2015年11月19日,GITC2015全球互联网技术大会在北京国家会议中心如期举行。腾讯云安全中心总监周斌先生在会上做了《守卫安全 创造价值》的主题演讲,向大家深入剖析了公有云平台的现状以及如何着手来建设一个更安全的云未来。
这是糟糕的时代,也是最好的时代
近几年来,互联网普及率和全球云计算市场规模呈持续稳步增长状态,云计算的需求不断提高,服务器的规模也不断扩大。但是,在这个信息引领社会前进的互联网+的时代,大规模运营的公有云系统也可能会遇到云服务器硬件问题,或是稳定性、运维性以及数据安全和网络安全等多方面的风险。
比如在互联网与多种行业结合的状况下,我们经常会看到DDoS流量逐步提高,O2O打车行业刷单严重,iCloud被无限次验密爆破,Gmail被撞库导致550万账户密码泄漏, Sony PSN 被入侵后7700万用户信息泄漏等新闻,这类风险极大的阻碍了互联网的发展,同时这些数据安全事故无时无刻不在提醒人们,维护一个安全稳定的云平台刻不容缓。
公有云需要什么样的安全风险感知系统
周斌说:“面对潜在的云安全风险,预防永远比补救要来的及时,我们需要的并不是一个告警的监控系统,而是要对安全风险的存在进行提前感知,在安全事故发生前感知异常,拦截风险。”
安全感知系统怎么做?周斌表示先从云本身的基础架构来看。他分享了腾讯云的基础架构,包括CDN加速层、网关代理层、宿主机和业务及存储网络层这四层。基于此基础架构,腾讯云的安全感知架构针对基础安全、物理安全、网络安全、数据安全、内部审计等多个安全模块,部署了演习系统、实时分析系统和离线分析系统三大系统,预先收集信息、发现问题。加上腾讯云日均海量数据入库,腾讯云在所有安全组件中都嵌入一个基础的SDK收集关键信息,最终进入SDW数据仓库中。其中根据数据需要的反应速度和分析的不同,SDW包括CDB的集群、TDW集群、Hadoop集群来对不同数据进行分析感知,在问题爆发之前及时填补漏洞,为云计算用户提供一个安全可靠的运营平台。
腾讯云模块化安全功能,有效保护云中各角色
“为了更好的应对网络安全问题,我们给云上的风险分了四大类——数据安全、平台安全、流程规范、内部审计,”周斌说,“针对每个类别,腾讯云都有相应的防御措施。”
谈及数据安全,周斌表示权限、加密、检测这三点是关键。在进行权限控制时,腾讯云端到端有四把验证钥匙,分别是用户票据、用户数据权限、业务签名、业务数据权限。四把“钥匙”开锁缺一不可,这样就能有效防止黑客入侵或者内鬼的破坏,保证数据的安全。另外密钥管理、水印检测等防御措施也是保护数据安全的重要手段。
在针对基础平台的安全问题上,腾讯云部署四项措施来进行风险感知,包括整体架构的大盘输出、拦截演算反向验证、TSRC分享情报和历史监控联动分析,以此提前发现问题。云上发现问题之后细化隔离是必不可少的,腾讯云通过基线扫描、人工流程和物理区域控制三项关卡,凭借规则扫描、网络探测、流量探测、子机探测等探测手段,做到物理层、网络层、基础组件与用户层以及IDC间的隔离构建严格的隔离策略。
并且腾讯云在云机房部署了自研检测设备集群—宙斯盾防护系统,这个系统基于 DPI 检测技术,能够快速准确地发现针对业务的各种DDoS攻击;而且通过采用运营商黑洞路由、外网核心ACL、专业清洗设备等多种手段,形成多层级的防护架构,加之三大网络供应商提供的500G大带宽,能够有效抵御各种DDoS攻击。
在流程规范问题上,腾讯云在培训、网络设计、组件开发、发布、运营、审计、问题发现、修复等各个环节都配备了相应的安全规范,以保障开发流程的正常进行。在安全体系层面,腾讯云在外部接口层、接入层、安全服务层、数据层等多个层级上都进行安全检测、隔离等措施,以一个完整的体系为用户构建安全堡垒。
周斌说:“在大数据时代,未来的安全问题最终还是数据问题。而且这是一个长期的问题,需要行业一起努力。”目前腾讯云不仅以完善的安全功能、严密的鉴权机制和可靠的审计结果构建了安全的信任边界,并以此输出了一系列服务产品在腾讯云上。同时腾讯云正在不断地开放安全技术能力,与安全厂商携手部署公有云安全,共同向用户提供安全产品和服务,为客户业务顺利发展保驾护航。