腾讯董志强：云平台高安全等级架构实践与思考

　　近年来，云计算已逐渐成为赋能数字经济的底座和基石，云平台上承载了大量关系国计民生的业务系统和数据，其安全性、稳定性关系到国家安全和社会生产生活有序开展。董志强表示，云平台成为数字化基座，行业里普遍通过云原生安全实现云平台的安全措施，但腾讯云在具体实践的工作过程中发现，云原生不足以覆盖云平台安全建设的细节和方方面面。因此腾讯云以结果导向，提出云平台高安全等级架构并进行具体实践，建立了一套行之有效的云平台安全体系。董志强认为，云平台的“基座”性质决定了稳定性是第一要务，因此在安全建设上，如何尽可能地“安全左移”、尽可能地在不改动业务逻辑的情况下提供安全防护，这是云安全建设首要考虑的问题。其次，由于“责任共担”模式在行业没有形成统一共识，一定程度上存在平台和租户权责不清晰的问题，很多租户对自己云主机上运行的数据和业务缺乏安全责任意识，作为云平台方，如何才能在权限范围内尽可能地为云上租户提供更多的防御机制。腾讯安全云鼎实验室通过多年实践，沉淀出了一整套防护体系，包括云的默认安全、云上漏洞治理体系、内核0day漏洞防御机制、全局封堵能力等等，这套体系支撑了腾讯云的安全稳定运行，实现了最小程度上的业务干扰，并为云上租户提供高水位的安全保障。例如，当某个系统或者客户使用的商业软件以及开源软件等被披露了高危漏洞，并且漏洞利用的代码已经在互联网流传，但仍然有相当比例的云租户没有更新版本或者打补丁，但云鼎实验室通过应用全局封堵能力，将腾讯云上和该漏洞相关的探测、扫描或者代码利用行为予以监测和封堵，以此来保障云上用户的安全性。腾讯安全云鼎实验室成是腾讯安全旗下顶级实验室之一。云鼎实验室坚持研究创新和实践落地并重的技术路线，专注于云安全技术研究和创新工作，在大规模云安全防护和治理、云原生安全技术、密码学和云数据安全、容器和虚拟化安全、硬固件和基础设施安全等多个领域展开技术研究和产品创新工作。云鼎实验室同时也负责腾讯云平台自身的安全建设、防护和治理工作，通过持续性安全攻防对抗、合规审计、管控体系安全治理体系建设、大数据安全运营平台、和云原生安全托管服务（Cloud-MSS）持续保障腾讯云平台及云上数百万租户的安全。发布业内首个云安全攻防矩阵2021年9月26日，首届“西部云安全峰会”在西安成功举办。会上，腾讯安全云鼎实验室首次披露云端攻防最新成果——云安全攻防矩阵。该矩阵基于MITRE ATT&CK框架，针对云上安全所面临的威胁以及攻击技术进行整理，从实战角度出发，助力企业知攻知防。攻防实战经验集结成《云上安全攻防实战手册》并公开发布“攻防对抗”作为云上安全的一道防护屏障，可有效助力企业打破被动防御的困局。鉴于此，腾讯安全依托20余年网络攻防实战技术的沉淀，为腾讯云超百万台服务器进行安全护航的实战经验，从元数据服务、对象存储服务、Kubelet访问控制机制、安全漏洞等角度出发，汇编成《云上安全攻防实战手册》，以期为行业带来技术参考。信通院2021 企业数字化治理先锋案例基于多年在数字化应用领域的技术积累和数据安全治理工作的实践经验，腾讯安全云鼎实验室推出云数据安全解决方案，通过基于商用密码技术的数据加密软硬件服务(HSM/SEM)、密钥与凭据管理系统(KMS/SSM)以及云访问安全代理(CASB)三大核心能力，打造端到端的云数据全生命周期安全体系，可为用户提供全数据生命周期保护支持、完整的云产品生态集成以及随取随用的数据安全服务及加密API/SDK服务，帮助企业用户极简化地实施云数据安全保护及数据加密方案，低成本、高效率地应对来自数据安全的挑战。举报/反馈