騰訊董志強：基建、研發、安全——雲安全前沿技術探索和實踐

產業網際網路飛速發展，各行各業加速“上雲”，相應的雲上安全需求也正持續升溫。

11月4日，2021騰訊數字生態大會·Techo Day技術峰會在武漢召開。Techo Day上，騰訊安全副總裁、騰訊安全雲鼎實驗室負責人董志強帶來了《基建、研發、安全——騰訊雲安全前沿技術探索和實踐》的主題演講，對數實融合時代下如何更好開展雲上安全建設進行了觀點與實踐經驗分享。過去幾年，為了保障雲的安全性，騰訊安全做了大量工作，以保障騰訊雲平臺本身的安全性，並逐漸形成了一整套面向雲原生的全棧安全產品體系，滿足雲上租戶不同形態的安全防護需求。

“騰訊雲服務於百萬級別的行業客戶，小到幾十人的初創公司，大到幾萬人的大型企業，很多客戶把核心的業務和數字資產放在騰訊上，我們要為這些業務和數字資產搭好安全防線。”騰訊安全副總裁、騰訊安全雲鼎實驗室負責人董志強表示。

以下為董志強演講實錄： 

數字化的重要性在今天幾乎不言而喻。對於企業而言，數字化是在當下數字經濟的環境中獲得高質量發展、提高效能的必然選擇。數字化過程中，“上雲”是關鍵步驟。

越來越多企業將核心IT設施和工作負載遷移到雲上，IDC的一個報告顯示，到2025年，50%的中國企業IT基礎設施支出將分配給公有云，四分之一的企業IT應用將執行在公有云服務上。“上雲”是大勢所趨，但在客觀上也帶來了安全隱患，目前網路攻擊手法日益APT化，雲上安全防護也成為了整個行業共同關注的焦點。

我們雲鼎實驗室從成立以來就致力於雲安全的研究，過去幾年我們也一直在承擔騰訊雲底層安全工作的建設，騰訊“930”架構升級、投入產業網際網路之後，我們也通過騰訊雲把積累多年的安全能力以SaaS服務的方式開放給行業。

我們從自己的實踐角度，今天給大家分享三個方面的議題：

首先，我們如何保障雲本身的基礎設施安全。其次，我們如何通過雲原生安全產品和服務體系，為雲租戶提供安全保障。第三，我們如何通過雲原生安全託管服務，提升行業安全基線。

一、 雲原生基礎設施安全

首先是基礎設施層面。這裡麵包含了雲的基礎設施本身安全、軟體生命週期安全、雲平臺安全運營能力和紅藍演練等幾個維度。

騰訊雲服務於百萬級別的行業客戶，從幾十人的初創企業到上市公司，各種規模都有，很多客戶把核心的業務和數字資產放在騰訊上，我們要為這些業務和數字資產搭好第一道防線。

基礎設施安全是整個安全體系的基礎，也是上層應用安全、業務安全、資料安全的底座。基礎設施包括資料中心、伺服器硬體、作業系統和應用系統，只有全棧安全才是立體的、全方位的安全，也是雲平臺要達成的目標。騰訊雲從硬體設計階段開始，到租戶應用系統，在平臺的每一層都有大量安全技術的融入，並結合安全監控，安全運營確保雲平臺基礎設定全棧防禦、全棧監控，從而實現全棧安全。

在作業系統這層，我們內建了大量的安全加固機制，比如0day自動防禦，可以實現無補丁的抵禦0day攻擊；在hypervisor這層，我們開發了HyperGuard，防範虛擬化逃逸漏洞攻擊，當前已公佈的逃逸類漏洞攻擊全部可以免疫。

在雲產品安全維度，我們基於騰訊雲的研發運維模式建立了DevSecOps模型並落地實踐，基於一站式DevOps平臺與流程，在專案協同、編碼、程式碼管理與分析、自動化測試、等各個環節嵌入安全活動；通過自研的方式建立安全工具鏈，建立安全門禁，實現安全度量，從不同階段和維度收斂安全風險，並實現部分場景的預設安全，以此來實現騰訊雲產品的出廠安全。

今年的可信雲大會上，信通院牽頭髮布了一系列研發運營安全工具標準，我們也是也主要的起草單位之一。

為了保障雲平臺的安全，我們通過邊界控制、防禦加固、加強檢測能力三方面來建設雲平臺基礎安全能力，縮小云平臺的風險攻擊面，減少雲平臺的脆弱性。在雲平臺基礎安全能力已經具備的基礎上，為了提升安全運營效率，實現自動安全閉環，我們建設了安全運營平臺。平臺整合了安全告警黑白灰分離、專家策略、機器學習、紅藍檢驗等能力，遵循PDCA的閉環原則，從資料接入、加固防禦、安全檢測、告警處置等方面實現了“人+機+知識”協同互動的自動化，視覺化的雲平臺安全運營管理。

通過前面說的幾方面的的基礎建設，騰訊雲目前已經具備了百萬級告警資料處理能力，通過持續跟蹤安全指標並不斷改進，建立了豐富的規則庫，將平均MTTD降到了3小時以內，有效提升了雲平臺安全運營效率。截至目前，我們已經接入600多個基礎設施審計日誌，覆蓋300多萬資產，在加固方面已經適配30多種安全基線，漏洞修復率達到了99.9%；運營和安全策略方面也有較好的效果。

安全就是一個持續動態對抗的過程，實踐是檢驗安全性的最好標準。正如木桶原理，最短的木板是評估木桶品質的標準，安全最薄弱環節也是決定系統好壞的關鍵。

對於騰訊雲而言，不管是在安全體系建設初期還是完善之境，均需要一定的手段來測量最短木板的長短，紅藍對抗就是這樣一種測量方式。

紅藍對抗演習是騰訊雲安全體系建設的一個常態化工作，通過持續對抗演習來驗證整體安全防禦情況，發現疏漏的風險盲點與攻防場景，同時實現安全練兵與提升響應效率，並進一步提升騰訊雲員工安全意識，從而實現整體安全體系的不斷完善與安全水位線的持續提升。

二、雲原生安全產品和服務

底層安全只是第一層保障，到了應用層面，對於不同行業、不同體量的企業來說，他需要的安全防護等級和內容是不一樣的。騰訊過去也有海量的業務場景，我們把自己多年安全建設相關的經驗進行了產品化，並聯合我們的業務生態合作伙伴一起，為行業客戶打造了一套雲原生的安全“自助餐”。

我們從雲原生安全、計算安全、應用安全、資料安全、治理安全幾個維度，提供了一系列雲上工具包。使用者可以根據自己的行業屬性，針對性進行組合搭配。

其中有一些產品和服務經過規模化應用，形成了自己的特色，我們在其中也沉澱了一些實踐經驗。我挑了幾個比較有代表性的產品跟大家展開分享。

首先是容器安全。騰訊安全具有多年雲原生安全領域的研究和實踐運營經驗，同時結合騰訊雲容器平臺TKE千萬級核心規模容器叢集治理經驗，設計落地騰訊雲原生容器安全體系。

騰訊雲原生容器安全體系基於安全能力原生化、安全防護全生命週期、安全左移和零信任安全架構設計原則，實現從基礎設施、容器平臺、應用、DevSecOps、安全管理的完整安全防護方案。

確保使用者實現容器業務上線即安全的目標，面向容器業務從構建部署到執行時，容器安全服務可以提供完整的全生命週期安全防護，更好地助力使用者安全的實現雲原生轉型，享受雲原生帶來的紅利我們也把一些容器安全相關的經驗和方法沉澱下來。最近，騰訊安全雲鼎實驗室聯合騰訊雲容器團隊共同撰寫併發布了《騰訊雲容器安全白皮書》。白皮書介紹了騰訊雲在容器安全建設上的思路、方案以及實踐，並希望以這樣的方式，把我們的一些心得分享給業界，共同推動雲原生安全的發展。

第二個要分享的是騰訊的雲防火牆。

傳統防火牆產品通常只能通過CVM映象方式在雲環境下部署，客戶採用這類方案，通常有3個痛點：

1、實施部署比較麻煩；

2、效能受限於承載安全映象的CVM，無法應對業務流量的突發需求；

3、需要進行負責的HA雙機熱備部署。

而云原生的防火牆，利用了雲的優勢，即開即用，分鐘級即可完成部署，同時還可實現彈性的擴充套件，也無需客戶關注複雜的雙機HA部署，天然內建高可靠。

此外，騰訊雲防火牆也提供了很多獨有的原生安全能力，比如一鍵網際網路資產暴露面分析全網的威脅情報聯動，小時級別的網路虛擬補丁技術，讓雲防火牆成為雲上流量的安全中心。

在戰爭中，情報是核心生產力。威脅情報的出現推動了傳統事件響應式的安全思維向全生命週期的持續智慧響應轉變藉助威脅情報，企業能從網路安全裝置的海量告警中解脫出來，以更加智慧的方式掌握網路安全事件、重大漏洞、攻擊手段等資訊，並在第一時間採取預警和應急響應等工作。

騰訊擁有全球最大的威脅情報庫、黑產知識圖譜，我們有頂級安全實驗室和安全人才的加持，我們的情報質量在客戶環境和實驗室檢測中，結果都經過驗證的。

最近幾年，零信任是安全行業的“風口”。騰訊是國內最早踐行零信任的企業，去年疫情突然爆發的時候，我們IT部門只用了幾天時間就把7萬多員工全量切換成了基於零信任架構的遠端辦公模式。

在我們自己實踐之後，也對外輸出了行業解決方案，也就是騰訊iOA，目前我們已經推出了SaaS版的服務。

它是一款基於零信任架構的應用安全訪問雲平臺，為企業提供安全接入資料中心的解決方案，企業客戶通過iOA雲控制檯實現對資料中心訪問許可權管理和終端安全管控。

iOA SaaS版提供輕量級客戶端或者無端版本，管理後臺全部部署在騰訊雲上，通過聯結器即可實現iOA和企業資料中心的連線，部署非常方便。

騰訊iOA SaaS版的客戶目前已覆蓋多個行業，例如高校，他們比較典型的場景是內網的一些應用釋出到外網不受保護，安全隱患很高，通過iOA SaaS方案實現了通過企微工作臺快捷、安全的訪問內部應用。管理員還可以進行訪問許可權的管控，禁止惡意/無權的訪問。

再例如我們服務的一家國際比較知名的酒店，企業內部系統執行歷史悠久，部署在內網且以單一帳號認證，爆破風險較高。iOA SaaS就為它提供了雙因子認證的保護，幫助它進行內網應用快速遷移上雲。

《資料安全法》正式實施了，企業使用者對於資料安全方面的訴求也迅猛增長，要在短時間內完成資料安全合規要求，傳統的私有化部署可能面臨需要大幅度的系統改造以及效能損耗的問題。

我們結合雲上資料安全防護經驗，推出了雲原生的資料安全解決方案，以雲加密機為計算資源的底座，為使用者和上層產品提供硬體級合規的密碼計算資源，以KMS&SSM為雲平臺的密碼基礎設施，提供硬體級合規安全的金鑰和憑據管理平臺，通過雲產品和KMS的無縫整合，為使用者提供各類雲產品的透明加密能力。

通過雲訪問安全代理CASB，可以在業務免改造的前提下，實現資料欄位級加密、脫敏和資料分類分級等。雲原生的資料安全方案為使用者提供了更輕、更快更新的一站式資料安全能力。

目前，資料安全在各個行業都有廣泛的應用，以某地的抗疫小程式為例，通過接入資料安全中臺，快速實現了對2億條國民敏感資料的安全保護，解決了資料加密改造難的問題，讓業務方在應用免改造的情況下通過策略配置快速實現敏感欄位的加密和脫敏。

資料加密的金鑰通過騰訊KMS安全託管在硬體加密機，在解決資料安全的同時滿足合規的要求。最大的優勢就在於有效的降低了資料安全的接入門檻，讓即使對資料安全技術不是太瞭解的團隊也能夠快速實現資料安全保護。

一個好的安全防禦體系需要一個指揮中樞，安全運營中心就承擔了指揮中心的作用。

騰訊雲原生安全運營中心沿用經典自適應安全體系設計；多源資料的融合匯聚，包括自主可控的流量、端、雲上資料採集，也支援開放的第三方資料採集；檢測方面，依賴關聯引擎、情報分析引擎及UEBA引擎能力，對內外威脅進行分析，可聯動自動編排響應引擎。

雲原生安全運營中心具備五大特點：1、支援多角色、多租戶的組織架構。2、適配雲上及雲下多業務環境。3、從實戰中歷練，多種檢測手段與分析技術，流量側與端側的資料貫通分析。4、充分利用騰訊在視覺化方面的積累，娛樂級的可視效果。5、從實戰中歷練，可靠的安全運營服務。

在雲原生的框架下，我們前面提及的各種雲安全產品各司其職，由安全運營中心統一排程，原廠、原裝的強大產品體系，為企業使用者提供一套堅實的安全防護網。

三、雲原生安全託管服務

我們前段時間剛剛正式釋出了安全託管服務MSS，這是我們過去幾年工作內容的一個產品化成果，它可能代表了安全行業的一個發展趨勢，即安全建設正在從傳統的產品驅動轉向服務驅動轉變。

我們和各行業客戶交流過程中，發現很多使用者上雲後，在安全運營方面都面臨著如下問題：

安全產品告警劇增，導致運營處置成本增加；2、企業業務增速增加，安全建設人力有些跟不上；3、安全自動化程度不足，導致運營效率偏低。

針對這些問題，騰訊雲從內外部產品研發、服務交付以及服務運營等多個環節進行安全流程設計和能力沉澱，構建了全鏈條的端到端的安全服務體系。

其中，針對客戶上雲後面臨的安全運營方面的典型痛點和問題，我們推出了MSS安全託管服務。

騰訊雲的安全託管服務MSS主要對雲上各類租戶的最佳安全實踐場景進行沉澱，通過自研的安全編排和自動化響應系統，結合騰訊安全情報、全網攻擊資料，提升雲上攻防對抗能力，實現安全服務的標準化和高效化。

目前託管的服務品類包括2大類和十幾項安全服務內容，分別面向日常安全運營場景及重大活動護航場景。

這是一個我們上半年服務的某政企客戶攻防演練案例。當時，客戶所有系統均放在不同公有云廠商，內部無專職安全團隊，只有研發團隊，業務需求緊迫，部分測試環境無法關閉，涉及業務種類繁多，同時之前還在攻防演練開始的第一天被攻破，在新的攻防演練活動背景下，找到我們，希望幫忙開展服務保障。

最終通過MSS服務人員對現狀進行為期一週的梳理和推動修復、以及攻防開始後的實時監控和攔截防護，最終順利防守住了攻擊。

在前幾個月剛結束不久的大型攻防演練專案中，騰訊MSS服務的灰度接入了部分雲上重點使用者，最終均順利支撐這些服務目前累計支撐了幾十家使用者的大型攻防演練保障及日常運全運營，支撐的伺服器規模達數萬臺。

我們在雲服務託管上的能力也得到了國際研報的認證。頭豹研究院聯合Frost &Sullivan釋出最新《2021年中國安全託管市場報告》，從風險趨勢、供應商能力、市場前景和技術趨勢等多個維度，對國內安全託管市場做了全面的調研與分析。

基於基礎指數、成長指數、服務能力、市場影響力四個維度計算，沙利文認為中國安全託管市場競爭力梯隊已經成型，騰訊雲在其中居於行業領導者地位。

不管騰訊雲自身的安全保障還是服務客戶的過程中，我們發現，安全行業面臨非常大資源缺口、人力缺口。面對這麼多的制約，怎麼解決這個問題？

全靠人驅動是不現實的，第一，沒有這麼多專業人力，第二，即使有足夠多的安全專家，但人是會懈怠的、會疏忽的。

結合過去三年落在騰訊雲自身的安全管理的基本路線，我們認為，只有把儘可能多的安全能力以雲原生的方式納入雲平臺自身的能力，才能比較好的應對當今數字經濟全面發展過程中的安全風險。