一级毛片福利影院_国产一区二区三区高清av_亚洲网友拍到精美视频_黄色网站在线看精品

首頁 > 科技資訊 > 正文

騰訊董志強(qiáng):基建、研發(fā)、安全——云安全前沿技術(shù)探索和實踐

        【每日科技網(wǎng)】

  產(chǎn)業(yè)互聯(lián)網(wǎng)飛速發(fā)展,各行各業(yè)加速“上云”,相應(yīng)的云上安全需求也正持續(xù)升溫。

  11月4日,2021騰訊數(shù)字生態(tài)大會·Techo Day技術(shù)峰會在武漢召開。Techo Day上,騰訊安全副總裁、騰訊安全云鼎實驗室負(fù)責(zé)人董志強(qiáng)帶來了《基建、研發(fā)、安全——騰訊云安全前沿技術(shù)探索和實踐》的主題演講,對數(shù)實融合時代下如何更好開展云上安全建設(shè)進(jìn)行了觀點與實踐經(jīng)驗分享。過去幾年,為了保障云的安全性,騰訊安全做了大量工作,以保障騰訊云平臺本身的安全性,并逐漸形成了一整套面向云原生的全棧安全產(chǎn)品體系,滿足云上租戶不同形態(tài)的安全防護(hù)需求。

  “騰訊云服務(wù)于百萬級別的行業(yè)客戶,小到幾十人的初創(chuàng)公司,大到幾萬人的大型企業(yè),很多客戶把核心的業(yè)務(wù)和數(shù)字資產(chǎn)放在騰訊上,我們要為這些業(yè)務(wù)和數(shù)字資產(chǎn)搭好安全防線。”騰訊安全副總裁、騰訊安全云鼎實驗室負(fù)責(zé)人董志強(qiáng)表示。

   以下為董志強(qiáng)演講實錄:

  數(shù)字化的重要性在今天幾乎不言而喻。對于企業(yè)而言,數(shù)字化是在當(dāng)下數(shù)字經(jīng)濟(jì)的環(huán)境中獲得高質(zhì)量發(fā)展、提高效能的必然選擇。數(shù)字化過程中,“上云”是關(guān)鍵步驟。

  越來越多企業(yè)將核心IT設(shè)施和工作負(fù)載遷移到云上,IDC的一個報告顯示,到2025年,50%的中國企業(yè)IT基礎(chǔ)設(shè)施支出將分配給公有云,四分之一的企業(yè)IT應(yīng)用將運(yùn)行在公有云服務(wù)上。“上云”是大勢所趨,但在客觀上也帶來了安全隱患,目前網(wǎng)絡(luò)攻擊手法日益APT化,云上安全防護(hù)也成為了整個行業(yè)共同關(guān)注的焦點。

  我們云鼎實驗室從成立以來就致力于云安全的研究,過去幾年我們也一直在承擔(dān)騰訊云底層安全工作的建設(shè),騰訊“930”架構(gòu)升級、投入產(chǎn)業(yè)互聯(lián)網(wǎng)之后,我們也通過騰訊云把積累多年的安全能力以SaaS服務(wù)的方式開放給行業(yè)。

  我們從自己的實踐角度,今天給大家分享三個方面的議題:

  首先,我們?nèi)绾伪U显票旧淼幕A(chǔ)設(shè)施安全。其次,我們?nèi)绾瓮ㄟ^云原生安全產(chǎn)品和服務(wù)體系,為云租戶提供安全保障。第三,我們?nèi)绾瓮ㄟ^云原生安全托管服務(wù),提升行業(yè)安全基線。

   一、云原生基礎(chǔ)設(shè)施安全

  首先是基礎(chǔ)設(shè)施層面。這里面包含了云的基礎(chǔ)設(shè)施本身安全、軟件生命周期安全、云平臺安全運(yùn)營能力和紅藍(lán)演練等幾個維度。

  騰訊云服務(wù)于百萬級別的行業(yè)客戶,從幾十人的初創(chuàng)企業(yè)到上市公司,各種規(guī)模都有,很多客戶把核心的業(yè)務(wù)和數(shù)字資產(chǎn)放在騰訊上,我們要為這些業(yè)務(wù)和數(shù)字資產(chǎn)搭好第一道防線。

  基礎(chǔ)設(shè)施安全是整個安全體系的基礎(chǔ),也是上層應(yīng)用安全、業(yè)務(wù)安全、數(shù)據(jù)安全的底座;A(chǔ)設(shè)施包括數(shù)據(jù)中心、服務(wù)器硬件、操作系統(tǒng)和應(yīng)用系統(tǒng),只有全棧安全才是立體的、全方位的安全,也是云平臺要達(dá)成的目標(biāo)。騰訊云從硬件設(shè)計階段開始,到租戶應(yīng)用系統(tǒng),在平臺的每一層都有大量安全技術(shù)的融入,并結(jié)合安全監(jiān)控,安全運(yùn)營確保云平臺基礎(chǔ)設(shè)置全棧防御、全棧監(jiān)控,從而實現(xiàn)全棧安全。

  在操作系統(tǒng)這層,我們內(nèi)置了大量的安全加固機(jī)制,比如0day自動防御,可以實現(xiàn)無補(bǔ)丁的抵御0day攻擊;在hypervisor這層,我們開發(fā)了HyperGuard,防范虛擬化逃逸漏洞攻擊,當(dāng)前已公布的逃逸類漏洞攻擊全部可以免疫。

  在云產(chǎn)品安全維度,我們基于騰訊云的研發(fā)運(yùn)維模式建立了DevSecOps模型并落地實踐,基于一站式DevOps平臺與流程,在項目協(xié)同、編碼、代碼管理與分析、自動化測試、等各個環(huán)節(jié)嵌入安全活動;通過自研的方式建立安全工具鏈,建立安全門禁,實現(xiàn)安全度量,從不同階段和維度收斂安全風(fēng)險,并實現(xiàn)部分場景的默認(rèn)安全,以此來實現(xiàn)騰訊云產(chǎn)品的出廠安全。

  今年的可信云大會上,信通院牽頭發(fā)布了一系列研發(fā)運(yùn)營安全工具標(biāo)準(zhǔn),我們也是也主要的起草單位之一。

  為了保障云平臺的安全,我們通過邊界控制、防御加固、加強(qiáng)檢測能力三方面來建設(shè)云平臺基礎(chǔ)安全能力,縮小云平臺的風(fēng)險攻擊面,減少云平臺的脆弱性。在云平臺基礎(chǔ)安全能力已經(jīng)具備的基礎(chǔ)上,為了提升安全運(yùn)營效率,實現(xiàn)自動安全閉環(huán),我們建設(shè)了安全運(yùn)營平臺。平臺集成了安全告警黑白灰分離、專家策略、機(jī)器學(xué)習(xí)、紅藍(lán)檢驗等能力,遵循PDCA的閉環(huán)原則,從數(shù)據(jù)接入、加固防御、安全檢測、告警處置等方面實現(xiàn)了“人+機(jī)+知識”協(xié)同交互的自動化,可視化的云平臺安全運(yùn)營管理。

  通過前面說的幾方面的的基礎(chǔ)建設(shè),騰訊云目前已經(jīng)具備了百萬級告警數(shù)據(jù)處理能力,通過持續(xù)跟蹤安全指標(biāo)并不斷改進(jìn),建立了豐富的規(guī)則庫,將平均MTTD降到了3小時以內(nèi),有效提升了云平臺安全運(yùn)營效率。截至目前,我們已經(jīng)接入600多個基礎(chǔ)設(shè)施審計日志,覆蓋300多萬資產(chǎn),在加固方面已經(jīng)適配30多種安全基線,漏洞修復(fù)率達(dá)到了99.9%;運(yùn)營和安全策略方面也有較好的效果。

  安全就是一個持續(xù)動態(tài)對抗的過程,實踐是檢驗安全性的標(biāo)準(zhǔn)。正如木桶原理,最短的木板是評估木桶品質(zhì)的標(biāo)準(zhǔn),安全最薄弱環(huán)節(jié)也是決定系統(tǒng)好壞的關(guān)鍵。

  對于騰訊云而言,不管是在安全體系建設(shè)初期還是完善之境,均需要一定的手段來測量最短木板的長短,紅藍(lán)對抗就是這樣一種測量方式。

  紅藍(lán)對抗演習(xí)是騰訊云安全體系建設(shè)的一個常態(tài)化工作,通過持續(xù)對抗演習(xí)來驗證整體安全防御情況,發(fā)現(xiàn)疏漏的風(fēng)險盲點與攻防場景,同時實現(xiàn)安全練兵與提升響應(yīng)效率,并進(jìn)一步提升騰訊云員工安全意識,從而實現(xiàn)整體安全體系的不斷完善與安全水位線的持續(xù)提升。

  二、云原生安全產(chǎn)品和服務(wù)

  底層安全只是第一層保障,到了應(yīng)用層面,對于不同行業(yè)、不同體量的企業(yè)來說,他需要的安全防護(hù)等級和內(nèi)容是不一樣的。騰訊過去也有海量的業(yè)務(wù)場景,我們把自己多年安全建設(shè)相關(guān)的經(jīng)驗進(jìn)行了產(chǎn)品化,并聯(lián)合我們的業(yè)務(wù)生態(tài)合作伙伴一起,為行業(yè)客戶打造了一套云原生的安全“自助餐”。

  我們從云原生安全、計算安全、應(yīng)用安全、數(shù)據(jù)安全、治理安全幾個維度,提供了一系列云上工具包。用戶可以根據(jù)自己的行業(yè)屬性,針對性進(jìn)行組合搭配。

  其中有一些產(chǎn)品和服務(wù)經(jīng)過規(guī);瘧(yīng)用,形成了自己的特色,我們在其中也沉淀了一些實踐經(jīng)驗。我挑了幾個比較有代表性的產(chǎn)品跟大家展開分享。

  首先是容器安全。騰訊安全具有多年云原生安全領(lǐng)域的研究和實踐運(yùn)營經(jīng)驗,同時結(jié)合騰訊云容器平臺TKE千萬級核心規(guī)模容器集群治理經(jīng)驗,設(shè)計落地騰訊云原生容器安全體系。

  騰訊云原生容器安全體系基于安全能力原生化、安全防護(hù)全生命周期、安全左移和零信任安全架構(gòu)設(shè)計原則,實現(xiàn)從基礎(chǔ)設(shè)施、容器平臺、應(yīng)用、DevSecOps、安全管理的完整安全防護(hù)方案。

  確保用戶實現(xiàn)容器業(yè)務(wù)上線即安全的目標(biāo),面向容器業(yè)務(wù)從構(gòu)建部署到運(yùn)行時,容器安全服務(wù)可以提供完整的全生命周期安全防護(hù),更好地助力用戶安全的實現(xiàn)云原生轉(zhuǎn)型,享受云原生帶來的紅利我們也把一些容器安全相關(guān)的經(jīng)驗和方法沉淀下來。最近,騰訊安全云鼎實驗室聯(lián)合騰訊云容器團(tuán)隊共同撰寫并發(fā)布了《騰訊云容器安全白皮書》。白皮書介紹了騰訊云在容器安全建設(shè)上的思路、方案以及實踐,并希望以這樣的方式,把我們的一些心得分享給業(yè)界,共同推動云原生安全的發(fā)展。

    第二個要分享的是騰訊的云防火墻。

  傳統(tǒng)防火墻產(chǎn)品通常只能通過CVM鏡像方式在云環(huán)境下部署,客戶采用這類方案,通常有3個痛點:

  1、實施部署比較麻煩;

  2、性能受限于承載安全鏡像的CVM,無法應(yīng)對業(yè)務(wù)流量的突發(fā)需求;

  3、需要進(jìn)行負(fù)責(zé)的HA雙機(jī)熱備部署。

  而云原生的防火墻,利用了云的優(yōu)勢,即開即用,分鐘級即可完成部署,同時還可實現(xiàn)彈性的擴(kuò)展,也無需客戶關(guān)注復(fù)雜的雙機(jī)HA部署,天然內(nèi)置高可靠。

  此外,騰訊云防火墻也提供了很多獨有的原生安全能力,比如一鍵互聯(lián)網(wǎng)資產(chǎn)暴露面分析全網(wǎng)的威脅情報聯(lián)動,小時級別的網(wǎng)絡(luò)虛擬補(bǔ)丁技術(shù),讓云防火墻成為云上流量的安全中心。

  在戰(zhàn)爭中,情報是核心生產(chǎn)力。威脅情報的出現(xiàn)推動了傳統(tǒng)事件響應(yīng)式的安全思維向全生命周期的持續(xù)智能響應(yīng)轉(zhuǎn)變借助威脅情報,企業(yè)能從網(wǎng)絡(luò)安全設(shè)備的海量告警中解脫出來,以更加智能的方式掌握網(wǎng)絡(luò)安全事件、重大漏洞、攻擊手段等信息,并在第一時間采取預(yù)警和應(yīng)急響應(yīng)等工作。

  騰訊擁有全球的威脅情報庫、黑產(chǎn)知識圖譜,我們有安全實驗室和安全人才的加持,我們的情報質(zhì)量在客戶環(huán)境和實驗室檢測中,結(jié)果都經(jīng)過驗證的。

  最近幾年,零信任是安全行業(yè)的“風(fēng)口”。騰訊是國內(nèi)最早踐行零信任的企業(yè),去年疫情突然爆發(fā)的時候,我們IT部門只用了幾天時間就把7萬多員工全量切換成了基于零信任架構(gòu)的遠(yuǎn)程辦公模式。

  在我們自己實踐之后,也對外輸出了行業(yè)解決方案,也就是騰訊iOA,目前我們已經(jīng)推出了SaaS版的服務(wù)。

  它是一款基于零信任架構(gòu)的應(yīng)用安全訪問云平臺,為企業(yè)提供安全接入數(shù)據(jù)中心的解決方案,企業(yè)客戶通過iOA云控制臺實現(xiàn)對數(shù)據(jù)中心訪問權(quán)限管理和終端安全管控。

  iOA SaaS版提供輕量級客戶端或者無端版本,管理后臺全部部署在騰訊云上,通過連接器即可實現(xiàn)iOA和企業(yè)數(shù)據(jù)中心的連接,部署非常方便。

  騰訊iOA SaaS版的客戶目前已覆蓋多個行業(yè),例如高校,他們比較典型的場景是內(nèi)網(wǎng)的一些應(yīng)用發(fā)布到外網(wǎng)不受保護(hù),安全隱患很高,通過iOA SaaS方案實現(xiàn)了通過企微工作臺快捷、安全的訪問內(nèi)部應(yīng)用。管理員還可以進(jìn)行訪問權(quán)限的管控,禁止惡意/無權(quán)的訪問。

  再例如我們服務(wù)的一家國際比較知名的酒店,企業(yè)內(nèi)部系統(tǒng)運(yùn)行歷史悠久,部署在內(nèi)網(wǎng)且以單一帳號認(rèn)證,爆破風(fēng)險較高。iOA SaaS就為它提供了雙因子認(rèn)證的保護(hù),幫助它進(jìn)行內(nèi)網(wǎng)應(yīng)用快速遷移上云。

  《數(shù)據(jù)安全法》正式實施了,企業(yè)用戶對于數(shù)據(jù)安全方面的訴求也迅猛增長,要在短時間內(nèi)完成數(shù)據(jù)安全合規(guī)要求,傳統(tǒng)的私有化部署可能面臨需要大幅度的系統(tǒng)改造以及性能損耗的問題。

  我們結(jié)合云上數(shù)據(jù)安全防護(hù)經(jīng)驗,推出了云原生的數(shù)據(jù)安全解決方案,以云加密機(jī)為計算資源的底座,為用戶和上層產(chǎn)品提供硬件級合規(guī)的密碼計算資源,以KMS&SSM為云平臺的密碼基礎(chǔ)設(shè)施,提供硬件級合規(guī)安全的密鑰和憑據(jù)管理平臺,通過云產(chǎn)品和KMS的無縫集成,為用戶提供各類云產(chǎn)品的透明加密能力。

  通過云訪問安全代理CASB,可以在業(yè)務(wù)免改造的前提下,實現(xiàn)數(shù)據(jù)字段級加密、脫敏和數(shù)據(jù)分類分級等。云原生的數(shù)據(jù)安全方案為用戶提供了更輕、更快更新的一站式數(shù)據(jù)安全能力。

  目前,數(shù)據(jù)安全在各個行業(yè)都有廣泛的應(yīng)用,以某地的抗疫小程序為例,通過接入數(shù)據(jù)安全中臺,快速實現(xiàn)了對2億條國民敏感數(shù)據(jù)的安全保護(hù),解決了數(shù)據(jù)加密改造難的問題,讓業(yè)務(wù)方在應(yīng)用免改造的情況下通過策略配置快速實現(xiàn)敏感字段的加密和脫敏。

  數(shù)據(jù)加密的密鑰通過騰訊KMS安全托管在硬件加密機(jī),在解決數(shù)據(jù)安全的同時滿足合規(guī)的要求。的優(yōu)勢就在于有效的降低了數(shù)據(jù)安全的接入門檻,讓即使對數(shù)據(jù)安全技術(shù)不是太了解的團(tuán)隊也能夠快速實現(xiàn)數(shù)據(jù)安全保護(hù)。

  一個好的安全防御體系需要一個指揮中樞,安全運(yùn)營中心就承擔(dān)了指揮中心的作用。

  騰訊云原生安全運(yùn)營中心沿用經(jīng)典自適應(yīng)安全體系設(shè)計;多源數(shù)據(jù)的融合匯聚,包括自主可控的流量、端、云上數(shù)據(jù)采集,也支持開放的第三方數(shù)據(jù)采集;檢測方面,依賴關(guān)聯(lián)引擎、情報分析引擎及UEBA引擎能力,對內(nèi)外威脅進(jìn)行分析,可聯(lián)動自動編排響應(yīng)引擎。

  云原生安全運(yùn)營中心具備五大特點:1、支持多角色、多租戶的組織架構(gòu)。2、適配云上及云下多業(yè)務(wù)環(huán)境。3、從實戰(zhàn)中歷練,多種檢測手段與分析技術(shù),流量側(cè)與端側(cè)的數(shù)據(jù)貫通分析。4、充分利用騰訊在可視化方面的積累,娛樂級的可視效果。5、從實戰(zhàn)中歷練,可靠的安全運(yùn)營服務(wù)。

  在云原生的框架下,我們前面提及的各種云安全產(chǎn)品各司其職,由安全運(yùn)營中心統(tǒng)一調(diào)度,原廠、原裝的強(qiáng)大產(chǎn)品體系,為企業(yè)用戶提供一套堅實的安全防護(hù)網(wǎng)。

    三、云原生安全托管服務(wù)

  我們前段時間剛剛正式發(fā)布了安全托管服務(wù)MSS,這是我們過去幾年工作內(nèi)容的一個產(chǎn)品化成果,它可能代表了安全行業(yè)的一個發(fā)展趨勢,即安全建設(shè)正在從傳統(tǒng)的產(chǎn)品驅(qū)動轉(zhuǎn)向服務(wù)驅(qū)動轉(zhuǎn)變。

  我們和各行業(yè)客戶交流過程中,發(fā)現(xiàn)很多用戶上云后,在安全運(yùn)營方面都面臨著如下問題:

  安全產(chǎn)品告警劇增,導(dǎo)致運(yùn)營處置成本增加;2、企業(yè)業(yè)務(wù)增速增加,安全建設(shè)人力有些跟不上;3、安全自動化程度不足,導(dǎo)致運(yùn)營效率偏低。

  針對這些問題,騰訊云從內(nèi)外部產(chǎn)品研發(fā)、服務(wù)交付以及服務(wù)運(yùn)營等多個環(huán)節(jié)進(jìn)行安全流程設(shè)計和能力沉淀,構(gòu)建了全鏈條的端到端的安全服務(wù)體系。

  其中,針對客戶上云后面臨的安全運(yùn)營方面的典型痛點和問題,我們推出了MSS安全托管服務(wù)。

  騰訊云的安全托管服務(wù)MSS主要對云上各類租戶的安全實踐場景進(jìn)行沉淀,通過自研的安全編排和自動化響應(yīng)系統(tǒng),結(jié)合騰訊安全情報、全網(wǎng)攻擊數(shù)據(jù),提升云上攻防對抗能力,實現(xiàn)安全服務(wù)的標(biāo)準(zhǔn)化和高效化。

  目前托管的服務(wù)品類包括2大類和十幾項安全服務(wù)內(nèi)容,分別面向日常安全運(yùn)營場景及重大活動護(hù)航場景。

  這是一個我們上半年服務(wù)的某政企客戶攻防演練案例。當(dāng)時,客戶所有系統(tǒng)均放在不同公有云廠商,內(nèi)部無專職安全團(tuán)隊,只有研發(fā)團(tuán)隊,業(yè)務(wù)需求緊迫,部分測試環(huán)境無法關(guān)閉,涉及業(yè)務(wù)種類繁多,同時之前還在攻防演練開始的第被攻破,在新的攻防演練活動背景下,找到我們,希望幫忙開展服務(wù)保障。

  最終通過MSS服務(wù)人員對現(xiàn)狀進(jìn)行為期一周的梳理和推動修復(fù)、以及攻防開始后的實時監(jiān)控和攔截防護(hù),最終順利防守住了攻擊。

  在前幾個月剛結(jié)束不久的大型攻防演練項目中,騰訊MSS服務(wù)的灰度接入了部分云上重點用戶,最終均順利支撐這些服務(wù)目前累計支撐了幾十家用戶的大型攻防演練保障及日常運(yùn)全運(yùn)營,支撐的服務(wù)器規(guī)模達(dá)數(shù)萬臺。

  我們在云服務(wù)托管上的能力也得到了國際研報的認(rèn)證。頭豹研究院聯(lián)合Frost &Sullivan發(fā)布《2021年中國安全托管市場報告》,從風(fēng)險趨勢、供應(yīng)商能力、市場前景和技術(shù)趨勢等多個維度,對國內(nèi)安全托管市場做了全面的調(diào)研與分析。

  基于基礎(chǔ)指數(shù)、成長指數(shù)、服務(wù)能力、市場影響力四個維度計算,沙利文認(rèn)為中國安全托管市場競爭力梯隊已經(jīng)成型,騰訊云在其中居于行業(yè)地位。

  不管騰訊云自身的安全保障還是服務(wù)客戶的過程中,我們發(fā)現(xiàn),安全行業(yè)面臨非常大資源缺口、人力缺口。面對這么多的制約,怎么解決這個問題?

  全靠人驅(qū)動是不現(xiàn)實的,第一,沒有這么多專業(yè)人力,第二,即使有足夠多的安全專家,但人是會懈怠的、會疏忽的。

  結(jié)合過去三年落在騰訊云自身的安全管理的基本路線,我們認(rèn)為,只有把盡可能多的安全能力以云原生的方式納入云平臺自身的能力,才能比較好的應(yīng)對當(dāng)今數(shù)字經(jīng)濟(jì)全面發(fā)展過程中的安全風(fēng)險。

免責(zé)聲明:本文僅代表作者個人觀點,與每日科技網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。

本網(wǎng)站有部分內(nèi)容均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負(fù)責(zé),若因作品內(nèi)容、知識產(chǎn)權(quán)、版權(quán)和其他問題,請及時提供相關(guān)證明等材料并與我們聯(lián)系,本網(wǎng)站將在規(guī)定時間內(nèi)給予刪除等相關(guān)處理.