2015年11月19日，GITC2015全球互聯(lián)網(wǎng)技術(shù)大會(huì)在北京國(guó)家會(huì)議中心如期舉行。騰訊云安全中心總監(jiān)周斌先生在會(huì)上做了《守衛(wèi)安全 創(chuàng)造價(jià)值》的主題演講，向大家深入剖析了公有云平臺(tái)的現(xiàn)狀以及如何著手來(lái)建設(shè)一個(gè)更安全的云未來(lái)。

這是糟糕的時(shí)代，也是最好的時(shí)代

近幾年來(lái)，互聯(lián)網(wǎng)普及率和全球云計(jì)算市場(chǎng)規(guī)模呈持續(xù)穩(wěn)步增長(zhǎng)狀態(tài)，云計(jì)算的需求不斷提高，服務(wù)器的規(guī)模也不斷擴(kuò)大。但是，在這個(gè)信息引領(lǐng)社會(huì)前進(jìn)的互聯(lián)網(wǎng)+的時(shí)代，大規(guī)模運(yùn)營(yíng)的公有云系統(tǒng)也可能會(huì)遇到云服務(wù)器硬件問(wèn)題，或是穩(wěn)定性、運(yùn)維性以及數(shù)據(jù)安全和網(wǎng)絡(luò)安全等多方面的風(fēng)險(xiǎn)。

比如在互聯(lián)網(wǎng)與多種行業(yè)結(jié)合的狀況下，我們經(jīng)常會(huì)看到DDoS流量逐步提高，O2O打車行業(yè)刷單嚴(yán)重，iCloud被無(wú)限次驗(yàn)密爆破，Gmail被撞庫(kù)導(dǎo)致550萬(wàn)賬戶密碼泄漏， Sony PSN 被入侵后7700萬(wàn)用戶信息泄漏等新聞，這類風(fēng)險(xiǎn)極大的阻礙了互聯(lián)網(wǎng)的發(fā)展，同時(shí)這些數(shù)據(jù)安全事故無(wú)時(shí)無(wú)刻不在提醒人們，維護(hù)一個(gè)安全穩(wěn)定的云平臺(tái)刻不容緩。

公有云需要什么樣的安全風(fēng)險(xiǎn)感知系統(tǒng)

周斌說(shuō)：“面對(duì)潛在的云安全風(fēng)險(xiǎn)，預(yù)防永遠(yuǎn)比補(bǔ)救要來(lái)的及時(shí)，我們需要的并不是一個(gè)告警的監(jiān)控系統(tǒng)，而是要對(duì)安全風(fēng)險(xiǎn)的存在進(jìn)行提前感知，在安全事故發(fā)生前感知異常，攔截風(fēng)險(xiǎn)。”

安全感知系統(tǒng)怎么做？周斌表示先從云本身的基礎(chǔ)架構(gòu)來(lái)看。他分享了騰訊云的基礎(chǔ)架構(gòu)，包括CDN加速層、網(wǎng)關(guān)代理層、宿主機(jī)和業(yè)務(wù)及存儲(chǔ)網(wǎng)絡(luò)層這四層。基于此基礎(chǔ)架構(gòu)，騰訊云的安全感知架構(gòu)針對(duì)基礎(chǔ)安全、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、內(nèi)部審計(jì)等多個(gè)安全模塊，部署了演習(xí)系統(tǒng)、實(shí)時(shí)分析系統(tǒng)和離線分析系統(tǒng)三大系統(tǒng)，預(yù)先收集信息、發(fā)現(xiàn)問(wèn)題。加上騰訊云日均海量數(shù)據(jù)入庫(kù)，騰訊云在所有安全組件中都嵌入一個(gè)基礎(chǔ)的SDK收集關(guān)鍵信息，最終進(jìn)入SDW數(shù)據(jù)倉(cāng)庫(kù)中。其中根據(jù)數(shù)據(jù)需要的反應(yīng)速度和分析的不同，SDW包括CDB的集群、TDW集群、Hadoop集群來(lái)對(duì)不同數(shù)據(jù)進(jìn)行分析感知，在問(wèn)題爆發(fā)之前及時(shí)填補(bǔ)漏洞，為云計(jì)算用戶提供一個(gè)安全可靠的運(yùn)營(yíng)平臺(tái)。

騰訊云模塊化安全功能，有效保護(hù)云中各角色

“為了更好的應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題，我們給云上的風(fēng)險(xiǎn)分了四大類——數(shù)據(jù)安全、平臺(tái)安全、流程規(guī)范、內(nèi)部審計(jì)，”周斌說(shuō)，“針對(duì)每個(gè)類別，騰訊云都有相應(yīng)的防御措施。” 

 談及數(shù)據(jù)安全，周斌表示權(quán)限、加密、檢測(cè)這三點(diǎn)是關(guān)鍵。在進(jìn)行權(quán)限控制時(shí)，騰訊云端到端有四把驗(yàn)證鑰匙，分別是用戶票據(jù)、用戶數(shù)據(jù)權(quán)限、業(yè)務(wù)簽名、業(yè)務(wù)數(shù)據(jù)權(quán)限。四把“鑰匙”開(kāi)鎖缺一不可，這樣就能有效防止黑客入侵或者內(nèi)鬼的破壞，保證數(shù)據(jù)的安全。另外密鑰管理、水印檢測(cè)等防御措施也是保護(hù)數(shù)據(jù)安全的重要手段。

在針對(duì)基礎(chǔ)平臺(tái)的安全問(wèn)題上，騰訊云部署四項(xiàng)措施來(lái)進(jìn)行風(fēng)險(xiǎn)感知，包括整體架構(gòu)的大盤輸出、攔截演算反向驗(yàn)證、TSRC分享情報(bào)和歷史監(jiān)控聯(lián)動(dòng)分析，以此提前發(fā)現(xiàn)問(wèn)題。云上發(fā)現(xiàn)問(wèn)題之后細(xì)化隔離是必不可少的，騰訊云通過(guò)基線掃描、人工流程和物理區(qū)域控制三項(xiàng)關(guān)卡，憑借規(guī)則掃描、網(wǎng)絡(luò)探測(cè)、流量探測(cè)、子機(jī)探測(cè)等探測(cè)手段，做到物理層、網(wǎng)絡(luò)層、基礎(chǔ)組件與用戶層以及IDC間的隔離構(gòu)建嚴(yán)格的隔離策略。

并且騰訊云在云機(jī)房部署了自研檢測(cè)設(shè)備集群—宙斯盾防護(hù)系統(tǒng)，這個(gè)系統(tǒng)基于 DPI 檢測(cè)技術(shù)，能夠快速準(zhǔn)確地發(fā)現(xiàn)針對(duì)業(yè)務(wù)的各種DDoS攻擊；而且通過(guò)采用運(yùn)營(yíng)商黑洞路由、外網(wǎng)核心ACL、專業(yè)清洗設(shè)備等多種手段，形成多層級(jí)的防護(hù)架構(gòu)，加之三大網(wǎng)絡(luò)供應(yīng)商提供的500G大帶寬，能夠有效抵御各種DDoS攻擊。

在流程規(guī)范問(wèn)題上，騰訊云在培訓(xùn)、網(wǎng)絡(luò)設(shè)計(jì)、組件開(kāi)發(fā)、發(fā)布、運(yùn)營(yíng)、審計(jì)、問(wèn)題發(fā)現(xiàn)、修復(fù)等各個(gè)環(huán)節(jié)都配備了相應(yīng)的安全規(guī)范，以保障開(kāi)發(fā)流程的正常進(jìn)行。在安全體系層面，騰訊云在外部接口層、接入層、安全服務(wù)層、數(shù)據(jù)層等多個(gè)層級(jí)上都進(jìn)行安全檢測(cè)、隔離等措施，以一個(gè)完整的體系為用戶構(gòu)建安全堡壘。

周斌說(shuō)：“在大數(shù)據(jù)時(shí)代，未來(lái)的安全問(wèn)題最終還是數(shù)據(jù)問(wèn)題。而且這是一個(gè)長(zhǎng)期的問(wèn)題，需要行業(yè)一起努力。”目前騰訊云不僅以完善的安全功能、嚴(yán)密的鑒權(quán)機(jī)制和可靠的審計(jì)結(jié)果構(gòu)建了安全的信任邊界，并以此輸出了一系列服務(wù)產(chǎn)品在騰訊云上。同時(shí)騰訊云正在不斷地開(kāi)放安全技術(shù)能力，與安全廠商攜手部署公有云安全，共同向用戶提供安全產(chǎn)品和服務(wù)，為客戶業(yè)務(wù)順利發(fā)展保駕護(hù)航。