近年来,网络安全问题变得愈发严峻,企业被黑客攻陷事件层出不穷,企业攻防犹如一道隔绝外界侵扰的屏障,一旦屏障被攻破,信息数据安全便失去保障。随着云计算浪潮到来,越来越多企业开始在云上探索新航线,期望解决应用数据量庞杂、服务器运维成本高、主机运行不稳定、配套资源待完善等问题,而云计算应用的热潮,也让云上安全成为新的命题。
攻防对抗:
云上安全的一道墙
进入云时代,企业与企业之间以及企业与用户之间的紧密程度逐步加强,单一存储载体已经无法满足现阶段对数据安全维度的需求,云上安全业务存在极大空缺,面对产业之间连接增强,云上安全危害也随之上升,与互联网时代不同,云时代面临的黑客攻击手段更为“巧妙”。
● 计划性攻击:在攻击云上服务器之前,黑客有着针对性打法逻辑,对云上暴露出的漏洞进行阶段性攻击,防止被专业安全攻防团队定位追踪,从而使得攻击源头排查难度加大。
*● 规模化操作:*单个终端主机发起的主动攻击,已经难以对拥有绝对防护体系的云造成伤害,而灰产团队通过网络植入木马病毒等入侵大量个人设备,使之成为黑客“肉鸡”,以此规模化攻击云上主机,使得云上服务器流量过载而崩溃。
● 爆发性伤害:由于在特殊节点涌入人群众多,对恶意访问的人排查难度大,黑客往往在这些时间节点发起爆发性伤害,从而击溃云上服务端。
在云计算时代,云上攻防能力成为对抗黑客有效手段之一。无论是云上企业还是云服务商,在面对当下复杂多变的云安全问题时,攻防思维逐步开始从被动防御向主动攻防转变。对于企业而言,相比于自建网络安全攻防体系的复杂架构,选择安全的云服务商提供云服务,成为大多数企业的选择。而对于云服务商而言,如何保障云上数据安全,提供云上攻防服务,保证云上应用稳定,是云上攻防体系建设首要基准。
产品篇
云上攻防战,腾讯云注入原生力
腾讯云安全攻防体系是建立在腾讯20余年安全技术基础之上的成果,对于腾讯而言,腾讯云攻防体系的构建有双重意义,一方面,维系自身体系安全维护,保护腾讯云上主机安全,保障运行在云上的服务器安全稳定,不被黑客攻击,确保各个产品线安全运维;另一方面,将技术能力整合,集成在腾讯云等产品中,为合作伙伴提供安全攻防助力,保障企业在服务器中的数据安全、系统应用运行稳定流畅。
在云上安全建设中,对于云上企业而言,最核心诉求在于终端数据安全、服务器运作稳定、技术安全可靠。
● 在数据安全方面,腾讯云拥有业界领先的AI技术、威胁情报以及攻防能力,服务全球超过10亿用户、拥有500余个业务场景,形成海量数字资产安全的“安全中台”,保障企业数据安全;
● 在服务器稳定方面,腾讯云服务器搭载稳定的网络架构,采用成熟的网络虚拟化技术和网卡绑定技术,在T3级以上数据中心中运行,保证网络高可用性、承载性;
● 在技术可靠方面,腾讯云安全架构设计遵循国际标准路线,是全球首家获得ISO/IEC 27701:2019标准认证的云服务提供商,在最新发布的《中国互联网云技术专利分析报告》中,腾讯的云技术及安全专利申请量均为国内第一。
从网络安全到应用终端,从底层系统架构到应用数据保护,腾讯云提供全通路安全攻防保障。在构建企业安全攻击测试体系中,腾讯云提供网站渗透测试、攻防演练 - 红蓝对抗以及安全众测等服务,促进企业信息系统完善,安全运维人员防护意识提升。而在企业防护体系建设上,腾讯云提供网络安全防护、数据安全防护、终端安全防护、应用安全防护以及安全运营中心服务,建立有效的安全防护屏障。
腾讯云云上安全对抗体系图
模拟攻击线:以攻为守,检测云上安全漏洞
1. 网站渗透测试
通过完全模拟黑客可能使用的漏洞发现技术和攻击技术,对目标系统的安全作深入的探测,发现系统最脆弱的环节,可有效地验证每个安全隐患点的存在及其可利用程度,并从中找出企业最急需解决的安全问题,帮助管理者了解系统风险点分布情况,让管理人员直观地知道自己网络所面临的问题。腾讯云拥有技术实力一流和攻防经验丰富的专家团队,同时结合腾讯七大联合实验室攻防专家,进行前瞻安全漏洞技术研究,洞察最新安全威胁。
2. 攻防演练 - 红蓝对抗
在了解企业实际安全状况的基础上,针对企业核心业务,模拟多种真实的红蓝对抗(网络攻防)场景,使企业人员了解常见网络攻击过程与实际防护,培养和提升企业安全人员的安全意识,并从实战环境中提高安全人员的安全技能和防护水平。可以在各个省级、市级之间开展红蓝对抗,影响范围广,可促进各个省市的信息安全团队的发展和交流,同时不限制攻击手法,可以更好发现系统的脆弱点,加强技术人员安全技能,提高企业整体信息安全技术。
3. 安全众测
通过“白帽子”(正面黑客,可识别计算机系统或网络系统中的安全漏洞)进行私密、高效的安全测试,帮助企业全方位发现、并提交业务中存在的安全漏洞及风险,协助企业及时响应并修复安全漏洞,避免造成更大的业务损失。腾讯云拥有一批专业的白帽子团队,助力企业渗透测试,能从黑客角度发现系统安全漏洞和风险,测试覆盖面广,检测细度颗粒化,确保企业系统各个层级都经过测试。
防护线:以守为攻,部署全方位防护层
1. 网络安全防护
网络安全层实际上是对应用层进行安全隔离,通过抵抗DDoS攻击以及建立WAF防护体系等达到应用层基础防护。
网络安全防护结构图
抵御DDoS攻击:DDoS攻击,也称分布式拒绝服务攻击,简单来说,就是黑客通过操纵“肉鸡”同一时间大量访问某服务器,最终导致被攻击的服务器无法正常使用。腾讯云DDoS 防护具有全面、高效、专业的防护能力,为企业组织提供 DDoS 高防包、DDoS 高防 IP 等多种 DDoS 解决方案,应对 DDoS 攻击问题。
腾讯云通过充足、优质的 DDoS 防护资源,结合持续进化的“自研+AI 智能识别”清洗算法,保障用户业务的稳定、安全运行。采取分布式防护的解决方案,通过在多地云机房外部部署防护节点,分散流量,一方面提高攻击者的攻击门槛,另一方面增加DDoS防护的能力,同时还可以增加业务柔性,在面对大流量DDoS攻击时提高业务可用性。
云防火墙(Cloud Firewall,CFW)是一款基于公有云环境的SaaS化防火墙,为用户提供互联网边界、VPC 边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化,是客户业务上云的第一个网络安全基础设施。
2. 数据安全防护
数据安全结构图
腾讯云综合运用数据安全管理经验和数据保护技术,打造了数据安全治理中心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系,针对性地在数据全生命周期每个阶段提供保护,帮助用户克服数据安全防护的“四大难”,助力企业快速构建数据安全防线。
从数据安全角度,腾讯云安全采用符合国密局要求和金融等行业规范的云服务密码机提供数据加密服务,保障数据安全,规避风险。基于人工智能的数据库安全审计系统,可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航;从数据管理角度,通过敏感数据发现算法,数据安全治理中心可精确定位您的敏感数据,并有机结合 AI 技术与威胁情报,筛选出这些敏感数据的异常访问操作,协助企业提前预防数据泄密问题。
3. 终端安全防护
终端安全防护结构图
● 零信任:依赖可信终端、可信身份、可信应用三大核心能力,腾讯云实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。 在对用户授予企业应用的访问权限之前,提供包括企业微信扫码、Token 双因子认证在内的多种身份验证方式,验证所有用户的身份。根据特定用户/用户组的职能以及需求授予访问权限,确保用户在接入内网后只能访问到权限内的应用和数据,实行最小权限原则,更好地保护敏感生产环境的访问安全。
● 移动终端安全管理系统(EMM):提供业务移动化安全管理解决方案,用于构建安全可管控的移动办公空间。EMM为员工终端提供安全工作空间,将企业办公环境与员工私人环境分开,同时提供身份、设备、应用的统一后台管理和移动风险检测能力。
● 主机安全:基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系,防止数据泄露。
4. 应用安全防护
应用安全防护结构图
● Web 应用防火墙(WAF):帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题。企业组织通过部署腾讯云网站管家服务,将 Web 攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航。
● 移动应用安全:提供APP全生命周期的一站式安全解决方案,涵盖应用加固、安全测评、兼容性测试、盗版监控、崩溃监测、安全组件等服务。
● 漏洞扫描服务:用于监测网站漏洞的安全服务,为企业提供7×24小时准确、全面的漏洞监测服务,并为企业提供专业的修复建议, 从而避免漏洞被黑客利用,影响企业资产安全。目前漏洞扫描服务已广泛应用于金融、通信、政府、能源、军工等多个行业,并已被多个行业监管机构和等级保护单位使用。
5. 安全运营中心(SOC)
基于海量的腾讯安全大数据,及丰富的安全经验,持续监测客户业务安全状况,对安全事件实时告警,为用户预警可能的安全风险。通过对海量数据进行多维、智能的持续分析,为用户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力,并采取相应的安全措施,保障信息系统安全,帮用户实现全生命周期安全运营。
安全运营中心结构图
能力篇
腾讯云三大硬核,护卫企业云上安全
对于企业而言,云上攻防能力是根基。腾讯七大联合实验室为腾讯云注入原生力,基于机器学习、人工智能、边缘计算、数字孪生等前沿技术打造云安全产品,最大化满足企业在运维过程中所需要的安全防护,为客户提供安全维度上的攻防能力集成。
腾讯七大联合实验室
● 前沿科技:作为腾讯云支撑性特性,安全是底层核心。而作为企业云上攻防要素之一,云原生被认为是企业“云化”战略的基石,所谓云原生,是一种构建和运行应用程序的方法,它利用了云计算交付模型中的优势,对如何创建和部署应用程序进行融合,这意味着应用程序位于云中,而不是传统数据中心,极大保障数据的安全性以及可控性。云原生所构建的安全体系,提供包含网络和访问安全、应用安全、数据安全、系统安全、云基础架构安全。正是这些应用架构层的安全,为腾讯云提供了一道安全防火墙。
相对于IT基础设施的“上云”,腾讯云云原生技术产品基于最新的容器、微服务、无服务器技术,帮助企业从开发、部署、运维等软件全生命周期构建原生云端应用,一方面可以全面发挥云计算的弹性伸缩和按需使用的优势,帮助企业快速构建适应互联网模式的新一代业务架构,另一方面,帮助企业构建全链路安全体系,保障企业在云上安全、稳定。
● 人才梯队:在安全人才建设方面上,腾讯云拥有绝对的人才矩阵,联动腾讯七大联合实验室以及安全平台部超过300人的研究力量成立“云全栈安全研究工作组”,对云上安全进行全面、前瞻性的研究,同时,集结3500名安全专家以及技术人员注入到腾讯云安全体系建设中,为云上安全防护提供人才助力。
● 生态建设:构建行业最佳防御方案,需要集成各家核心安全能力,腾讯云联合安全生态伙伴,发起P17安全领袖俱乐部,同时聚合国内主流安全新锐力量FP50俱乐部,与产业互联网生态伙伴共同建设安全生态体系。另外,腾讯安全联动了各个安全产品和设备的优势为客户进行协同防御。在协同体系之下,既有腾讯自身沉淀的原生安全能力,也有来自产业链生态伙伴的优秀能力,注入到腾讯云安全生态中,安全效益得以最大化发挥。
CSS 2019 P17安全领袖圆桌
实战篇
腾讯云云上攻防实践
贵州云安全实战攻防赛:
2018年,在堪称国内最严苛云安全实战演练赛“贵阳大数据及网络安全攻防演练”中,腾讯云在“攻”和“防”两个项目中均拔得头筹,实力夺冠。演练活动接近实战,旨在检验国内主流云服务平台的安全性能。来自腾讯等国内44个一线专业安全团队,分别针对国内主流云平台展开攻防演练对抗,最终腾讯eee战队在“攻击”单元夺得冠军,同时由数字广东安全、腾讯安全平台部、腾讯企业IT部、腾讯云安全、腾讯安全科恩实验室等组成的腾讯安全联队在对抗攻击的防御中,始终保持不被攻破,实现自身云平台100%防御。
GeekPwn云安全挑战赛:
2019年10月,腾讯安全云鼎实验室携手GeekPwn发起云安全挑战赛,这也是目前全世界首个基于真实通用云环境的云安全攻防竞赛。腾讯安全云鼎实验室通过采用最主流的云平台开源组件,结合实验室云攻防靶场黑科技,构建了一个真实的、可以完整工作的全栈云环境,完全复现主流云平台的架构、技术和系统软硬件环境,预演云上攻防。在技术与产业结合上,云鼎实验室也将技术能力注入到腾讯云安全体系中,为腾讯云提供云上攻防安全保障,从而更好地为产业提供一个更为安全的云环境。
云上保卫战:
腾讯安全应急响应中心(TSRC)联合腾讯安全云鼎实验室启动“云上保卫战”,针对腾讯云重点产品的专项漏洞征集活动,该方案目的是为保障云上业务安全,发现潜在安全风险并推动修复,致力提升云服务整体的安全性,保障和促进云计算业务的发展与运行,为云上价值的实现提供安全保障。最终累计发现超过34个有效漏洞,高危占比56%,有效收敛线上安全风险。
重保项目演练:
腾讯云与某银行在云项目中进行合作,双方携手以腾讯云TCE专有云为核心,在40多天的时间内快速搭建出一个符合公有云标准的金融级生态云平台,构建了完整的底层基础设施、容器、安全防护以及对应的运维技术能力。并且,在一次重保项目实践中,腾讯云协助该银行成功阻断攻击19.7亿次,封禁IP 6.8万,事件调查52次,保护了云平台及平台上数十个租户,上百个应用系统,数千个主机资产。
勒索病毒事件:
2017年5月12日,利用永恒之蓝漏洞传播的WannaCry蠕虫勒索病毒爆发,短短几天之内,全球100多个国家和地区,数十万台电脑遭到了攻击,云鼎实验室情报团队迅速反应,针对腾讯云上用户发布疫情告警,并同步开启联动封堵防护机制,阻断来自外部的蠕虫利用请求,避免了该病毒在腾讯云上传播扩散,腾讯云上的几十万用户鲜有受到感染,疫情在最短时间内得到全面控制。
随着越来越多企业选择上云,云上安全攻防实力成为企业价值的重要参数之一。腾讯云依托腾讯在安全维度上多年技术、人才、经验积累,聚合众多安全生态伙伴能力,将持续为众多企业、银行、各地政府机构等,提供安全、稳定、可靠的产业云服务。