産業網際網路飛速發展,各行各業加速“上雲”,相應的雲上安全需求也正持續升溫。
11月4日,2021騰訊數字生态大會·Techo Day技術峰會在武漢召開。Techo Day上,騰訊安全副總裁、騰訊安全雲鼎實驗室負責人董志強帶來了《基建、研發、安全——騰訊雲安全前沿技術探索和實踐》的主題演講,對數實融合時代下如何更好開展雲上安全建設進行了觀點與實踐經驗分享。過去幾年,為了保障雲的安全性,騰訊安全做了大量工作,以保障騰訊雲平台本身的安全性,并逐漸形成了一整套面向雲原生的全棧安全産品體系,滿足雲上租戶不同形态的安全防護需求。
“騰訊雲服務于百萬級别的行業客戶,小到幾十人的初創公司,大到幾萬人的大型企業,很多客戶把核心的業務和數字資産放在騰訊上,我們要為這些業務和數字資産搭好安全防線。”騰訊安全副總裁、騰訊安全雲鼎實驗室負責人董志強表示。
以下為董志強演講實錄:
數字化的重要性在今天幾乎不言而喻。對于企業而言,數字化是在當下數字經濟的環境中獲得高品質發展、提高效能的必然選擇。數字化過程中,“上雲”是關鍵步驟。
越來越多企業将核心IT設施和工作負載遷移到雲上,IDC的一個報告顯示,到2025年,50%的中國企業IT基礎設施支出将配置設定給公有雲,四分之一的企業IT應用将運作在公有雲服務上。“上雲”是大勢所趨,但在客觀上也帶來了安全隐患,目前網絡攻擊手法日益APT化,雲上安全防護也成為了整個行業共同關注的焦點。
我們雲鼎實驗室從成立以來就緻力于雲安全的研究,過去幾年我們也一直在承擔騰訊雲底層安全工作的建設,騰訊“930”架構更新、投入産業網際網路之後,我們也通過騰訊雲把積累多年的安全能力以SaaS服務的方式開放給行業。
我們從自己的實踐角度,今天給大家分享三個方面的議題:
- 首先,我們如何保障雲本身的基礎設施安全。
- 其次,我們如何通過雲原生安全産品和服務體系,為雲租戶提供安全保障。
- 第三,我們如何通過雲原生安全托管服務,提升行業安全基線。
一、 雲原生基礎設施安全
首先是基礎設施層面。這裡面包含了雲的基礎設施本身安全、軟體生命周期安全、雲平台安全營運能力和紅藍演練等幾個次元。
騰訊雲服務于百萬級别的行業客戶,從幾十人的初創企業到上市公司,各種規模都有,很多客戶把核心的業務和數字資産放在騰訊上,我們要為這些業務和數字資産搭好第一道防線。
基礎設施安全是整個安全體系的基礎,也是上層應用安全、業務安全、資料安全的底座。基礎設施包括資料中心、伺服器硬體、作業系統和應用系統,隻有全棧安全才是立體的、全方位的安全,也是雲平台要達成的目标。騰訊雲從硬體設計階段開始,到租戶應用系統,在平台的每一層都有大量安全技術的融入,并結合安全監控,安全營運確定雲平台基礎設定全棧防禦、全棧監控,進而實作全棧安全。
在作業系統這層,我們内置了大量的安全加強機制,比如0day自動防禦,可以實作無更新檔的抵禦0day攻擊;在hypervisor這層,我們開發了HyperGuard,防範虛拟化逃逸漏洞攻擊,目前已公布的逃逸類漏洞攻擊全部可以免疫。
在雲産品安全次元,我們基于騰訊雲的研發運維模式建立了DevSecOps模型并落地實踐,基于一站式DevOps平台與流程,在項目協同、編碼、代碼管理與分析、自動化測試、等各個環節嵌入安全活動;通過自研的方式建立安全工具鍊,建立安全門禁,實作安全度量,從不同階段和次元收斂安全風險,并實作部分場景的預設安全,以此來實作騰訊雲産品的出廠安全。
今年的可信雲大會上,信通院牽頭釋出了一系列研發營運安全工具标準,我們也是也主要的起草機關之一。
為了保障雲平台的安全,我們通過邊界控制、防禦加強、加強檢測能力三方面來建設雲平台基礎安全能力,縮小雲平台的風險攻擊面,減少雲平台的脆弱性。在雲平台基礎安全能力已經具備的基礎上,為了提升安全營運效率,實作自動安全閉環,我們建設了安全營運平台。平台內建了安全告警黑白灰分離、專家政策、機器學習、紅藍檢驗等能力,遵循PDCA的閉環原則,從資料接入、加強防禦、安全檢測、告警處置等方面實作了“人+機+知識”協同互動的自動化,可視化的雲平台安全營運管理。
通過前面說的幾方面的的基礎建設,騰訊雲目前已經具備了百萬級告警資料處理能力,通過持續跟蹤安全名額并不斷改進,建立了豐富的規則庫,将平均MTTD降到了3小時以内,有效提升了雲平台安全營運效率。截至目前,我們已經接入600多個基礎設施審計日志,覆寫300多萬資産,在加強方面已經适配30多種安全基線,漏洞修複率達到了99.9%;營運和安全政策方面也有較好的效果。
安全就是一個持續動态對抗的過程,實踐是檢驗安全性的最好标準。正如木桶原理,最短的木闆是評估木桶品質的标準,安全最薄弱環節也是決定系統好壞的關鍵。
對于騰訊雲而言,不管是在安全體系建設初期還是完善之境,均需要一定的手段來測量最短木闆的長短,紅藍對抗就是這樣一種測量方式。
紅藍對抗演習是騰訊雲安全體系建設的一個常态化工作,通過持續對抗演習來驗證整體安全防禦情況,發現疏漏的風險盲點與攻防場景,同時實作安全練兵與提升響應效率,并進一步提升騰訊雲員工安全意識,進而實作整體安全體系的不斷完善與安全水位線的持續提升。
二、雲原生安全産品和服務
底層安全隻是第一層保障,到了應用層面,對于不同行業、不同體量的企業來說,他需要的安全防護等級和内容是不一樣的。騰訊過去也有海量的業務場景,我們把自己多年安全建設相關的經驗進行了産品化,并聯合我們的業務生态合作夥伴一起,為行業客戶打造了一套雲原生的安全“自助餐”。
我們從雲原生安全、計算安全、應用安全、資料安全、治理安全幾個次元,提供了一系列雲上工具包。使用者可以根據自己的行業屬性,針對性進行組合搭配。
其中有一些産品和服務經過規模化應用,形成了自己的特色,我們在其中也沉澱了一些實踐經驗。我挑了幾個比較有代表性的産品跟大家展開分享。
首先是容器安全。騰訊安全具有多年雲原生安全領域的研究和實踐營運經驗,同時結合騰訊雲容器平台TKE千萬級核心規模容器叢集治理經驗,設計落地騰訊雲原生容器安全體系。
騰訊雲原生容器安全體系基于安全能力原生化、安全防護全生命周期、安全左移和零信任安全架構設計原則,實作從基礎設施、容器平台、應用、DevSecOps、安全管理的完整安全防護方案。
確定使用者實作容器業務上線即安全的目标,面向容器業務從建構部署到運作時,容器安全服務可以提供完整的全生命周期安全防護,更好地助力使用者安全的實作雲原生轉型,享受雲原生帶來的紅利我們也把一些容器安全相關的經驗和方法沉澱下來。最近,騰訊安全雲鼎實驗室聯合騰訊雲容器團隊共同撰寫并釋出了《騰訊雲容器安全白皮書》。白皮書介紹了騰訊雲在容器安全建設上的思路、方案以及實踐,并希望以這樣的方式,把我們的一些心得分享給業界,共同推動雲原生安全的發展。
第二個要分享的是騰訊的雲防火牆。
傳統防火牆産品通常隻能通過CVM鏡像方式在雲環境下部署,客戶采用這類方案,通常有3個痛點:
1、實施部署比較麻煩。
2、性能受限于承載安全鏡像的CVM,無法應對業務流量的突發需求。
3、需要進行負責的HA雙機熱備部署。
而雲原生的防火牆,利用了雲的優勢,即開即用,分鐘級即可完成部署,同時還可實作彈性的擴充,也無需客戶關注複雜的雙機HA部署,天然内置高可靠。
此外,騰訊雲防火牆也提供了很多獨有的原生安全能力,比如一鍵網際網路資産暴露面分析全網的威脅情報關聯,小時級别的網絡虛拟更新檔技術,讓雲防火牆成為雲上流量的安全中心。
在戰争中,情報是核心生産力。威脅情報的出現推動了傳統事件響應式的安全思維向全生命周期的持續智能響應轉變借助威脅情報,企業能從網絡安全裝置的海量告警中解脫出來,以更加智能的方式掌握網絡安全事件、重大漏洞、攻擊手段等資訊,并在第一時間采取預警和應急響應等工作。
騰訊擁有全球最大的威脅情報庫、黑産知識圖譜,我們有頂級安全實驗室和安全人才的加持,我們的情報品質在客戶環境和實驗室檢測中,結果都經過驗證的。
最近幾年,零信任是安全行業的“風口”。騰訊是國内最早踐行零信任的企業,去年疫情突然爆發的時候,我們IT部門隻用了幾天時間就把7萬多員工全量切換成了基于零信任架構的遠端辦公模式。
在我們自己實踐之後,也對外輸出了行業解決方案,也就是騰訊iOA,目前我們已經推出了SaaS版的服務。
它是一款基于零信任架構的應用安全通路雲平台,為企業提供安全接入資料中心的解決方案,企業客戶通過iOA雲控制台實作對資料中心通路權限管理和終端安全管控。
iOA SaaS版提供輕量級用戶端或者無端版本,管理背景全部部署在騰訊雲上,通過連接配接器即可實作iOA和企業資料中心的連接配接,部署非常友善。
騰訊iOA SaaS版的客戶目前已覆寫多個行業,例如高校,他們比較典型的場景是内網的一些應用釋出到外網不受保護,安全隐患很高,通過iOA SaaS方案實作了通過企微工作台快捷、安全的通路内部應用。管理者還可以進行通路權限的管控,禁止惡意/無權的通路。
再例如我們服務的一家國際比較知名的酒店,企業内部系統運作曆史悠久,部署在内網且以單一帳号認證,爆破風險較高。iOA SaaS就為它提供了雙因子認證的保護,幫助它進行内網應用快速遷移上雲。
《資料安全法》正式實施了,企業使用者對于資料安全方面的訴求也迅猛增長,要在短時間内完成資料安全合規要求,傳統的私有化部署可能面臨需要大幅度的系統改造以及性能損耗的問題。
我們結合雲上資料安全防護經驗,推出了雲原生的資料安全解決方案,以雲加密機為計算資源的底座,為使用者和上層産品提供硬體級合規的密碼計算資源,以KMS&SSM為雲平台的密碼基礎設施,提供硬體級合規安全的密鑰和憑據管理平台,通過雲産品和KMS的無縫內建,為使用者提供各類雲産品的透明加密能力。
通過雲通路安全代理CASB,可以在業務免改造的前提下,實作資料字段級加密、脫敏和資料分類分級等。雲原生的資料安全方案為使用者提供了更輕、更快更新的一站式資料安全能力。
目前,資料安全在各個行業都有廣泛的應用,以某地的抗疫小程式為例,通過接入資料安全中台,快速實作了對2億條國民敏感資料的安全保護,解決了資料加密改造難的問題,讓業務方在應用免改造的情況下通過政策配置快速實作敏感字段的加密和脫敏。
資料加密的密鑰通過騰訊KMS安全托管在硬體加密機,在解決資料安全的同時滿足合規的要求。最大的優勢就在于有效的降低了資料安全的接入門檻,讓即使對資料安全技術不是太了解的團隊也能夠快速實作資料安全保護。
一個好的安全防禦體系需要一個指揮中樞,安全營運中心就承擔了指揮中心的作用。
騰訊雲原生安全營運中心沿用經典自适應安全體系設計;多源資料的融合彙聚,包括自主可控的流量、端、雲上資料采集,也支援開放的第三方資料采集;檢測方面,依賴關聯引擎、情報分析引擎及UEBA引擎能力,對内外威脅進行分析,可關聯自動編排響應引擎。
雲原生安全營運中心具備五大特點:
1、支援多角色、多租戶的組織架構。
2、适配雲上及雲下多業務環境。
3、從實戰中曆練,多種檢測手段與分析技術,流量側與端側的資料貫通分析。
4、充分利用騰訊在可視化方面的積累,娛樂級的可視效果。
5、從實戰中曆練,可靠的安全營運服務。
在雲原生的架構下,我們前面提及的各種雲安全産品各司其職,由安全營運中心統一排程,原廠、原裝的強大産品體系,為企業使用者提供一套堅實的安全防護網。
三、雲原生安全托管服務
我們前段時間剛剛正式釋出了安全托管服務MSS,這是我們過去幾年工作内容的一個産品化成果,它可能代表了安全行業的一個發展趨勢,即安全建設正在從傳統的産品驅動轉向服務驅動轉變。
我們和各行業客戶交流過程中,發現很多使用者上雲後,在安全營運方面都面臨着如下問題:
1、安全産品告警劇增,導緻營運處置成本增加;
2、企業業務增速增加,安全建設人力有些跟不上;
3、安全自動化程度不足,導緻營運效率偏低。
針對這些問題,騰訊雲從内外部産品研發、服務傳遞以及服務營運等多個環節進行安全流程設計和能力沉澱,建構了全鍊條的端到端的安全服務體系。
其中,針對客戶上雲後面臨的安全營運方面的典型痛點和問題,我們推出了MSS安全托管服務。
騰訊雲的安全托管服務MSS主要對雲上各類租戶的最佳安全實踐場景進行沉澱,通過自研的安全編排和自動化響應系統,結合騰訊安全情報、全網攻擊資料,提升雲上攻防對抗能力,實作安全服務的标準化和高效化。
目前托管的服務品類包括2大類和十幾項安全服務内容,分别面向日常安全營運場景及重大活動護航場景。
這是一個我們上半年服務的某政企客戶攻防演練案例。當時,客戶所有系統均放在不同公有雲廠商,内部無專職安全團隊,隻有研發團隊,業務需求緊迫,部分測試環境無法關閉,涉及業務種類繁多,同時之前還在攻防演練開始的第一天被攻破,在新的攻防演練活動背景下,找到我們,希望幫忙開展服務保障。
最終通過MSS服務人員對現狀進行為期一周的梳理和推動修複、以及攻防開始後的實時監控和攔截防護,最終順利防守住了攻擊。
在前幾個月剛結束不久的大型攻防演練項目中,騰訊MSS服務的灰階接入了部分雲上重點使用者,最終均順利支撐這些服務目前累計支撐了幾十家使用者的大型攻防演練保障及日常營運,支撐的伺服器規模達數萬台。
我們在雲服務托管上的能力也得到了國際研報的認證。頭豹研究院聯合Frost &Sullivan釋出最新《2021年中國安全托管市場報告》,從風險趨勢、供應商能力、市場前景和技術趨勢等多個次元,對國内安全托管市場做了全面的調研與分析。
基于基礎指數、成長指數、服務能力、市場影響力四個次元計算,沙利文認為中國安全托管市場競争力梯隊已經成型,騰訊雲在其中居于行業上司者地位。
不管騰訊雲自身的安全保障還是服務客戶的過程中,我們發現,安全行業面臨非常大資源缺口、人力缺口。面對這麼多的制約,怎麼解決這個問題?
全靠人驅動是不現實的,第一,沒有這麼多專業人力,第二,即使有足夠多的安全專家,但人是會懈怠的、會疏忽的。
結合過去三年落在騰訊雲自身的安全管理的基本路線,我們認為,隻有把盡可能多的安全能力以雲原生的方式納入雲平台自身的能力,才能比較好的應對當今數字經濟全面發展過程中的安全風險。
END
更多精彩内容點選下方掃碼關注哦~
雲鼎實驗室視訊号
一分鐘走進趣味科技
-掃碼關注我們-
關注雲鼎實驗室,擷取更多安全情報