產(chǎn)業(yè)互聯(lián)網(wǎng)飛速發(fā)展，各行各業(yè)加速“上云”，相應(yīng)的云上安全需求也正持續(xù)升溫。

　　11月4日，2021騰訊數(shù)字生態(tài)大會·Techo Day技術(shù)峰會在武漢召開。Techo Day上，騰訊安全副總裁、騰訊安全云鼎實驗室負責(zé)人董志強帶來了《基建、研發(fā)、安全——騰訊云安全前沿技術(shù)探索和實踐》的主題演講，對數(shù)實融合時代下如何更好開展云上安全建設(shè)進行了觀點與實踐經(jīng)驗分享。過去幾年，為了保障云的安全性，騰訊安全做了大量工作，以保障騰訊云平臺本身的安全性，并逐漸形成了一整套面向云原生的全棧安全產(chǎn)品體系，滿足云上租戶不同形態(tài)的安全防護需求。

　　“騰訊云服務(wù)于百萬級別的行業(yè)客戶，小到幾十人的初創(chuàng)公司，大到幾萬人的大型企業(yè)，很多客戶把核心的業(yè)務(wù)和數(shù)字資產(chǎn)放在騰訊上，我們要為這些業(yè)務(wù)和數(shù)字資產(chǎn)搭好安全防線?！彬v訊安全副總裁、騰訊安全云鼎實驗室負責(zé)人董志強表示。

　　以下為董志強演講實錄：

　　數(shù)字化的重要性在今天幾乎不言而喻。對于企業(yè)而言，數(shù)字化是在當(dāng)下數(shù)字經(jīng)濟的環(huán)境中獲得高質(zhì)量發(fā)展、提高效能的必然選擇。數(shù)字化過程中，“上云”是關(guān)鍵步驟。

　　越來越多企業(yè)將核心IT設(shè)施和工作負載遷移到云上，IDC的一個報告顯示，到2025年，50%的中國企業(yè)IT基礎(chǔ)設(shè)施支出將分配給公有云，四分之一的企業(yè)IT應(yīng)用將運行在公有云服務(wù)上?！吧显啤笔谴髣菟叄诳陀^上也帶來了安全隱患，目前網(wǎng)絡(luò)攻擊手法日益APT化，云上安全防護也成為了整個行業(yè)共同關(guān)注的焦點。

　　我們云鼎實驗室從成立以來就致力于云安全的研究，過去幾年我們也一直在承擔(dān)騰訊云底層安全工作的建設(shè)，騰訊“930”架構(gòu)升級、投入產(chǎn)業(yè)互聯(lián)網(wǎng)之后，我們也通過騰訊云把積累多年的安全能力以SaaS服務(wù)的方式開放給行業(yè)。

　　我們從自己的實踐角度，今天給大家分享三個方面的議題：

　　首先，我們?nèi)绾伪Ｕ显票旧淼幕A(chǔ)設(shè)施安全。其次，我們?nèi)绾瓮ㄟ^云原生安全產(chǎn)品和服務(wù)體系，為云租戶提供安全保障。第三，我們?nèi)绾瓮ㄟ^云原生安全托管服務(wù)，提升行業(yè)安全基線。

　　一、 云原生基礎(chǔ)設(shè)施安全

　　首先是基礎(chǔ)設(shè)施層面。這里面包含了云的基礎(chǔ)設(shè)施本身安全、軟件生命周期安全、云平臺安全運營能力和紅藍演練等幾個維度。

　　騰訊云服務(wù)于百萬級別的行業(yè)客戶，從幾十人的初創(chuàng)企業(yè)到上市公司，各種規(guī)模都有，很多客戶把核心的業(yè)務(wù)和數(shù)字資產(chǎn)放在騰訊上，我們要為這些業(yè)務(wù)和數(shù)字資產(chǎn)搭好第一道防線。

　　基礎(chǔ)設(shè)施安全是整個安全體系的基礎(chǔ)，也是上層應(yīng)用安全、業(yè)務(wù)安全、數(shù)據(jù)安全的底座。基礎(chǔ)設(shè)施包括數(shù)據(jù)中心、服務(wù)器硬件、操作系統(tǒng)和應(yīng)用系統(tǒng)，只有全棧安全才是立體的、全方位的安全，也是云平臺要達成的目標(biāo)。騰訊云從硬件設(shè)計階段開始，到租戶應(yīng)用系統(tǒng)，在平臺的每一層都有大量安全技術(shù)的融入，并結(jié)合安全監(jiān)控，安全運營確保云平臺基礎(chǔ)設(shè)置全棧防御、全棧監(jiān)控，從而實現(xiàn)全棧安全。

　　在操作系統(tǒng)這層，我們內(nèi)置了大量的安全加固機制，比如0day自動防御，可以實現(xiàn)無補丁的抵御0day攻擊；在hypervisor這層，我們開發(fā)了HyperGuard，防范虛擬化逃逸漏洞攻擊，當(dāng)前已公布的逃逸類漏洞攻擊全部可以免疫。

　　在云產(chǎn)品安全維度，我們基于騰訊云的研發(fā)運維模式建立了DevSecOps模型并落地實踐，基于一站式DevOps平臺與流程，在項目協(xié)同、編碼、代碼管理與分析、自動化測試、等各個環(huán)節(jié)嵌入安全活動；通過自研的方式建立安全工具鏈，建立安全門禁，實現(xiàn)安全度量，從不同階段和維度收斂安全風(fēng)險，并實現(xiàn)部分場景的默認安全，以此來實現(xiàn)騰訊云產(chǎn)品的出廠安全。

　　今年的可信云大會上，信通院牽頭發(fā)布了一系列研發(fā)運營安全工具標(biāo)準(zhǔn)，我們也是也主要的起草單位之一。

　　為了保障云平臺的安全，我們通過邊界控制、防御加固、加強檢測能力三方面來建設(shè)云平臺基礎(chǔ)安全能力，縮小云平臺的風(fēng)險攻擊面，減少云平臺的脆弱性。在云平臺基礎(chǔ)安全能力已經(jīng)具備的基礎(chǔ)上，為了提升安全運營效率，實現(xiàn)自動安全閉環(huán)，我們建設(shè)了安全運營平臺。平臺集成了安全告警黑白灰分離、專家策略、機器學(xué)習(xí)、紅藍檢驗等能力，遵循PDCA的閉環(huán)原則，從數(shù)據(jù)接入、加固防御、安全檢測、告警處置等方面實現(xiàn)了“人+機+知識”協(xié)同交互的自動化，可視化的云平臺安全運營管理。

　　通過前面說的幾方面的的基礎(chǔ)建設(shè)，騰訊云目前已經(jīng)具備了百萬級告警數(shù)據(jù)處理能力，通過持續(xù)跟蹤安全指標(biāo)并不斷改進，建立了豐富的規(guī)則庫，將平均MTTD降到了3小時以內(nèi)，有效提升了云平臺安全運營效率。截至目前，我們已經(jīng)接入600多個基礎(chǔ)設(shè)施審計日志，覆蓋300多萬資產(chǎn)，在加固方面已經(jīng)適配30多種安全基線，漏洞修復(fù)率達到了99.9%；運營和安全策略方面也有較好的效果。

　　安全就是一個持續(xù)動態(tài)對抗的過程，實踐是檢驗安全性的最好標(biāo)準(zhǔn)。正如木桶原理，最短的木板是評估木桶品質(zhì)的標(biāo)準(zhǔn)，安全最薄弱環(huán)節(jié)也是決定系統(tǒng)好壞的關(guān)鍵。

　　對于騰訊云而言，不管是在安全體系建設(shè)初期還是完善之境，均需要一定的手段來測量最短木板的長短，紅藍對抗就是這樣一種測量方式。

　　紅藍對抗演習(xí)是騰訊云安全體系建設(shè)的一個常態(tài)化工作，通過持續(xù)對抗演習(xí)來驗證整體安全防御情況，發(fā)現(xiàn)疏漏的風(fēng)險盲點與攻防場景，同時實現(xiàn)安全練兵與提升響應(yīng)效率，并進一步提升騰訊云員工安全意識，從而實現(xiàn)整體安全體系的不斷完善與安全水位線的持續(xù)提升。

　　二、云原生安全產(chǎn)品和服務(wù)

　　底層安全只是第一層保障，到了應(yīng)用層面，對于不同行業(yè)、不同體量的企業(yè)來說，他需要的安全防護等級和內(nèi)容是不一樣的。騰訊過去也有海量的業(yè)務(wù)場景，我們把自己多年安全建設(shè)相關(guān)的經(jīng)驗進行了產(chǎn)品化，并聯(lián)合我們的業(yè)務(wù)生態(tài)合作伙伴一起，為行業(yè)客戶打造了一套云原生的安全“自助餐”。

　　我們從云原生安全、計算安全、應(yīng)用安全、數(shù)據(jù)安全、治理安全幾個維度，提供了一系列云上工具包。用戶可以根據(jù)自己的行業(yè)屬性，針對性進行組合搭配。

　　其中有一些產(chǎn)品和服務(wù)經(jīng)過規(guī)?；瘧?yīng)用，形成了自己的特色，我們在其中也沉淀了一些實踐經(jīng)驗。我挑了幾個比較有代表性的產(chǎn)品跟大家展開分享。

　　首先是容器安全。騰訊安全具有多年云原生安全領(lǐng)域的研究和實踐運營經(jīng)驗，同時結(jié)合騰訊云容器平臺TKE千萬級核心規(guī)模容器集群治理經(jīng)驗，設(shè)計落地騰訊云原生容器安全體系。

　　騰訊云原生容器安全體系基于安全能力原生化、安全防護全生命周期、安全左移和零信任安全架構(gòu)設(shè)計原則，實現(xiàn)從基礎(chǔ)設(shè)施、容器平臺、應(yīng)用、DevSecOps、安全管理的完整安全防護方案。

　　確保用戶實現(xiàn)容器業(yè)務(wù)上線即安全的目標(biāo)，面向容器業(yè)務(wù)從構(gòu)建部署到運行時，容器安全服務(wù)可以提供完整的全生命周期安全防護，更好地助力用戶安全的實現(xiàn)云原生轉(zhuǎn)型，享受云原生帶來的紅利我們也把一些容器安全相關(guān)的經(jīng)驗和方法沉淀下來。最近，騰訊安全云鼎實驗室聯(lián)合騰訊云容器團隊共同撰寫并發(fā)布了《騰訊云容器安全白皮書》。白皮書介紹了騰訊云在容器安全建設(shè)上的思路、方案以及實踐，并希望以這樣的方式，把我們的一些心得分享給業(yè)界，共同推動云原生安全的發(fā)展。

　　第二個要分享的是騰訊的云防火墻。

　　傳統(tǒng)防火墻產(chǎn)品通常只能通過CVM鏡像方式在云環(huán)境下部署，客戶采用這類方案，通常有3個痛點：

　　1、實施部署比較麻煩；

　　2、性能受限于承載安全鏡像的CVM，無法應(yīng)對業(yè)務(wù)流量的突發(fā)需求；

　　3、需要進行負責(zé)的HA雙機熱備部署。

　　而云原生的防火墻，利用了云的優(yōu)勢，即開即用，分鐘級即可完成部署，同時還可實現(xiàn)彈性的擴展，也無需客戶關(guān)注復(fù)雜的雙機HA部署，天然內(nèi)置高可靠。

　　此外，騰訊云防火墻也提供了很多獨有的原生安全能力，比如一鍵互聯(lián)網(wǎng)資產(chǎn)暴露面分析全網(wǎng)的威脅情報聯(lián)動，小時級別的網(wǎng)絡(luò)虛擬補丁技術(shù)，讓云防火墻成為云上流量的安全中心。

　　在戰(zhàn)爭中，情報是核心生產(chǎn)力。威脅情報的出現(xiàn)推動了傳統(tǒng)事件響應(yīng)式的安全思維向全生命周期的持續(xù)智能響應(yīng)轉(zhuǎn)變借助威脅情報，企業(yè)能從網(wǎng)絡(luò)安全設(shè)備的海量告警中解脫出來，以更加智能的方式掌握網(wǎng)絡(luò)安全事件、重大漏洞、攻擊手段等信息，并在第一時間采取預(yù)警和應(yīng)急響應(yīng)等工作。

　　騰訊擁有全球最大的威脅情報庫、黑產(chǎn)知識圖譜，我們有頂級安全實驗室和安全人才的加持，我們的情報質(zhì)量在客戶環(huán)境和實驗室檢測中，結(jié)果都經(jīng)過驗證的。

　　最近幾年，零信任是安全行業(yè)的“風(fēng)口”。騰訊是國內(nèi)最早踐行零信任的企業(yè)，去年疫情突然爆發(fā)的時候，我們IT部門只用了幾天時間就把7萬多員工全量切換成了基于零信任架構(gòu)的遠程辦公模式。

　　在我們自己實踐之后，也對外輸出了行業(yè)解決方案，也就是騰訊iOA，目前我們已經(jīng)推出了SaaS版的服務(wù)。

　　它是一款基于零信任架構(gòu)的應(yīng)用安全訪問云平臺，為企業(yè)提供安全接入數(shù)據(jù)中心的解決方案，企業(yè)客戶通過iOA云控制臺實現(xiàn)對數(shù)據(jù)中心訪問權(quán)限管理和終端安全管控。

　　iOA SaaS版提供輕量級客戶端或者無端版本，管理后臺全部部署在騰訊云上，通過連接器即可實現(xiàn)iOA和企業(yè)數(shù)據(jù)中心的連接，部署非常方便。

　　騰訊iOA SaaS版的客戶目前已覆蓋多個行業(yè)，例如高校，他們比較典型的場景是內(nèi)網(wǎng)的一些應(yīng)用發(fā)布到外網(wǎng)不受保護，安全隱患很高，通過iOA SaaS方案實現(xiàn)了通過企微工作臺快捷、安全的訪問內(nèi)部應(yīng)用。管理員還可以進行訪問權(quán)限的管控，禁止惡意/無權(quán)的訪問。

　　再例如我們服務(wù)的一家國際比較知名的酒店，企業(yè)內(nèi)部系統(tǒng)運行歷史悠久，部署在內(nèi)網(wǎng)且以單一帳號認證，爆破風(fēng)險較高。iOA SaaS就為它提供了雙因子認證的保護，幫助它進行內(nèi)網(wǎng)應(yīng)用快速遷移上云。

　　《數(shù)據(jù)安全法》正式實施了，企業(yè)用戶對于數(shù)據(jù)安全方面的訴求也迅猛增長，要在短時間內(nèi)完成數(shù)據(jù)安全合規(guī)要求，傳統(tǒng)的私有化部署可能面臨需要大幅度的系統(tǒng)改造以及性能損耗的問題。

　　我們結(jié)合云上數(shù)據(jù)安全防護經(jīng)驗，推出了云原生的數(shù)據(jù)安全解決方案，以云加密機為計算資源的底座，為用戶和上層產(chǎn)品提供硬件級合規(guī)的密碼計算資源，以KMS&SSM為云平臺的密碼基礎(chǔ)設(shè)施，提供硬件級合規(guī)安全的密鑰和憑據(jù)管理平臺，通過云產(chǎn)品和KMS的無縫集成，為用戶提供各類云產(chǎn)品的透明加密能力。

　　通過云訪問安全代理CASB，可以在業(yè)務(wù)免改造的前提下，實現(xiàn)數(shù)據(jù)字段級加密、脫敏和數(shù)據(jù)分類分級等。云原生的數(shù)據(jù)安全方案為用戶提供了更輕、更快更新的一站式數(shù)據(jù)安全能力。

　　目前，數(shù)據(jù)安全在各個行業(yè)都有廣泛的應(yīng)用，以某地的抗疫小程序為例，通過接入數(shù)據(jù)安全中臺，快速實現(xiàn)了對2億條國民敏感數(shù)據(jù)的安全保護，解決了數(shù)據(jù)加密改造難的問題，讓業(yè)務(wù)方在應(yīng)用免改造的情況下通過策略配置快速實現(xiàn)敏感字段的加密和脫敏。

　　數(shù)據(jù)加密的密鑰通過騰訊KMS安全托管在硬件加密機，在解決數(shù)據(jù)安全的同時滿足合規(guī)的要求。最大的優(yōu)勢就在于有效的降低了數(shù)據(jù)安全的接入門檻，讓即使對數(shù)據(jù)安全技術(shù)不是太了解的團隊也能夠快速實現(xiàn)數(shù)據(jù)安全保護。

　　一個好的安全防御體系需要一個指揮中樞，安全運營中心就承擔(dān)了指揮中心的作用。

　　騰訊云原生安全運營中心沿用經(jīng)典自適應(yīng)安全體系設(shè)計；多源數(shù)據(jù)的融合匯聚，包括自主可控的流量、端、云上數(shù)據(jù)采集，也支持開放的第三方數(shù)據(jù)采集；檢測方面，依賴關(guān)聯(lián)引擎、情報分析引擎及UEBA引擎能力，對內(nèi)外威脅進行分析，可聯(lián)動自動編排響應(yīng)引擎。

　　云原生安全運營中心具備五大特點：1、支持多角色、多租戶的組織架構(gòu)。2、適配云上及云下多業(yè)務(wù)環(huán)境。3、從實戰(zhàn)中歷練，多種檢測手段與分析技術(shù)，流量側(cè)與端側(cè)的數(shù)據(jù)貫通分析。4、充分利用騰訊在可視化方面的積累，娛樂級的可視效果。5、從實戰(zhàn)中歷練，可靠的安全運營服務(wù)。

　　在云原生的框架下，我們前面提及的各種云安全產(chǎn)品各司其職，由安全運營中心統(tǒng)一調(diào)度，原廠、原裝的強大產(chǎn)品體系，為企業(yè)用戶提供一套堅實的安全防護網(wǎng)。

　　三、云原生安全托管服務(wù)

　　我們前段時間剛剛正式發(fā)布了安全托管服務(wù)MSS，這是我們過去幾年工作內(nèi)容的一個產(chǎn)品化成果，它可能代表了安全行業(yè)的一個發(fā)展趨勢，即安全建設(shè)正在從傳統(tǒng)的產(chǎn)品驅(qū)動轉(zhuǎn)向服務(wù)驅(qū)動轉(zhuǎn)變。

　　我們和各行業(yè)客戶交流過程中，發(fā)現(xiàn)很多用戶上云后，在安全運營方面都面臨著如下問題：

　　安全產(chǎn)品告警劇增，導(dǎo)致運營處置成本增加；2、企業(yè)業(yè)務(wù)增速增加，安全建設(shè)人力有些跟不上；3、安全自動化程度不足，導(dǎo)致運營效率偏低。

　　針對這些問題，騰訊云從內(nèi)外部產(chǎn)品研發(fā)、服務(wù)交付以及服務(wù)運營等多個環(huán)節(jié)進行安全流程設(shè)計和能力沉淀，構(gòu)建了全鏈條的端到端的安全服務(wù)體系。

　　其中，針對客戶上云后面臨的安全運營方面的典型痛點和問題，我們推出了MSS安全托管服務(wù)。

　　騰訊云的安全托管服務(wù)MSS主要對云上各類租戶的最佳安全實踐場景進行沉淀，通過自研的安全編排和自動化響應(yīng)系統(tǒng)，結(jié)合騰訊安全情報、全網(wǎng)攻擊數(shù)據(jù)，提升云上攻防對抗能力，實現(xiàn)安全服務(wù)的標(biāo)準(zhǔn)化和高效化。

　　目前托管的服務(wù)品類包括2大類和十幾項安全服務(wù)內(nèi)容，分別面向日常安全運營場景及重大活動護航場景。

　　這是一個我們上半年服務(wù)的某政企客戶攻防演練案例。當(dāng)時，客戶所有系統(tǒng)均放在不同公有云廠商，內(nèi)部無專職安全團隊，只有研發(fā)團隊，業(yè)務(wù)需求緊迫，部分測試環(huán)境無法關(guān)閉，涉及業(yè)務(wù)種類繁多，同時之前還在攻防演練開始的第一天被攻破，在新的攻防演練活動背景下，找到我們，希望幫忙開展服務(wù)保障。

　　最終通過MSS服務(wù)人員對現(xiàn)狀進行為期一周的梳理和推動修復(fù)、以及攻防開始后的實時監(jiān)控和攔截防護，最終順利防守住了攻擊。

　　在前幾個月剛結(jié)束不久的大型攻防演練項目中，騰訊MSS服務(wù)的灰度接入了部分云上重點用戶，最終均順利支撐這些服務(wù)目前累計支撐了幾十家用戶的大型攻防演練保障及日常運全運營，支撐的服務(wù)器規(guī)模達數(shù)萬臺。

　　我們在云服務(wù)托管上的能力也得到了國際研報的認證。頭豹研究院聯(lián)合Frost &Sullivan發(fā)布最新《2021年中國安全托管市場報告》，從風(fēng)險趨勢、供應(yīng)商能力、市場前景和技術(shù)趨勢等多個維度，對國內(nèi)安全托管市場做了全面的調(diào)研與分析。

　　基于基礎(chǔ)指數(shù)、成長指數(shù)、服務(wù)能力、市場影響力四個維度計算，沙利文認為中國安全托管市場競爭力梯隊已經(jīng)成型，騰訊云在其中居于行業(yè)領(lǐng)導(dǎo)者地位。

　　不管騰訊云自身的安全保障還是服務(wù)客戶的過程中，我們發(fā)現(xiàn)，安全行業(yè)面臨非常大資源缺口、人力缺口。面對這么多的制約，怎么解決這個問題？

　　全靠人驅(qū)動是不現(xiàn)實的，第一，沒有這么多專業(yè)人力，第二，即使有足夠多的安全專家，但人是會懈怠的、會疏忽的。

　　結(jié)合過去三年落在騰訊云自身的安全管理的基本路線，我們認為，只有把盡可能多的安全能力以云原生的方式納入云平臺自身的能力，才能比較好的應(yīng)對當(dāng)今數(shù)字經(jīng)濟全面發(fā)展過程中的安全風(fēng)險。