一文透析騰訊云云上攻防體系

近年來，網路安全問題變得愈發嚴峻，企業被駭客攻陷事件層出不窮，企業攻防猶如一道隔絕外界侵擾的屏障，一旦屏障被攻破，資訊資料安全便失去保障。隨著雲端計算浪潮到來，越來越多企業開始在雲上探索新航線，期望解決應用資料量龐雜、伺服器運維成本高、主機執行不穩定、配套資源待完善等問題，而云計算應用的熱潮，也讓雲上安全成為新的命題。

攻防對抗：
雲上安全的一道牆

進入雲時代，企業與企業之間以及企業與使用者之間的緊密程度逐步加強，單一儲存載體已經無法滿足現階段對資料安全維度的需求，雲上安全業務存在極大空缺，面對產業之間連線增強，雲上安全危害也隨之上升，與網際網路時代不同，雲時代面臨的駭客攻擊手段更為“巧妙”。

● 計劃性攻擊：在攻擊雲上伺服器之前，駭客有著針對性打法邏輯，對雲上暴露出的漏洞進行階段性攻擊，防止被專業安全攻防團隊定位追蹤，從而使得攻擊源頭排查難度加大。

● 規模化操作：單個終端主機發起的主動攻擊，已經難以對擁有絕對防護體系的雲造成傷害，而灰產團隊透過網路植入木馬病毒等入侵大量個人裝置，使之成為駭客“肉雞”，以此規模化攻擊雲上主機，使得雲上伺服器流量過載而崩潰。

●爆發性傷害：由於在特殊節點湧入人群眾多，對惡意訪問的人排查難度大，駭客往往在這些時間節點發起爆發性傷害，從而擊潰雲上服務端。

在雲端計算時代，雲上攻防能力成為對抗駭客有效手段之一。無論是雲上企業還是雲服務商，在面對當下複雜多變的雲安全問題時，攻防思維逐步開始從被動防禦向主動攻防轉變。對於企業而言，相比於自建網路安全攻防體系的複雜架構，選擇安全的雲服務商提供雲服務，成為大多數企業的選擇。而對於雲服務商而言，如何保障雲上資料安全，提供雲上攻防服務，保證雲上應用穩定，是雲上攻防體系建設首要基準。

產品篇
雲上攻防戰，騰訊雲注入原生力

騰訊雲安全攻防體系是建立在騰訊20餘年安全技術基礎之上的成果，對於騰訊而言，騰訊雲攻防體系的構建有雙重意義，一方面，維繫自身體系安全維護，保護騰訊雲上主機安全，保障執行在雲上的伺服器安全穩定，不被駭客攻擊，確保各個產品線安全運維；另一方面，將技術能力整合，整合在騰訊雲等產品中，為合作伙伴提供安全攻防助力，保障企業在伺服器中的資料安全、系統應用執行穩定流暢。

在雲上安全建設中，對於雲上企業而言，最核心訴求在於終端資料安全、伺服器運作穩定、技術安全可靠。

● 在資料安全方面，騰訊雲擁有業界領先的AI技術、威脅情報以及攻防能力，服務全球超過10億使用者、擁有500餘個業務場景，形成海量數字資產安全的“安全中臺”，保障企業資料安全；

●在伺服器穩定方面，騰訊雲伺服器搭載穩定的網路架構，採用成熟的網路虛擬化技術和網路卡繫結技術，在T3級以上資料中心中執行，保證網路高可用性、承載性；

●在技術可靠方面，騰訊雲安全架構設計遵循國際標準路線，是全球首家獲得ISO/IEC 27701:2019標準認證的雲服務提供商，在最新發布的《中國網際網路雲技術專利分析報告》中，騰訊的雲技術及安全專利申請量均為國內第一。

從網路安全到應用終端，從底層系統架構到應用資料保護，騰訊雲提供全通路安全攻防保障。在構建企業安全攻擊測試體系中，騰訊雲提供網站滲透測試、攻防演練 - 紅藍對抗以及安全眾測等服務，促進企業資訊系統完善，安全運維人員防護意識提升。而在企業防護體系建設上，騰訊雲提供網路安全防護、資料安全防護、終端安全防護、應用安全防護以及安全運營中心服務，建立有效的安全防護屏障。

騰訊云云上安全對抗體系圖

模擬攻擊線：以攻為守，檢測雲上安全漏洞

1. 網站滲透測試

透過完全模擬駭客可能使用的漏洞發現技術和攻擊技術，對目標系統的安全作深入的探測，發現系統最脆弱的環節，可有效地驗證每個安全隱患點的存在及其可利用程度，並從中找出企業最急需解決的安全問題，幫助管理者瞭解系統風險點分佈情況，讓管理人員直觀地知道自己網路所面臨的問題。騰訊雲擁有技術實力一流和攻防經驗豐富的專家團隊，同時結合騰訊七大聯合實驗室攻防專家，進行前瞻安全漏洞技術研究，洞察最新安全威脅。

2. 攻防演練 - 紅藍對抗

在瞭解企業實際安全狀況的基礎上，針對企業核心業務，模擬多種真實的紅藍對抗（網路攻防）場景，使企業人員瞭解常見網路攻擊過程與實際防護，培養和提升企業安全人員的安全意識，並從實戰環境中提高安全人員的安全技能和防護水平。可以在各個省級、市級之間開展紅藍對抗，影響範圍廣，可促進各個省市的資訊保安團隊的發展和交流，同時不限制攻擊手法，可以更好發現系統的脆弱點，加強技術人員安全技能，提高企業整體資訊保安技術。

3. 安全眾測

透過“白帽子”（正面駭客，可識別計算機系統或網路系統中的安全漏洞）進行私密、高效的安全測試，幫助企業全方位發現、並提交業務中存在的安全漏洞及風險，協助企業及時響應並修復安全漏洞，避免造成更大的業務損失。騰訊雲擁有一批專業的白帽子團隊，助力企業滲透測試，能從駭客角度發現系統安全漏洞和風險，測試覆蓋面廣，檢測細度顆粒化，確保企業系統各個層級都經過測試。

防護線：以守為攻，部署全方位防護層

1. 網路安全防護

網路安全層實際上是對應用層進行安全隔離，透過抵抗DDoS攻擊以及建立WAF防護體系等達到應用層基礎防護。

網路安全防護結構圖

抵禦DDoS攻擊：DDoS攻擊，也稱分散式拒絕服務攻擊，簡單來說，就是駭客透過操縱“肉雞”同一時間大量訪問某伺服器，最終導致被攻擊的伺服器無法正常使用。騰訊雲DDoS 防護具有全面、高效、專業的防護能力，為企業組織提供 DDoS 高防包、DDoS 高防 IP 等多種 DDoS 解決方案，應對 DDoS 攻擊問題。

騰訊雲透過充足、優質的 DDoS 防護資源，結合持續進化的“自研+AI 智慧識別”清洗演算法，保障使用者業務的穩定、安全執行。採取分散式防護的解決方案，透過在多地雲機房外部部署防護節點，分散流量，一方面提高攻擊者的攻擊門檻，另一方面增加DDoS防護的能力，同時還可以增加業務柔性，在面對大流量DDoS攻擊時提高業務可用性。

雲防火牆（Cloud Firewall，CFW）是一款基於公有云環境的SaaS化防火牆，為使用者提供網際網路邊界、VPC 邊界的網路訪問控制，同時基於流量嵌入多種安全能力，實現訪問管控與安全防禦的整合化與自動化，是客戶業務上雲的第一個網路安全基礎設施。

2. 資料安全防護

資料安全結構圖

騰訊雲綜合運用資料安全管理經驗和資料保護技術，打造了資料安全治理中心、資料加密服務、金鑰管理系統、憑據管理系統、資料安全審計、堡壘機、敏感資料處理等七大產品體系，針對性地在資料全生命週期每個階段提供保護，幫助使用者克服資料安全防護的“四大難”，助力企業快速構建資料安全防線。

從資料安全形度，騰訊雲安全採用符合國密局要求和金融等行業規範的雲服務密碼機提供資料加密服務，保障資料安全，規避風險。基於人工智慧的資料庫安全審計系統，可挖掘資料庫執行過程中各類潛在風險和隱患，為資料庫安全執行保駕護航；從資料管理角度，透過敏感資料發現演算法，資料安全治理中心可精確定位您的敏感資料，並有機結合 AI 技術與威脅情報，篩選出這些敏感資料的異常訪問操作，協助企業提前預防資料洩密問題。

3. 終端安全防護

終端安全防護結構圖

●零信任：依賴可信終端、可信身份、可信應用三大核心能力，騰訊雲實現終端在任意網路環境中安全、穩定、高效地訪問企業資源及資料。 在對使用者授予企業應用的訪問許可權之前，提供包括企業微信掃碼、Token 雙因子認證在內的多種身份驗證方式，驗證所有使用者的身份。根據特定使用者/使用者組的職能以及需求授予訪問許可權，確保使用者在接入內網後只能訪問到許可權內的應用和資料，實行最小許可權原則，更好地保護敏感生產環境的訪問安全。

●移動終端安全管理系統（EMM）：提供業務移動化安全管理解決方案，用於構建安全可管控的移動辦公空間。EMM為員工終端提供安全工作空間，將企業辦公環境與員工私人環境分開，同時提供身份、裝置、應用的統一後臺管理和移動風險檢測能力。

●主機安全：基於騰訊安全積累的海量威脅資料，利用機器學習為使用者提供駭客入侵檢測和漏洞風險預警等安全防護服務，主要包括密碼破解攔截、異常登入提醒、木馬檔案查殺、高危漏洞檢測等安全功能，解決當前伺服器面臨的主要網路安全風險，幫助企業構建伺服器安全防護體系，防止資料洩露。

4. 應用安全防護

應用安全防護結構圖

●Web 應用防火牆（WAF）：幫助騰訊雲內及雲外使用者應對 Web 攻擊、入侵、漏洞利用、掛馬、篡改、後門、爬蟲、域名劫持等網站及 Web 業務安全防護問題。企業組織透過部署騰訊雲網站管家服務，將 Web 攻擊威脅壓力轉移到騰訊雲網站管家防護叢集節點，分鐘級獲取騰訊 Web 業務防護能力，為組織網站及 Web 業務安全運營保駕護航。

●移動應用安全：提供APP全生命週期的一站式安全解決方案，涵蓋應用加固、安全測評、相容性測試、盜版監控、崩潰監測、安全元件等服務。

●漏洞掃描服務：用於監測網站漏洞的安全服務，為企業提供7×24小時準確、全面的漏洞監測服務，併為企業提供專業的修復建議， 從而避免漏洞被駭客利用，影響企業資產安全。目前漏洞掃描服務已廣泛應用於金融、通訊、政府、能源、軍工等多個行業，並已被多個行業監管機構和等級保護單位使用。

5. 安全運營中心（SOC）

基於海量的騰訊安全大資料，及豐富的安全經驗，持續監測客戶業務安全狀況，對安全事件實時告警，為使用者預警可能的安全風險。透過對海量資料進行多維、智慧的持續分析，為使用者提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力，並採取相應的安全措施，保障資訊系統安全，幫使用者實現全生命週期安全運營。

安全運營中心結構圖

能力篇
騰訊雲三大硬核，護衛企業雲上安全

對於企業而言，雲上攻防能力是根基。騰訊七大聯合實驗室為騰訊雲注入原生力，基於機器學習、人工智慧、邊緣計算、數字孿生等前沿技術打造雲安全產品，最大化滿足企業在運維過程中所需要的安全防護，為客戶提供安全維度上的攻防能力整合。

騰訊七大聯合實驗室

● 前沿科技：作為騰訊雲支撐性特性，安全是底層核心。而作為企業雲上攻防要素之一，雲原生被認為是企業“雲化”戰略的基石，所謂雲原生，是一種構建和執行應用程式的方法，它利用了雲端計算交付模型中的優勢，對如何建立和部署應用程式進行融合，這意味著應用程式位於雲中，而不是傳統資料中心，極大保障資料的安全性以及可控性。雲原生所構建的安全體系，提供包含網路和訪問安全、應用安全、資料安全、系統安全、雲基礎架構安全。正是這些應用架構層的安全，為騰訊雲提供了一道安全防火牆。

相對於IT基礎設施的“上雲”，騰訊云云原生技術產品基於最新的容器、微服務、無伺服器技術，幫助企業從開發、部署、運維等軟體全生命週期構建原生雲端應用，一方面可以全面發揮雲端計算的彈性伸縮和按需使用的優勢，幫助企業快速構建適應網際網路模式的新一代業務架構，另一方面，幫助企業構建全鏈路安全體系，保障企業在雲上安全、穩定。

● 人才梯隊：在安全人才建設方面上，騰訊雲擁有絕對的人才矩陣，聯動騰訊七大聯合實驗室以及安全平臺部超過300人的研究力量成立“雲全棧安全研究工作組”，對雲上安全進行全面、前瞻性的研究，同時，集結3500名安全專家以及技術人員注入到騰訊雲安全體系建設中，為雲上安全防護提供人才助力。

● 生態建設：構建行業最佳防禦方案，需要整合各家核心安全能力，騰訊雲聯合安全生態夥伴，發起P17安全領袖俱樂部，同時聚合國內主流安全新銳力量FP50俱樂部，與產業網際網路生態夥伴共同建設安全生態體系。另外，騰訊安全聯動了各個安全產品和裝置的優勢為客戶進行協同防禦。在協同體系之下，既有騰訊自身沉澱的原生安全能力，也有來自產業鏈生態夥伴的優秀能力，注入到騰訊雲安全生態中，安全效益得以最大化發揮。

CSS 2019 P17安全領袖圓桌

實戰篇

騰訊云云上攻防實踐

貴州雲安全實戰攻防賽：

2018年，在堪稱國內最嚴苛雲安全實戰演練賽“貴陽大資料及網路安全攻防演練”中，騰訊雲在“攻”和“防”兩個專案中均拔得頭籌，實力奪冠。演練活動接近實戰，旨在檢驗國內主流雲服務平臺的安全效能。來自騰訊等國內44個一線專業安全團隊，分別針對國內主流雲平臺展開攻防演練對抗，最終騰訊eee戰隊在“攻擊”單元奪得冠軍，同時由數字廣東安全、騰訊安全平臺部、騰訊企業IT部、騰訊雲安全、騰訊安全科恩實驗室等組成的騰訊安全聯隊在對抗攻擊的防禦中，始終保持不被攻破，實現自身雲平臺100%防禦。

GeekPwn雲安全挑戰賽：

2019年10月，騰訊安全雲鼎實驗室攜手GeekPwn發起雲安全挑戰賽，這也是目前全世界首個基於真實通用雲環境的雲安全攻防競賽。騰訊安全雲鼎實驗室透過採用最主流的雲平臺開源元件，結合實驗室雲攻防靶場黑科技，構建了一個真實的、可以完整工作的全棧雲環境，完全復現主流雲平臺的架構、技術和系統軟硬體環境，預演雲上攻防。在技術與產業結合上，雲鼎實驗室也將技術能力注入到騰訊雲安全體系中，為騰訊雲提供雲上攻防安全保障，從而更好地為產業提供一個更為安全的雲環境。

雲上保衛戰：

騰訊安全應急響應中心（TSRC）聯合騰訊安全雲鼎實驗室啟動“雲上保衛戰”，針對騰訊雲重點產品的專項漏洞徵集活動，該方案目的是為保障雲上業務安全，發現潛在安全風險並推動修復，致力提升雲服務整體的安全性，保障和促進雲端計算業務的發展與執行，為雲上價值的實現提供安全保障。最終累計發現超過34個有效漏洞，高危佔比56%，有效收斂線上安全風險。

重保專案演練：

騰訊雲與某銀行在雲專案中進行合作，雙方攜手以騰訊雲TCE專有云為核心，在40多天的時間內快速搭建出一個符合公有云標準的金融級生態雲平臺，構建了完整的底層基礎設施、容器、安全防護以及對應的運維技術能力。並且，在一次重保專案實踐中，騰訊雲協助該銀行成功阻斷攻擊19.7億次，封禁IP 6.8萬，事件調查52次，保護了雲平臺及平臺上數十個租戶，上百個應用系統，數千個主機資產。

勒索病毒事件：

2017年5月12日，利用永恆之藍漏洞傳播的WannaCry蠕蟲勒索病毒爆發，短短几天之內，全球100多個國家和地區，數十萬臺電腦遭到了攻擊，雲鼎實驗室情報團隊迅速反應，針對騰訊雲上使用者釋出疫情告警，並同步開啟聯動封堵防護機制，阻斷來自外部的蠕蟲利用請求，避免了該病毒在騰訊雲上傳播擴散，騰訊雲上的幾十萬使用者鮮有受到感染，疫情在最短時間內得到全面控制。

隨著越來越多企業選擇上雲，雲上安全攻防實力成為企業價值的重要引數之一。騰訊雲依託騰訊在安全維度上多年技術、人才、經驗積累，聚合眾多安全生態夥伴能力，將持續為眾多企業、銀行、各地政府機構等，提供安全、穩定、可靠的產業雲服務。