亚洲熟悉妇女XXX妇女AV,亚洲午夜无码毛片av久久久久久 ,国模吧无码一区二区三区

產業(yè)互聯(lián)網飛速發(fā)展相應的云上安全需求也正持續(xù)升溫

2021-11-05 15:28:15 來源：大京網

產業(yè)互聯(lián)網飛速發(fā)展，各行各業(yè)加速“上云”，相應的云上安全需求也正持續(xù)升溫。

11月4日，2021騰訊數字生態(tài)大會·Techo Day技術峰會在武漢召開。Techo Day上，騰訊安全副總裁、騰訊安全云鼎實驗室負責人董志強帶來了《基建、研發(fā)、安全——騰訊云安全前沿技術探索和實踐》的主題演講，對數實融合時代下如何更好開展云上安全建設進行了觀點與實踐經驗分享。過去幾年，為了保障云的安全性，騰訊安全做了大量工作，以保障騰訊云平臺本身的安全性，并逐漸形成了一整套面向云原生的全棧安全產品體系，滿足云上租戶不同形態(tài)的安全防護需求。

“騰訊云服務于百萬級別的行業(yè)客戶，小到幾十人的初創(chuàng)公司，大到幾萬人的大型企業(yè)，很多客戶把核心的業(yè)務和數字資產放在騰訊上，我們要為這些業(yè)務和數字資產搭好安全防線。”騰訊安全副總裁、騰訊安全云鼎實驗室負責人董志強表示。

以下為董志強演講實錄：

數字化的重要性在今天幾乎不言而喻。對于企業(yè)而言，數字化是在當下數字經濟的環(huán)境中獲得高質量發(fā)展、提高效能的必然選擇。數字化過程中，“上云”是關鍵步驟。

越來越多企業(yè)將核心IT設施和工作負載遷移到云上，IDC的一個報告顯示，到2025年，50%的中國企業(yè)IT基礎設施支出將分配給公有云，四分之一的企業(yè)IT應用將運行在公有云服務上。“上云”是大勢所趨，但在客觀上也帶來了安全隱患，目前網絡攻擊手法日益APT化，云上安全防護也成為了整個行業(yè)共同關注的焦點。

我們云鼎實驗室從成立以來就致力于云安全的研究，過去幾年我們也一直在承擔騰訊云底層安全工作的建設，騰訊“930”架構升級、投入產業(yè)互聯(lián)網之后，我們也通過騰訊云把積累多年的安全能力以SaaS服務的方式開放給行業(yè)。

我們從自己的實踐角度，今天給大家分享三個方面的議題：

首先，我們如何保障云本身的基礎設施安全。其次，我們如何通過云原生安全產品和服務體系，為云租戶提供安全保障。第三，我們如何通過云原生安全托管服務，提升行業(yè)安全基線。

一、云原生基礎設施安全

首先是基礎設施層面。這里面包含了云的基礎設施本身安全、軟件生命周期安全、云平臺安全運營能力和紅藍演練等幾個維度。

騰訊云服務于百萬級別的行業(yè)客戶，從幾十人的初創(chuàng)企業(yè)到上市公司，各種規(guī)模都有，很多客戶把核心的業(yè)務和數字資產放在騰訊上，我們要為這些業(yè)務和數字資產搭好第一道防線。

基礎設施安全是整個安全體系的基礎，也是上層應用安全、業(yè)務安全、數據安全的底座。基礎設施包括數據中心、服務器硬件、操作系統(tǒng)和應用系統(tǒng)，只有全棧安全才是立體的、全方位的安全，也是云平臺要達成的目標。騰訊云從硬件設計階段開始，到租戶應用系統(tǒng)，在平臺的每一層都有大量安全技術的融入，并結合安全監(jiān)控，安全運營確保云平臺基礎設置全棧防御、全棧監(jiān)控，從而實現全棧安全。

在操作系統(tǒng)這層，我們內置了大量的安全加固機制，比如0day自動防御，可以實現無補丁的抵御0day攻擊；在hypervisor這層，我們開發(fā)了HyperGuard，防范虛擬化逃逸漏洞攻擊，當前已公布的逃逸類漏洞攻擊全部可以免疫。

在云產品安全維度，我們基于騰訊云的研發(fā)運維模式建立了DevSecOps模型并落地實踐，基于一站式DevOps平臺與流程，在項目協(xié)同、編碼、代碼管理與分析、自動化測試、等各個環(huán)節(jié)嵌入安全活動；通過自研的方式建立安全工具鏈，建立安全門禁，實現安全度量，從不同階段和維度收斂安全風險，并實現部分場景的默認安全，以此來實現騰訊云產品的出廠安全。

今年的可信云大會上，信通院牽頭發(fā)布了一系列研發(fā)運營安全工具標準，我們也是也主要的起草單位之一。

為了保障云平臺的安全，我們通過邊界控制、防御加固、加強檢測能力三方面來建設云平臺基礎安全能力，縮小云平臺的風險攻擊面，減少云平臺的脆弱性。在云平臺基礎安全能力已經具備的基礎上，為了提升安全運營效率，實現自動安全閉環(huán)，我們建設了安全運營平臺。平臺集成了安全告警黑白灰分離、專家策略、機器學習、紅藍檢驗等能力，遵循PDCA的閉環(huán)原則，從數據接入、加固防御、安全檢測、告警處置等方面實現了“人+機+知識”協(xié)同交互的自動化，可視化的云平臺安全運營管理。

通過前面說的幾方面的的基礎建設，騰訊云目前已經具備了百萬級告警數據處理能力，通過持續(xù)跟蹤安全指標并不斷改進，建立了豐富的規(guī)則庫，將平均MTTD降到了3小時以內，有效提升了云平臺安全運營效率。截至目前，我們已經接入600多個基礎設施審計日志，覆蓋300多萬資產，在加固方面已經適配30多種安全基線，漏洞修復率達到了99.9%；運營和安全策略方面也有較好的效果。

安全就是一個持續(xù)動態(tài)對抗的過程，實踐是檢驗安全性的最好標準。正如木桶原理，最短的木板是評估木桶品質的標準，安全最薄弱環(huán)節(jié)也是決定系統(tǒng)好壞的關鍵。

對于騰訊云而言，不管是在安全體系建設初期還是完善之境，均需要一定的手段來測量最短木板的長短，紅藍對抗就是這樣一種測量方式。

紅藍對抗演習是騰訊云安全體系建設的一個常態(tài)化工作，通過持續(xù)對抗演習來驗證整體安全防御情況，發(fā)現疏漏的風險盲點與攻防場景，同時實現安全練兵與提升響應效率，并進一步提升騰訊云員工安全意識，從而實現整體安全體系的不斷完善與安全水位線的持續(xù)提升。

二、云原生安全產品和服務

底層安全只是第一層保障，到了應用層面，對于不同行業(yè)、不同體量的企業(yè)來說，他需要的安全防護等級和內容是不一樣的。騰訊過去也有海量的業(yè)務場景，我們把自己多年安全建設相關的經驗進行了產品化，并聯(lián)合我們的業(yè)務生態(tài)合作伙伴一起，為行業(yè)客戶打造了一套云原生的安全“自助餐”。

我們從云原生安全、計算安全、應用安全、數據安全、治理安全幾個維度，提供了一系列云上工具包。用戶可以根據自己的行業(yè)屬性，針對性進行組合搭配。

其中有一些產品和服務經過規(guī)?；瘧?，形成了自己的特色，我們在其中也沉淀了一些實踐經驗。我挑了幾個比較有代表性的產品跟大家展開分享。

首先是容器安全。騰訊安全具有多年云原生安全領域的研究和實踐運營經驗，同時結合騰訊云容器平臺TKE千萬級核心規(guī)模容器集群治理經驗，設計落地騰訊云原生容器安全體系。

騰訊云原生容器安全體系基于安全能力原生化、安全防護全生命周期、安全左移和零信任安全架構設計原則，實現從基礎設施、容器平臺、應用、DevSecOps、安全管理的完整安全防護方案。

確保用戶實現容器業(yè)務上線即安全的目標，面向容器業(yè)務從構建部署到運行時，容器安全服務可以提供完整的全生命周期安全防護，更好地助力用戶安全的實現云原生轉型，享受云原生帶來的紅利我們也把一些容器安全相關的經驗和方法沉淀下來。最近，騰訊安全云鼎實驗室聯(lián)合騰訊云容器團隊共同撰寫并發(fā)布了《騰訊云容器安全白皮書》。白皮書介紹了騰訊云在容器安全建設上的思路、方案以及實踐，并希望以這樣的方式，把我們的一些心得分享給業(yè)界，共同推動云原生安全的發(fā)展。

第二個要分享的是騰訊的云防火墻。

傳統(tǒng)防火墻產品通常只能通過CVM鏡像方式在云環(huán)境下部署，客戶采用這類方案，通常有3個痛點：

1、實施部署比較麻煩；

2、性能受限于承載安全鏡像的CVM，無法應對業(yè)務流量的突發(fā)需求；

3、需要進行負責的HA雙機熱備部署。

而云原生的防火墻，利用了云的優(yōu)勢，即開即用，分鐘級即可完成部署，同時還可實現彈性的擴展，也無需客戶關注復雜的雙機HA部署，天然內置高可靠。

此外，騰訊云防火墻也提供了很多獨有的原生安全能力，比如一鍵互聯(lián)網資產暴露面分析全網的威脅情報聯(lián)動，小時級別的網絡虛擬補丁技術，讓云防火墻成為云上流量的安全中心。

在戰(zhàn)爭中，情報是核心生產力。威脅情報的出現推動了傳統(tǒng)事件響應式的安全思維向全生命周期的持續(xù)智能響應轉變借助威脅情報，企業(yè)能從網絡安全設備的海量告警中解脫出來，以更加智能的方式掌握網絡安全事件、重大漏洞、攻擊手段等信息，并在第一時間采取預警和應急響應等工作。

騰訊擁有全球最大的威脅情報庫、黑產知識圖譜，我們有頂級安全實驗室和安全人才的加持，我們的情報質量在客戶環(huán)境和實驗室檢測中，結果都經過驗證的。

最近幾年，零信任是安全行業(yè)的“風口”。騰訊是國內最早踐行零信任的企業(yè)，去年疫情突然爆發(fā)的時候，我們IT部門只用了幾天時間就把7萬多員工全量切換成了基于零信任架構的遠程辦公模式。

在我們自己實踐之后，也對外輸出了行業(yè)解決方案，也就是騰訊iOA，目前我們已經推出了SaaS版的服務。

它是一款基于零信任架構的應用安全訪問云平臺，為企業(yè)提供安全接入數據中心的解決方案，企業(yè)客戶通過iOA云控制臺實現對數據中心訪問權限管理和終端安全管控。

iOA SaaS版提供輕量級客戶端或者無端版本，管理后臺全部部署在騰訊云上，通過連接器即可實現iOA和企業(yè)數據中心的連接，部署非常方便。

騰訊iOA SaaS版的客戶目前已覆蓋多個行業(yè)，例如高校，他們比較典型的場景是內網的一些應用發(fā)布到外網不受保護，安全隱患很高，通過iOA SaaS方案實現了通過企微工作臺快捷、安全的訪問內部應用。管理員還可以進行訪問權限的管控，禁止惡意/無權的訪問。

再例如我們服務的一家國際比較知名的酒店，企業(yè)內部系統(tǒng)運行歷史悠久，部署在內網且以單一帳號認證，爆破風險較高。iOA SaaS就為它提供了雙因子認證的保護，幫助它進行內網應用快速遷移上云。

《數據安全法》正式實施了，企業(yè)用戶對于數據安全方面的訴求也迅猛增長，要在短時間內完成數據安全合規(guī)要求，傳統(tǒng)的私有化部署可能面臨需要大幅度的系統(tǒng)改造以及性能損耗的問題。

我們結合云上數據安全防護經驗，推出了云原生的數據安全解決方案，以云加密機為計算資源的底座，為用戶和上層產品提供硬件級合規(guī)的密碼計算資源，以KMS&SSM為云平臺的密碼基礎設施，提供硬件級合規(guī)安全的密鑰和憑據管理平臺，通過云產品和KMS的無縫集成，為用戶提供各類云產品的透明加密能力。

通過云訪問安全代理CASB，可以在業(yè)務免改造的前提下，實現數據字段級加密、脫敏和數據分類分級等。云原生的數據安全方案為用戶提供了更輕、更快更新的一站式數據安全能力。

目前，數據安全在各個行業(yè)都有廣泛的應用，以某地的抗疫小程序為例，通過接入數據安全中臺，快速實現了對2億條國民敏感數據的安全保護，解決了數據加密改造難的問題，讓業(yè)務方在應用免改造的情況下通過策略配置快速實現敏感字段的加密和脫敏。

數據加密的密鑰通過騰訊KMS安全托管在硬件加密機，在解決數據安全的同時滿足合規(guī)的要求。最大的優(yōu)勢就在于有效的降低了數據安全的接入門檻，讓即使對數據安全技術不是太了解的團隊也能夠快速實現數據安全保護。

一個好的安全防御體系需要一個指揮中樞，安全運營中心就承擔了指揮中心的作用。

騰訊云原生安全運營中心沿用經典自適應安全體系設計；多源數據的融合匯聚，包括自主可控的流量、端、云上數據采集，也支持開放的第三方數據采集；檢測方面，依賴關聯(lián)引擎、情報分析引擎及UEBA引擎能力，對內外威脅進行分析，可聯(lián)動自動編排響應引擎。

云原生安全運營中心具備五大特點：1、支持多角色、多租戶的組織架構。2、適配云上及云下多業(yè)務環(huán)境。3、從實戰(zhàn)中歷練，多種檢測手段與分析技術，流量側與端側的數據貫通分析。4、充分利用騰訊在可視化方面的積累，娛樂級的可視效果。5、從實戰(zhàn)中歷練，可靠的安全運營服務。

在云原生的框架下，我們前面提及的各種云安全產品各司其職，由安全運營中心統(tǒng)一調度，原廠、原裝的強大產品體系，為企業(yè)用戶提供一套堅實的安全防護網。

三、云原生安全托管服務

我們前段時間剛剛正式發(fā)布了安全托管服務MSS，這是我們過去幾年工作內容的一個產品化成果，它可能代表了安全行業(yè)的一個發(fā)展趨勢，即安全建設正在從傳統(tǒng)的產品驅動轉向服務驅動轉變。

我們和各行業(yè)客戶交流過程中，發(fā)現很多用戶上云后，在安全運營方面都面臨著如下問題：

安全產品告警劇增，導致運營處置成本增加；2、企業(yè)業(yè)務增速增加，安全建設人力有些跟不上；3、安全自動化程度不足，導致運營效率偏低。

針對這些問題，騰訊云從內外部產品研發(fā)、服務交付以及服務運營等多個環(huán)節(jié)進行安全流程設計和能力沉淀，構建了全鏈條的端到端的安全服務體系。

其中，針對客戶上云后面臨的安全運營方面的典型痛點和問題，我們推出了MSS安全托管服務。

騰訊云的安全托管服務MSS主要對云上各類租戶的最佳安全實踐場景進行沉淀，通過自研的安全編排和自動化響應系統(tǒng)，結合騰訊安全情報、全網攻擊數據，提升云上攻防對抗能力，實現安全服務的標準化和高效化。

目前托管的服務品類包括2大類和十幾項安全服務內容，分別面向日常安全運營場景及重大活動護航場景。

這是一個我們上半年服務的某政企客戶攻防演練案例。當時，客戶所有系統(tǒng)均放在不同公有云廠商，內部無專職安全團隊，只有研發(fā)團隊，業(yè)務需求緊迫，部分測試環(huán)境無法關閉，涉及業(yè)務種類繁多，同時之前還在攻防演練開始的第一天被攻破，在新的攻防演練活動背景下，找到我們，希望幫忙開展服務保障。

最終通過MSS服務人員對現狀進行為期一周的梳理和推動修復、以及攻防開始后的實時監(jiān)控和攔截防護，最終順利防守住了攻擊。

在前幾個月剛結束不久的大型攻防演練項目中，騰訊MSS服務的灰度接入了部分云上重點用戶，最終均順利支撐這些服務目前累計支撐了幾十家用戶的大型攻防演練保障及日常運全運營，支撐的服務器規(guī)模達數萬臺。

我們在云服務托管上的能力也得到了國際研報的認證。頭豹研究院聯(lián)合Frost &Sullivan發(fā)布最新《2021年中國安全托管市場報告》，從風險趨勢、供應商能力、市場前景和技術趨勢等多個維度，對國內安全托管市場做了全面的調研與分析。

基于基礎指數、成長指數、服務能力、市場影響力四個維度計算，沙利文認為中國安全托管市場競爭力梯隊已經成型，騰訊云在其中居于行業(yè)領導者地位。

不管騰訊云自身的安全保障還是服務客戶的過程中，我們發(fā)現，安全行業(yè)面臨非常大資源缺口、人力缺口。面對這么多的制約，怎么解決這個問題？

全靠人驅動是不現實的，第一，沒有這么多專業(yè)人力，第二，即使有足夠多的安全專家，但人是會懈怠的、會疏忽的。

結合過去三年落在騰訊云自身的安全管理的基本路線，我們認為，只有把盡可能多的安全能力以云原生的方式納入云平臺自身的能力，才能比較好的應對當今數字經濟全面發(fā)展過程中的安全風險。

標簽：云上安全產業(yè)互聯(lián)網安全防護數字資產