(攻擊方式模型全景圖)
為了協(xié)助上云企業(yè)更好應(yīng)對(duì)當(dāng)前的核心安全問(wèn)題和未來(lái)云上安全風(fēng)險(xiǎn)的挑戰(zhàn),騰訊安全云鼎實(shí)驗(yàn)室在2019年10月聯(lián)合GeekPwn舉辦了全球首個(gè)基于真實(shí)云環(huán)境的云安全攻防挑戰(zhàn)賽;希望借助真實(shí)云環(huán)境下的安全攻防預(yù)演,為云安全積累、拓展更多攻防研究經(jīng)驗(yàn)和人才,助力產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展。
聚焦當(dāng)前上云安全“通病”,助力筑就云數(shù)據(jù)全周期安全防線
伴隨著企業(yè)上云趨勢(shì)的加速,數(shù)據(jù)作為企業(yè)核心資產(chǎn)之一,其安全也成為所有企業(yè)上云后的關(guān)注焦點(diǎn)?!秷?bào)告》指出,包括數(shù)據(jù)泄露、數(shù)據(jù)丟失以及隱私數(shù)據(jù)利用和泄露等三大威脅在內(nèi)的數(shù)據(jù)安全問(wèn)題已成為上云企業(yè)在產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代必須直面的挑戰(zhàn)。據(jù)Risk Based Security 統(tǒng)計(jì),僅2019年上半年世界范圍內(nèi)已經(jīng)發(fā)生了3813起數(shù)據(jù)泄露事件,被公開(kāi)數(shù)據(jù)高達(dá)41億條。騰訊安全情報(bào)數(shù)據(jù)顯示,“數(shù)據(jù)”、“身份證”、“密碼”等關(guān)于數(shù)據(jù)泄露的詞匯在暗網(wǎng)的熱詞分析中占比極大。
針對(duì)數(shù)據(jù)安全這一云服務(wù)商和租戶共同關(guān)注的焦點(diǎn)問(wèn)題,《報(bào)告》指出云服務(wù)商應(yīng)當(dāng)為客戶構(gòu)建貫穿數(shù)據(jù)產(chǎn)生、流動(dòng)、存儲(chǔ)、使用及銷毀等數(shù)據(jù)全生命周期的加密保護(hù)和身份認(rèn)證及訪問(wèn)控制體系。
基于騰訊云在業(yè)務(wù)實(shí)踐中沉淀的超500個(gè)業(yè)務(wù)場(chǎng)景所積累的黑灰產(chǎn)大數(shù)據(jù)樣本和每天數(shù)百P的數(shù)據(jù)運(yùn)算能力,推出了具體的解決方案——“云數(shù)據(jù)安全中臺(tái)”,打造端到端的云數(shù)據(jù)全生命周期安全體系,助力企業(yè)低成本、高效率地應(yīng)對(duì)云上數(shù)據(jù)安全的挑戰(zhàn)。
(數(shù)據(jù)中臺(tái)架構(gòu)全景圖)
立足微服務(wù)/Serverless等安全探索,持續(xù)延伸前沿安全觸角
除聚焦解決當(dāng)前企業(yè)上云面臨的安全挑戰(zhàn)外,對(duì)于前沿安全趨勢(shì)的觸達(dá)與研究也是騰訊云構(gòu)筑更安全的產(chǎn)業(yè)云的重要發(fā)力點(diǎn)。而《報(bào)告》中對(duì)微服務(wù)/Serverless等云計(jì)算新服務(wù)架構(gòu)安全性的探討與分析正是拓展騰訊云前沿安全觸角的又一實(shí)踐。
為滿足用戶對(duì)云計(jì)算便捷部署、靈活拓展、數(shù)據(jù)中心統(tǒng)一等需求,微服務(wù)和無(wú)服務(wù)器計(jì)算(serverless)應(yīng)勢(shì)而生?!拜p裝上陣”的背后也衍生出了微服務(wù)可利用攻擊面擴(kuò)大、Serverless特殊架構(gòu)層面風(fēng)險(xiǎn)等新的安全威脅。
鑒于此,騰訊云基于對(duì)兩大新型云服務(wù)架構(gòu)的探索與研究,在《報(bào)告》中指出,云服務(wù)提供商需要透過(guò)業(yè)務(wù)功能分析底層細(xì)節(jié)、總結(jié)安全場(chǎng)景,及時(shí)發(fā)現(xiàn)安全脆弱點(diǎn)并部署相應(yīng)防護(hù)策略。就微服務(wù)來(lái)說(shuō),云服務(wù)廠商應(yīng)在服務(wù)架構(gòu)之初就建立更具有前瞻性安全設(shè)計(jì)架構(gòu)和優(yōu)良穩(wěn)定的安全策略,確保其安全的原生性;而在Serverless架構(gòu)中,云服務(wù)提供商要更多地注重底層基礎(chǔ)設(shè)施和操作系統(tǒng)層面的安全,最大限度降低安全風(fēng)險(xiǎn)。
在“牽一發(fā)而動(dòng)全身”產(chǎn)業(yè)安全背景下,騰訊云立足微服務(wù)/Serverless等云計(jì)算應(yīng)用新秀安全策略的探索,是適應(yīng)未來(lái)云上服務(wù)發(fā)展趨勢(shì)的有益實(shí)踐,對(duì)打造更安全的云環(huán)境有巨大推動(dòng)作用。
搭建云全棧基礎(chǔ)設(shè)施,打造更安全的云
安全體系建設(shè)一直以來(lái)都是騰訊云服務(wù)發(fā)展戰(zhàn)略的核心之一。結(jié)合在云安全防護(hù)和建設(shè)方面的具體實(shí)踐,騰訊云安全團(tuán)隊(duì)?wèi){借自身深入產(chǎn)業(yè)互聯(lián)網(wǎng)實(shí)踐所積累的技術(shù)、人才與生態(tài)優(yōu)勢(shì),構(gòu)建出了一套覆蓋基礎(chǔ)設(shè)施、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)訪問(wèn)固件等五大層面的“全棧云安全基礎(chǔ)架構(gòu)體系”,圍繞“一個(gè)基礎(chǔ)底座、兩個(gè)中臺(tái)、一個(gè)中心”打造更安全是云平臺(tái)。
其中,“一個(gè)基礎(chǔ)底座”是指騰訊云的全?;A(chǔ)設(shè)施,未來(lái)會(huì)把騰訊云全球超過(guò)100萬(wàn)臺(tái)主機(jī)逐步從底層迭代全新的安全體系,從物理環(huán)境和基礎(chǔ)架構(gòu)、可信云網(wǎng)絡(luò)、可信硬件、操作系統(tǒng)直到租戶安全,從合規(guī)治理、運(yùn)維管理到供應(yīng)鏈安全,全方位的給云用戶提供一個(gè)安全的計(jì)算基礎(chǔ)。而兩個(gè)中臺(tái)則是指“云數(shù)據(jù)安全中臺(tái)”和“租戶安全運(yùn)營(yíng)中臺(tái)”?!霸茢?shù)據(jù)安全中臺(tái)”著重解決數(shù)據(jù)安全問(wèn)題,應(yīng)用高安全性硬件加密技術(shù)、多方安全計(jì)算、前沿的高性能?chē)?guó)產(chǎn)化密碼技術(shù),給用戶提供全生命周期數(shù)據(jù)安全服務(wù),有效保障用戶數(shù)據(jù)安全; “租戶安全運(yùn)營(yíng)中臺(tái)” 通過(guò)先進(jìn)的威脅情報(bào)、漏洞感知和安全大數(shù)據(jù)能力,實(shí)時(shí)的分析全云安全態(tài)勢(shì),為云用戶提供主動(dòng)地安全響應(yīng)服務(wù)。能夠在分鐘級(jí)發(fā)現(xiàn)全網(wǎng)新增的高危端口,小時(shí)級(jí)定位新出現(xiàn)的零日漏洞影響范圍,在日級(jí)以內(nèi)實(shí)現(xiàn)全網(wǎng)的安全漏洞處置。 “一個(gè)中心”是指云安全運(yùn)營(yíng)管理中心,能通過(guò)儀表盤(pán)、大屏、安全報(bào)表等,讓云上安全態(tài)勢(shì)可視可感知,以降低安全運(yùn)營(yíng)管理難度,提升安全運(yùn)營(yíng)效率。
未來(lái),騰訊云將繼續(xù)依托 “全網(wǎng)服務(wù)器總量超過(guò)100萬(wàn)臺(tái),帶寬峰值突破100T”雙百的規(guī)模里程碑的實(shí)踐經(jīng)驗(yàn),并聯(lián)合P17國(guó)內(nèi)安全上市企業(yè)俱樂(lè)部、FP50安全新銳力量俱樂(lè)部等生態(tài)伙伴力量,為云安全發(fā)展輸送更多技術(shù)和研究成果,護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)高速發(fā)展。