當前,“上云”已成為企業尋求數字化轉型升級的“基本路徑”。而云環境的邊界廣、技術環境復雜,使傳統安全邊界被打破。產業互聯網時代,能否上一朵安全的云,不僅是企業發展的底線,更是制約企業發展的天花板,安全也成為企業遴選合作云服務商的首要考量。
作為國內最值得信賴的云服務提供商之一,騰訊云在助力企業實現數字化升級的同時,基于對云安全情報數據的統計分析和最新云安全攻防趨勢的研究,聯合GeekPwn發布了《2019云安全威脅報告》(以下簡稱《報告》)。該報告基于對云環境下的安全威脅形勢的全面梳理與剖析,提出了相應的應對策略。
通過對過去的數據及未來的技術發展趨勢和產業方向的分析,騰訊云認為云安全的建設需要從云平臺、系統生命周期及安全建設的參與方等多個方面來考慮。目前,騰訊集結內部七大安全實驗室和安全平臺部超過300人的頂尖研究力量成立云全棧安全研究團隊,對云平臺的合規管理、基礎設施、系統安全、數據安全、應用安全、網絡訪問固件自身的安全展開全面、前瞻性的研究。并投入超過3500名的安全專家和技術人員,圍繞“一個基礎底座、兩個中臺、一個中心”打造更安全的云。
披露云上攻防新挑戰,實戰演練拓展攻防新思路
《報告》首次公開披露了騰訊安全云鼎實驗室基于真實云環境攻防研究的 “八橫八縱”云上攻擊路徑全景模型,全方位展示了云生態下惡意攻擊者發起安全攻擊的八條外部縱向和八條內部橫向拓展路徑。在防護不到位的情況下,攻擊者既能在無任何授權的情況下自云外縱向進入云平臺展開攻擊,也能在進入云平臺后通過橫向遷移獲取更多租戶資源和數據。“傳統與新問題雜糅”成為當下云安全挑戰的重要特征,對云平臺進行全方位的加固和防御,是助力企業上云、護航產業發展的核心之一。
(攻擊方式模型全景圖)
為了協助上云企業更好應對當前的核心安全問題和未來云上安全風險的挑戰,騰訊安全云鼎實驗室在2019年10月聯合GeekPwn舉辦了全球首個基于真實云環境的云安全攻防挑戰賽;希望借助真實云環境下的安全攻防預演,為云安全積累、拓展更多攻防研究經驗和人才,助力產業互聯網安全發展。
聚焦當前上云安全“通病”,助力筑就云數據全周期安全防線
伴隨著企業上云趨勢的加速,數據作為企業核心資產之一,其安全也成為所有企業上云后的關注焦點。《報告》指出,包括數據泄露、數據丟失以及隱私數據利用和泄露等三大威脅在內的數據安全問題已成為上云企業在產業互聯網時代必須直面的挑戰。據Risk Based Security 統計,僅2019年上半年世界范圍內已經發生了3813起數據泄露事件,被公開數據高達41億條。騰訊安全情報數據顯示,“數據”、“身份證”、“密碼”等關于數據泄露的詞匯在暗網的熱詞分析中占比極大。
針對數據安全這一云服務商和租戶共同關注的焦點問題,《報告》指出云服務商應當為客戶構建貫穿數據產生、流動、存儲、使用及銷毀等數據全生命周期的加密保護和身份認證及訪問控制體系。
基于騰訊云在業務實踐中沉淀的超500個業務場景所積累的黑灰產大數據樣本和每天數百P的數據運算能力,推出了具體的解決方案——“云數據安全中臺”,打造端到端的云數據全生命周期安全體系,助力企業低成本、高效率地應對云上數據安全的挑戰。
(數據中臺架構全景圖)
立足微服務/Serverless等安全探索,持續延伸前沿安全觸角
除聚焦解決當前企業上云面臨的安全挑戰外,對于前沿安全趨勢的觸達與研究也是騰訊云構筑更安全的產業云的重要發力點。而《報告》中對微服務/Serverless等云計算新服務架構安全性的探討與分析正是拓展騰訊云前沿安全觸角的又一實踐。
為滿足用戶對云計算便捷部署、靈活拓展、數據中心統一等需求,微服務和無服務器計算(serverless)應勢而生。“輕裝上陣”的背后也衍生出了微服務可利用攻擊面擴大、Serverless特殊架構層面風險等新的安全威脅。
鑒于此,騰訊云基于對兩大新型云服務架構的探索與研究,在《報告》中指出,云服務提供商需要透過業務功能分析底層細節、總結安全場景,及時發現安全脆弱點并部署相應防護策略。就微服務來說,云服務廠商應在服務架構之初就建立更具有前瞻性安全設計架構和優良穩定的安全策略,確保其安全的原生性;而在Serverless架構中,云服務提供商要更多地注重底層基礎設施和操作系統層面的安全,最大限度降低安全風險。
在“牽一發而動全身”產業安全背景下,騰訊云立足微服務/Serverless等云計算應用新秀安全策略的探索,是適應未來云上服務發展趨勢的有益實踐,對打造更安全的云環境有巨大推動作用。
搭建云全棧基礎設施,打造更安全的云
安全體系建設一直以來都是騰訊云服務發展戰略的核心之一。結合在云安全防護和建設方面的具體實踐,騰訊云安全團隊憑借自身深入產業互聯網實踐所積累的技術、人才與生態優勢,構建出了一套覆蓋基礎設施、系統安全、數據安全、應用安全、網絡訪問固件等五大層面的“全棧云安全基礎架構體系”,圍繞“一個基礎底座、兩個中臺、一個中心”打造更安全是云平臺。
其中,“一個基礎底座”是指騰訊云的全棧基礎設施,未來會把騰訊云全球超過100萬臺主機逐步從底層迭代全新的安全體系,從物理環境和基礎架構、可信云網絡、可信硬件、操作系統直到租戶安全,從合規治理、運維管理到供應鏈安全,全方位的給云用戶提供一個安全的計算基礎。而兩個中臺則是指“云數據安全中臺”和“租戶安全運營中臺”。“云數據安全中臺”著重解決數據安全問題,應用高安全性硬件加密技術、多方安全計算、前沿的高性能國產化密碼技術,給用戶提供全生命周期數據安全服務,有效保障用戶數據安全; “租戶安全運營中臺” 通過先進的威脅情報、漏洞感知和安全大數據能力,實時的分析全云安全態勢,為云用戶提供主動地安全響應服務。能夠在分鐘級發現全網新增的高危端口,小時級定位新出現的零日漏洞影響范圍,在日級以內實現全網的安全漏洞處置。 “一個中心”是指云安全運營管理中心,能通過儀表盤、大屏、安全報表等,讓云上安全態勢可視可感知,以降低安全運營管理難度,提升安全運營效率。
未來,騰訊云將繼續依托 “全網服務器總量超過100萬臺,帶寬峰值突破100T”雙百的規模里程碑的實踐經驗,并聯合P17國內安全上市企業俱樂部、FP50安全新銳力量俱樂部等生態伙伴力量,為云安全發展輸送更多技術和研究成果,護航產業互聯網高速發展。
京公網安備 11010502049343號