腾讯联合GeekPwn发布《2019云安全威胁报告》,聚焦打造更安全的云
当前,“上云”已成为企业寻求数字化转型升级的“基本路径”。而云环境的边界广、技术环境复杂,使传统安全边界被打破。产业互联网时代,能否上一朵安全的云,不仅是企业发展的底线,更是制约企业发展的天花板,安全也成为企业遴选合作云服务商的首要考量。
作为国内最值得信赖的云服务提供商之一,腾讯云在助力企业实现数字化升级的同时,基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究,联合GeekPwn发布了《2019云安全威胁报告》(以下简称《报告》)。该报告基于对云环境下的安全威胁形势的全面梳理与剖析,提出了相应的应对策略。
通过对过去的数据及未来的技术发展趋势和产业方向的分析,腾讯云认为云安全的建设需要从云平台、系统生命周期及安全建设的参与方等多个方面来考虑。目前,腾讯集结内部七大安全实验室和安全平台部超过300人的顶尖研究力量成立云全栈安全研究团队,对云平台的合规管理、基础设施、系统安全、数据安全、应用安全、网络访问固件自身的安全展开全面、前瞻性的研究。并投入超过3500名的安全专家和技术人员,围绕“一个基础底座、两个中台、一个中心”打造更安全的云。
披露云上攻防新挑战,实战演练拓展攻防新思路
《报告》首次公开披露了腾讯安全云鼎实验室基于真实云环境攻防研究的 “八横八纵”云上攻击路径全景模型,全方位展示了云生态下恶意攻击者发起安全攻击的八条外部纵向和八条内部横向拓展路径。在防护不到位的情况下,攻击者既能在无任何授权的情况下自云外纵向进入云平台展开攻击,也能在进入云平台后通过横向迁移获取更多租户资源和数据。“传统与新问题杂糅”成为当下云安全挑战的重要特征,对云平台进行全方位的加固和防御,是助力企业上云、护航产业发展的核心之一。
(攻击方式模型全景图)
为了协助上云企业更好应对当前的核心安全问题和未来云上安全风险的挑战,腾讯安全云鼎实验室在2019年10月联合GeekPwn举办了全球首个基于真实云环境的云安全攻防挑战赛;希望借助真实云环境下的安全攻防预演,为云安全积累、拓展更多攻防研究经验和人才,助力产业互联网安全发展。
聚焦当前上云安全“通病”,助力筑就云数据全周期安全防线
伴随着企业上云趋势的加速,数据作为企业核心资产之一,其安全也成为所有企业上云后的关注焦点。《报告》指出,包括数据泄露、数据丢失以及隐私数据利用和泄露等三大威胁在内的数据安全问题已成为上云企业在产业互联网时代必须直面的挑战。据Risk Based Security 统计,仅2019年上半年世界范围内已经发生了3813起数据泄露事件,被公开数据高达41亿条。腾讯安全情报数据显示,“数据”、“身份证”、“密码”等关于数据泄露的词汇在暗网的热词分析中占比极大。
针对数据安全这一云服务商和租户共同关注的焦点问题,《报告》指出云服务商应当为客户构建贯穿数据产生、流动、存储、使用及销毁等数据全生命周期的加密保护和身份认证及访问控制体系。
基于腾讯云在业务实践中沉淀的超500个业务场景所积累的黑灰产大数据样本和每天数百P的数据运算能力,推出了具体的解决方案——“云数据安全中台”,打造端到端的云数据全生命周期安全体系,助力企业低成本、高效率地应对云上数据安全的挑战。
(数据中台架构全景图)
立足微服务/Serverless等安全探索,持续延伸前沿安全触角
除聚焦解决当前企业上云面临的安全挑战外,对于前沿安全趋势的触达与研究也是腾讯云构筑更安全的产业云的重要发力点。而《报告》中对微服务/Serverless等云计算新服务架构安全性的探讨与分析正是拓展腾讯云前沿安全触角的又一实践。
为满足用户对云计算便捷部署、灵活拓展、数据中心统一等需求,微服务和无服务器计算(serverless)应势而生。“轻装上阵”的背后也衍生出了微服务可利用攻击面扩大、Serverless特殊架构层面风险等新的安全威胁。
鉴于此,腾讯云基于对两大新型云服务架构的探索与研究,在《报告》中指出,云服务提供商需要透过业务功能分析底层细节、总结安全场景,及时发现安全脆弱点并部署相应防护策略。就微服务来说,云服务厂商应在服务架构之初就建立更具有前瞻性安全设计架构和优良稳定的安全策略,确保其安全的原生性;而在Serverless架构中,云服务提供商要更多地注重底层基础设施和操作系统层面的安全,最大限度降低安全风险。
在“牵一发而动全身”产业安全背景下,腾讯云立足微服务/Serverless等云计算应用新秀安全策略的探索,是适应未来云上服务发展趋势的有益实践,对打造更安全的云环境有巨大推动作用。
搭建云全栈基础设施,打造更安全的云
安全体系建设一直以来都是腾讯云服务发展战略的核心之一。结合在云安全防护和建设方面的具体实践,腾讯云安全团队凭借自身深入产业互联网实践所积累的技术、人才与生态优势,构建出了一套覆盖基础设施、系统安全、数据安全、应用安全、网络访问固件等五大层面的“全栈云安全基础架构体系”,围绕“一个基础底座、两个中台、一个中心”打造更安全是云平台。
其中,“一个基础底座”是指腾讯云的全栈基础设施,未来会把腾讯云全球超过100万台主机逐步从底层迭代全新的安全体系,从物理环境和基础架构、可信云网络、可信硬件、操作系统直到租户安全,从合规治理、运维管理到供应链安全,全方位的给云用户提供一个安全的计算基础。而两个中台则是指“云数据安全中台”和“租户安全运营中台”。“云数据安全中台”着重解决数据安全问题,应用高安全性硬件加密技术、多方安全计算、前沿的高性能国产化密码技术,给用户提供全生命周期数据安全服务,有效保障用户数据安全; “租户安全运营中台” 通过先进的威胁情报、漏洞感知和安全大数据能力,实时的分析全云安全态势,为云用户提供主动地安全响应服务。能够在分钟级发现全网新增的高危端口,小时级定位新出现的零日漏洞影响范围,在日级以内实现全网的安全漏洞处置。 “一个中心”是指云安全运营管理中心,能通过仪表盘、大屏、安全报表等,让云上安全态势可视可感知,以降低安全运营管理难度,提升安全运营效率。
未来,腾讯云将继续依托 “全网服务器总量超过100万台,带宽峰值突破100T”双百的规模里程碑的实践经验,并联合P17国内安全上市企业俱乐部、FP50安全新锐力量俱乐部等生态伙伴力量,为云安全发展输送更多技术和研究成果,护航产业互联网高速发展。
上一篇:有“志”者事竟成——记中铁十二局集团优秀项目经理王志强 下一篇:腾讯发布《2020产业安全报告》 揭秘产业安全“降本增效”能力