有人反馈服务器仍旧可以使用；或者在成本计算上存在一些问题等。以前在私有云上，很多成本无法进行分摊计费，但是在公有云上，这笔费用就会比较透明，而且在资源调配上也会有很多好处。

在私有云上，资源哪怕不用也放在那里，因此部门想申请多少资源都可以，但过度申请会让系统变的日益复杂，不仅降低效率，也会带来大量安全问题。上线至公有云后，各部门存在成本分摊，反而会促使他们把系统做的更优，代码写的更好，效率也会更高，对于安全部门来说也是好事。

FreeBuf咨询：企业上云不可避免地带来攻击面增多的影响，您认为该如何确定风险处理优先级，保障风险管控和运营效率之间的平衡？

吴致远：首先，企业必须确认暴露的攻击面到底有多少，以及该如何去修复，这就需要安全对业务有全盘的了解，而不是只关注某个网站，只看到一两个漏洞，需要了解的是业务对于公司用户、收入、品牌等方面的影响，然后确定修复的优先级。

从技术角度来看，某个安全漏洞的可利用性、危害性等非常高，需要尽快修复，但实际上这个漏洞对于企业业务的影响非常小，或者所影响的业务根本不重要，那么其修复优先级较低。反过来也是如此，如果影响的是一个核心或关键业务，那么即便漏洞分值不高也要快速修复，否则很有可能给公司带来重大损失。换句话说，其中关键在于安全部门对于组织的业务是否有深入了解，才能更好评估优先级，才能处理风险管控和运营效率之间的平衡。

FreeBuf咨询：以云为代表的数字化环境离不开API安全，对于这方面您怎么看？

吴致远：数字化时代，API接口正在爆发式增长，自然带来了相应的安全问题。我认为API安全应该引起企业重视，说实话大家以前都有点忽略了它。API建设的重点还是要和现有的安全产品进行集成，例如在WAF上集成API的能力，而不是又单独建设一套API安全产品。

FreeBuf咨询：API安全已经成为供应链的新焦点，传统安全边界正在朝着业务的方向靠拢，对此您怎么看？

吴致远：是的，我们也正在调研这方面，看看有没有一些成熟的解决方案。就目前情况来看，无论是国内还是国外，感觉这方面都做的不够好，我认为甚至有一些做APM的厂商（Dynatrace）是不是更适合做API安全。因为它本身就会在应用服务器或容器上部署探针，我们也正在寻找该领域比较适合的产品。

FreeBuf咨询：API安全和业务相关度更高，那么在和业务部门的沟通中您有哪些建议？

吴致远：这个问题的关键点在于，安全部门应该想方设法让业务部门认识到API安全的重要性。例如我们在落地这部分工作时会不停地推一些安全防护手段，也会加大对业务部门的教育力度或者说是沟通力度。

更具体点来说，如果同行某个相似的应用，它的API安全没有做好，导致安全事件给企业带来了严重的后果。那么针对这个案例，我们要和业务部门进行同步分享，让业务部门真切感受到API安全缺失带来的影响，同时上一些相应的安全防护手段，尽量不要大幅降低业务部门的效率，或者影响业务的正常运行，这时候业务部门的接受度会更高一些。

FreeBuf咨询：甲方安全人员在进行安全建设时该如何切入，如何将安全产品更好地组合与集成？

吴致远：安全产品种类越来越多，不少产品之间功能相互交叉，因此在选择时需要了解自己的需求。作为一名企业安全负责人，首先你要了解企业的安全痛点，业务的安全痛点，以及研发的安全痛点等。

从企业安全整体的角度出发，观察是否存在明显的短板，如果有则优先弥补短板。同时还需要构建一个整体安全防护框架，围绕框架将安全功能一点点补齐，避免出现安全“木桶效应”。

FreeBuf咨询：在构建企业安全框架中，您认为哪些方面比较重要？

吴致远：近年来比较成熟的安全框架已经非常多了，或者是说很多安全框架存在了很长时间。以万科为例，最基础的还是以经典的ISO27001为主，以它作为 PDCA整体的闭环。此外还会有相应的技术框架，我们是以管理框架为基础，引入技术框架，以及一些攻击模型，完善安全防护体系。

FreeBuf咨询：庞大的安全市场中，您更偏爱哪些类型的安全产品呢？

吴致远：可能我的想法会和大多数人不一样，我个人更偏向使用SaaS化的一些安全产品，其实这点在国内很多企业的接受度并不高。

我们发现，SaaS类办公类软件已经被国内企业普遍接受，给企业办公带来了极大的便利，其实安全产品也是一样，SaaS类安全产品也会带来不少优势。随着网络攻击威胁不断变化和升级，传统安全产品往往难以应对，但SaaS化安全产品天然可以适应不断变化的安全威胁。例如万科现在使用的EDR产品就是SaaS化，每天都会及时更新威胁情报，避免因为情报滞后性而手忙脚乱。