腾讯董志强:基建、研发、安全——云安全前沿技术探索和实践

产业互联网飞速发展,各行各业加速“上云”,相应的云上安全需求也正持续升温。

11月4日,2021腾讯数字生态大会·Techo Day技术峰会在武汉召开。Techo Day上,腾讯安全副总裁、腾讯安全云鼎实验室负责人董志强带来了《基建、研发、安全——腾讯云安全前沿技术探索和实践》的主题演讲,对数实融合时代下如何更好开展云上安全建设进行了观点与实践经验分享。过去几年,为了保障云的安全性,腾讯安全做了大量工作,以保障腾讯云平台本身的安全性,并逐渐形成了一整套面向云原生的全栈安全产品体系,满足云上租户不同形态的安全防护需求。

“腾讯云服务于百万级别的行业客户,小到几十人的初创公司,大到几万人的大型企业,很多客户把核心的业务和数字资产放在腾讯上,我们要为这些业务和数字资产搭好安全防线。”腾讯安全副总裁、腾讯安全云鼎实验室负责人董志强表示。

以下为董志强演讲实录:

数字化的重要性在今天几乎不言而喻。对于企业而言,数字化是在当下数字经济的环境中获得高质量发展、提高效能的必然选择。数字化过程中,“上云”是关键步骤。

越来越多企业将核心IT设施和工作负载迁移到云上,IDC的一个报告显示,到2025年,50%的中国企业IT基础设施支出将分配给公有云,四分之一的企业IT应用将运行在公有云服务上。“上云”是大势所趋,但在客观上也带来了安全隐患,目前网络攻击手法日益APT化,云上安全防护也成为了整个行业共同关注的焦点。

我们云鼎实验室从成立以来就致力于云安全的研究,过去几年我们也一直在承担腾讯云底层安全工作的建设,腾讯“930”架构升级、投入产业互联网之后,我们也通过腾讯云把积累多年的安全能力以SaaS服务的方式开放给行业。

我们从自己的实践角度,今天给大家分享三个方面的议题:

首先,我们如何保障云本身的基础设施安全。其次,我们如何通过云原生安全产品和服务体系,为云租户提供安全保障。第三,我们如何通过云原生安全托管服务,提升行业安全基线。

一、云原生基础设施安全

首先是基础设施层面。这里面包含了云的基础设施本身安全、软件生命周期安全、云平台安全运营能力和红蓝演练等几个维度。

腾讯云服务于百万级别的行业客户,从几十人的初创企业到上市公司,各种规模都有,很多客户把核心的业务和数字资产放在腾讯上,我们要为这些业务和数字资产搭好第一道防线。

基础设施安全是整个安全体系的基础,也是上层应用安全、业务安全、数据安全的底座。基础设施包括数据中心、服务器硬件、操作系统和应用系统,只有全栈安全才是立体的、全方位的安全,也是云平台要达成的目标。腾讯云从硬件设计阶段开始,到租户应用系统,在平台的每一层都有大量安全技术的融入,并结合安全监控,安全运营确保云平台基础设置全栈防御、全栈监控,从而实现全栈安全。

在操作系统这层,我们内置了大量的安全加固机制,比如0day自动防御,可以实现无补丁的抵御0day攻击;在hypervisor这层,我们开发了HyperGuard,防范虚拟化逃逸漏洞攻击,当前已公布的逃逸类漏洞攻击全部可以免疫。

在云产品安全维度,我们基于腾讯云的研发运维模式建立了DevSecOps模型并落地实践,基于一站式DevOps平台与流程,在项目协同、编码、代码管理与分析、自动化测试、等各个环节嵌入安全活动;通过自研的方式建立安全工具链,建立安全门禁,实现安全度量,从不同阶段和维度收敛安全风险,并实现部分场景的默认安全,以此来实现腾讯云产品的出厂安全。

今年的可信云大会上,信通院牵头发布了一系列研发运营安全工具标准,我们也是也主要的起草单位之一。

为了保障云平台的安全,我们通过边界控制、防御加固、加强检测能力三方面来建设云平台基础安全能力,缩小云平台的风险攻击面,减少云平台的脆弱性。在云平台基础安全能力已经具备的基础上,为了提升安全运营效率,实现自动安全闭环,我们建设了安全运营平台。平台集成了安全告警黑白灰分离、专家策略、机器学习、红蓝检验等能力,遵循PDCA的闭环原则,从数据接入、加固防御、安全检测、告警处置等方面实现了“人+机+知识”协同交互的自动化,可视化的云平台安全运营管理。

通过前面说的几方面的的基础建设,腾讯云目前已经具备了百万级告警数据处理能力,通过持续跟踪安全指标并不断改进,建立了丰富的规则库,将平均MTTD降到了3小时以内,有效提升了云平台安全运营效率。截至目前,我们已经接入600多个基础设施审计日志,覆盖300多万资产,在加固方面已经适配30多种安全基线,漏洞修复率达到了99.9%;运营和安全策略方面也有较好的效果。

安全就是一个持续动态对抗的过程,实践是检验安全性的最好标准。正如木桶原理,最短的木板是评估木桶品质的标准,安全最薄弱环节也是决定系统好坏的关键。

对于腾讯云而言,不管是在安全体系建设初期还是完善之境,均需要一定的手段来测量最短木板的长短,红蓝对抗就是这样一种测量方式。

红蓝对抗演习是腾讯云安全体系建设的一个常态化工作,通过持续对抗演习来验证整体安全防御情况,发现疏漏的风险盲点与攻防场景,同时实现安全练兵与提升响应效率,并进一步提升腾讯云员工安全意识,从而实现整体安全体系的不断完善与安全水位线的持续提升。

二、云原生安全产品和服务

底层安全只是第一层保障,到了应用层面,对于不同行业、不同体量的企业来说,他需要的安全防护等级和内容是不一样的。腾讯过去也有海量的业务场景,我们把自己多年安全建设相关的经验进行了产品化,并联合我们的业务生态合作伙伴一起,为行业客户打造了一套云原生的安全“自助餐”。

我们从云原生安全、计算安全、应用安全、数据安全、治理安全几个维度,提供了一系列云上工具包。用户可以根据自己的行业属性,针对性进行组合搭配。

其中有一些产品和服务经过规模化应用,形成了自己的特色,我们在其中也沉淀了一些实践经验。我挑了几个比较有代表性的产品跟大家展开分享。

首先是容器安全。腾讯安全具有多年云原生安全领域的研究和实践运营经验,同时结合腾讯云容器平台TKE千万级核心规模容器集群治理经验,设计落地腾讯云原生容器安全体系。

腾讯云原生容器安全体系基于安全能力原生化、安全防护全生命周期、安全左移和零信任安全架构设计原则,实现从基础设施、容器平台、应用、DevSecOps、安全管理的完整安全防护方案。

确保用户实现容器业务上线即安全的目标,面向容器业务从构建部署到运行时,容器安全服务可以提供完整的全生命周期安全防护,更好地助力用户安全的实现云原生转型,享受云原生带来的红利我们也把一些容器安全相关的经验和方法沉淀下来。最近,腾讯安全云鼎实验室联合腾讯云容器团队共同撰写并发布了《腾讯云容器安全白皮书》。白皮书介绍了腾讯云在容器安全建设上的思路、方案以及实践,并希望以这样的方式,把我们的一些心得分享给业界,共同推动云原生安全的发展。

第二个要分享的是腾讯的云防火墙。

传统防火墙产品通常只能通过CVM镜像方式在云环境下部署,客户采用这类方案,通常有3个痛点:

1、实施部署比较麻烦;

2、性能受限于承载安全镜像的CVM,无法应对业务流量的突发需求;

3、需要进行负责的HA双机部署。

热备

而云原生的防火墙,利用了云的优势,即开即用,分钟级即可完成部署,同时还可实现弹性的扩展,也无需客户关注复杂的双机HA部署,天然内置高可靠。

此外,腾讯云防火墙也提供了很多独有的原生安全能力,比如一键互联网资产暴露面分析全网的威胁情报联动,小时级别的网络虚拟补丁技术,让云防火墙成为云上流量的安全中心。

在战争中,情报是核心生产力。威胁情报的出现推动了传统事件响应式的安全思维向全生命周期的持续智能响应转变借助威胁情报,企业能从网络安全设备的海量告警中解脱出来,以更加智能的方式掌握网络安全事件、重大漏洞、攻击手段等信息,并在第一时间采取预警和应急响应等工作。

腾讯拥有全球最大的威胁情报库、黑产知识图谱,我们有顶级安全实验室和安全人才的加持,我们的情报质量在客户环境和实验室检测中,结果都经过验证的。

最近几年,零信任是安全行业的“风口”。腾讯是国内最早践行零信任的企业,去年疫情突然爆发的时候,我们IT部门只用了几天时间就把7万多员工全量切换成了基于零信任架构的远程办公模式。

在我们自己实践之后,也对外输出了行业解决方案,也就是腾讯iOA,目前我们已经推出了SaaS版的服务。

它是一款基于零信任架构的应用安全访问云平台,为企业提供安全接入数据中心的解决方案,企业客户通过iOA云控制台实现对数据中心访问权限管理和终端安全管控。

iOA SaaS版提供轻量级客户端或者无端版本,管理后台全部部署在腾讯云上,通过连接器即可实现iOA和企业数据中心的连接,部署非常方便。

腾讯iOA SaaS版的客户目前已覆盖多个行业,例如高校,他们比较典型的场景是内网的一些应用发布到外网不受保护,安全隐患很高,通过iOA SaaS方案实现了通过企微工作台快捷、安全的访问内部应用。管理员还可以进行访问权限的管控,禁止恶意/无权的访问。

再例如我们服务的一家国际比较知名的酒店,企业内部系统运行历史悠久,部署在内网且以单一帐号认证,爆破风险较高。iOA SaaS就为它提供了双因子认证的保护,帮助它进行内网应用快速迁移上云。

《数据安全法》正式实施了,企业用户对于数据安全方面的诉求也迅猛增长,要在短时间内完成数据安全合规要求,传统的私有化部署可能面临需要大幅度的系统改造以及性能损耗的问题。

我们结合云上数据安全防护经验,推出了云原生的数据安全解决方案,以云加密机为计算资源的底座,为用户和上层产品提供硬件级合规的密码计算资源,以KMS&SSM为云平台的密码基础设施,提供硬件级合规安全的密钥和凭据管理平台,通过云产品和KMS的无缝集成,为用户提供各类云产品的透明加密能力。

通过云访问安全代理CASB,可以在业务免改造的前提下,实现数据字段级加密、脱敏和数据分类分级等。云原生的数据安全方案为用户提供了更轻、更快更新的一站式数据安全能力。

目前,数据安全在各个行业都有广泛的应用,以某地的抗疫小程序为例,通过接入数据安全中台,快速实现了对2亿条国民敏感数据的安全保护,解决了数据加密改造难的问题,让业务方在应用免改造的情况下通过策略配置快速实现敏感字段的加密和脱敏。

数据加密的密钥通过腾讯KMS安全托管在硬件加密机,在解决数据安全的同时满足合规的要求。最大的优势就在于有效的降低了数据安全的接入门槛,让即使对数据安全技术不是太了解的团队也能够快速实现数据安全保护。

一个好的安全防御体系需要一个指挥中枢,安全运营中心就承担了指挥中心的作用。

腾讯云原生安全运营中心沿用经典自适应安全体系设计;多源数据的融合汇聚,包括自主可控的流量、端、云上数据采集,也支持开放的第三方数据采集;检测方面,依赖关联引擎、情报分析引擎及UEBA引擎能力,对内外威胁进行分析,可联动自动编排响应引擎。

云原生安全运营中心具备五大特点:1、支持多角色、多租户的组织架构。2、适配云上及云下多业务环境。3、从实战中历练,多种检测手段与分析技术,流量侧与端侧的数据贯通分析。4、充分利用腾讯在可视化方面的积累,娱乐级的可视效果。5、从实战中历练,可靠的安全运营服务。

在云原生的框架下,我们前面提及的各种云安全产品各司其职,由安全运营中心统一调度,原厂、原装的强大产品体系,为企业用户提供一套坚实的安全防护网。

三、云原生安全托管服务

我们前段时间刚刚正式发布了安全托管服务MSS,这是我们过去几年工作内容的一个产品化成果,它可能代表了安全行业的一个发展趋势,即安全建设正在从传统的产品驱动转向服务驱动转变。

我们和各行业客户交流过程中,发现很多用户上云后,在安全运营方面都面临着如下问题:

安全产品告警剧增,导致运营处置成本增加;2、企业业务增速增加,安全建设人力有些跟不上;3、安全自动化程度不足,导致运营效率偏低。

针对这些问题,腾讯云从内外部产品研发、服务交付以及服务运营等多个环节进行安全流程设计和能力沉淀,构建了全链条的端到端的安全服务体系。

其中,针对客户上云后面临的安全运营方面的典型痛点和问题,我们推出了MSS安全托管服务。

腾讯云的安全托管服务MSS主要对云上各类租户的最佳安全实践场景进行沉淀,通过自研的安全编排和自动化响应系统,结合腾讯安全情报、全网攻击数据,提升云上攻防对抗能力,实现安全服务的标准化和高效化。

目前托管的服务品类包括2大类和十几项安全服务内容,分别面向日常安全运营场景及重大活动护航场景。

这是一个我们上半年服务的某政企客户攻防演练案例。当时,客户所有系统均放在不同公有云厂商,内部无专职安全团队,只有研发团队,业务需求紧迫,部分测试环境无法关闭,涉及业务种类繁多,同时之前还在攻防演练开始的第一天被攻破,在新的攻防演练活动背景下,找到我们,希望帮忙开展服务保障。

最终通过MSS服务人员对现状进行为期一周的梳理和推动修复、以及攻防开始后的实时监控和拦截防护,最终顺利防守住了攻击。

在前几个月刚结束不久的大型攻防演练项目中,腾讯MSS服务的灰度接入了部分云上重点用户,最终均顺利支撑这些服务目前累计支撑了几十家用户的大型攻防演练保障及日常运全运营,支撑的服务器规模达数万台。

我们在云服务托管上的能力也得到了国际研报的认证。头豹研究院联合Frost &Sullivan发布最新《2021年中国安全托管市场报告》,从风险趋势、供应商能力、市场前景和技术趋势等多个维度,对国内安全托管市场做了全面的调研与分析。

基于基础指数、成长指数、服务能力、市场影响力四个维度计算,沙利文认为中国安全托管市场竞争力梯队已经成型,腾讯云在其中居于行业领导者地位。

不管腾讯云自身的安全保障还是服务客户的过程中,我们发现,安全行业面临非常大资源缺口、人力缺口。面对这么多的制约,怎么解决这个问题?

全靠人驱动是不现实的,第一,没有这么多专业人力,第二,即使有足够多的安全专家,但人是会懈怠的、会疏忽的。

结合过去三年落在腾讯云自身的安全管理的基本路线,我们认为,只有把尽可能多的安全能力以云原生的方式纳入云平台自身的能力,才能比较好的应对当今数字经济全面发展过程中的安全风险。