“上云”很 fashion 的今天,GeekPwn 搞了个比赛……
云联万物,大势所趋,小到手机中纷繁多样的智能App,大到时下被广泛热议的人工智能、自动驾驶与5G,以云为主导的基础设施都在落地支持的过程中默默地发光发热,所谓“云强则应用强”就是这个道理。
以此为背景,如今“Hi,你上云了吗?”也成了企业的必修课。坦白说企业上云,除了需要考量业务层面带来的诸多变化外,安全性更是不容小觑,对此腾讯安全云鼎实验室负责人董志强总结道:“如今云上的安全方案相较于过去企业的防御体系更加标准化、组件化和一体化,可以做到将企业安全运维管理更集中、更高效。”如此看来,这些参与其中并不计其数的云服务商们,安全储备和能力表现都很强悍。
为了让这种“强悍”得到延续和提升,腾讯安全联合GeekPwn发起了云安全挑战赛,力求让本身就具备极强安全性的云服务更加安全。
在刚刚结束不久的GeekPwn2019现场,据晶少了解,这场由GeekPwn与腾讯安全云鼎实验室联合推出的全新命题“云安全挑战赛”,是首个基于真实通用云环境的安全赛事,覆盖云上全路径攻击与防御,主要通过攻防对决实战来研究安全问题,完善防御思路,鼓励选参赛手积极探索云安全技术,提升云计算整体的安全性。
具体分析,现场赛题覆盖云操作系统和管理平台、IaaS服务和虚拟化安全、PaaS服务和容器安全、DBaaS服务和云数据保护等层面,着实一个致力于云平台安全研究、云技术实战练兵的靶场。毕竟如果不能深入了解云计算全景,就没有办法着力进行安全研究,最后只能浮于表面。
根据比赛记录,这场线上比赛共吸引了138支专业队伍,覆盖全国信息安全高校,国内一流安全研究人员等。其中有1/3左右是在校学生,在一定程度上为年轻一代的安全爱好者提供了方便的云安全研究环境、合法的安全实战场所和展示安全天赋的平台。
经过前期多轮热身赛筛选后,到达决赛当天现场的共有6支队伍,在基于真实云应用场景下的全栈云环境中,通过不同路径、层层围攻进而突破云环境。
在本次云安全攻防挑战赛决赛中,赛题主要分为四个难度级别,共十六道真实攻击场景题目。“一开始的赛题属于入门难度,攻击方式包括比较云上最常见的几类基础黑客攻击,来给选手热身;第二级别难度开始加大,选手需要分析出系统中存在的漏洞并成功利用,获取云租户空间内系统较高的权限,最终控制云租户VPC内的系统和数据控制权;第三难度级别考察选手不但需要熟练地运用各类安全攻防技术,还需要具备足够深入的云计算知识和未公开漏洞挖掘技术,才能突破系统平台的层层防护,进入云平台真正的底层和中枢控制全局。”腾讯安全云鼎实验室副总监李滨解释说,“第四个级别是增强安全的可信数据计算环境,我们采用了实验室研究的“全栈云安全基础设施”中的部分安全“黑科技”,加强在基础云平台之上,构建了一个高安全性的数据安全计算系统,目的就是为了验证即使有恶意攻击者控制了整个云平台,攻击者依旧无法窃取用户数据,这被称为云上用户安全的最后一道防线。”
(云安全挑战赛现场)
经过长达一天的比拼,最终0ops战队率先突破9道赛题,累计得到2210分,拿下云安全挑战赛一等奖;复旦白泽、r3kapig分列二、三位,但遗憾的是,并没有一支战队突破最后一个级别的挑战。
比赛虽然暂时尘埃落定,但关于云安全的探索却依旧在继续。作为腾讯安全旗下顶级实验室之一,云鼎实验室一直专注于云领域前沿安全技术研究与创新,以及云标准化与合规体系建设等工作。实验室运营的租户安全中台通过机器学习与大数据技术实时监测并分析各类风险信息,帮助客户抵御高级可持续攻击,联合腾讯安全其他实验室进行安全漏洞的研究,确保云计算平台整体的安全性,并且把各类能力服务化通过腾讯云开放出来。
从技术角度,目前腾讯云的核心安全能力可以总结为“一个基础,两个中心“。”一个基础“即云全栈安全基础设施,通过涵盖云计算基础设施全栈环环相扣的安全能力,来构建牢不可破的云计算安全基础环境,有效抵御各种传统内外部攻击和供应链攻击等前沿风险。“两个中心”则分别为”云数据安全中台“和”云租户安全运营中台“,从数据安全全生命周期管理和应用安全全生命周期管理两个角度,给云上用户提供端到端的安全保护能力。
腾讯安全云鼎实验室副总监李滨(左)腾讯安全云鼎实验室负责人董志强(右)
“在比赛环境中,除了标准环境之外还有一个高防环境,这是我们云全栈基础设施安全技术的浓缩体现,主要通过这种方法来解答用户对云基础设施是否安全的问题,不过截至目前我们还未发现未知漏洞对云平台攻击的突破。”他补充道。简单来说就是通过全生命周期数据安全的理念给用户提供数据全方位保护,以保证云上用户数据的安全。
(腾讯云全栈安全基础设施)
此外还有十分重要的一点,在云安全领域攻防是两位一体的,基于此他透露,在未来两个月腾讯安全云鼎实验室会联合GeekPwn一起发布《2019云安全威胁报告》,主要用于分析近两年来主要的云上威胁和攻击趋势,还包括潜在未能揭露的要点。“对此我们总结了八纵八横的攻击路径,其中八纵中涉及很多攻击点和攻击技术;而八横是如何进行横向迁移,控制其他资源的设置。此项报告出炉希望将来可以助力安全领域有一个更透明、更通畅、更完整的前景来帮助研究其中的难点。”另外,据晶少了解腾讯安全云鼎实验室还会联合相关实验室共同围绕云安全展开全栈研究。
(极棒现场云鼎实验室公布的首个云攻击全景模型)
值得提及的是,本次比赛不仅鼓励安全研究者发现云安全的漏洞,更为重要的是提升云服务整体的安全性,保障和促进产业互联网的安全发展,培育产业“安全”上云的良性“土壤”;同时腾讯安全方面也表示更希望通过本次与GeekPwn 携手举办云安全挑战赛来寻找云安全领域的技术先锋和极客,为创造云安全的未来价值储备人才力量。
就像大牛蛙王琦在GeekPwn2019开场说的那样,我们要承认数字化世界带给我们的美好,也要承认不美好,“完美的未来必然是安全的未来”,炙手可热的“云+未来”更是如此。