騰訊雲安全風險感知系統 助力公有云進入最好的時代

2015年11月19日，GITC2015全球互聯網技術大會在北京國家會議中心如期舉行。騰訊雲安全中心總監周斌先生在會上做了《守衞安全 創造價值》的主題演講，向大家深入剖析了公有云平台的現狀以及如何着手來建設一個更安全的雲未來。

近幾年來，互聯網普及率和全球雲計算市場規模呈持續穩步增長狀態，雲計算的需求不斷提高，服務器的規模也不斷擴大。但是，在這個信息引領社會前進的互聯網+的時代，大規模運營的公有云系統也可能會遇到雲服務器硬件問題，或是穩定性、運維性以及數據安全和網絡安全等多方面的風險。

比如在互聯網與多種行業結合的狀況下，我們經常會看到DDoS流量逐步提高，O2O打車行業刷單嚴重，iCloud被無限次驗密爆破，Gmail被撞庫導致550萬賬户密碼泄漏， Sony PSN 被入侵後7700萬用户信息泄漏等新聞，這類風險極大的阻礙了互聯網的發展，同時這些數據安全事故無時無刻不在提醒人們，維護一個安全穩定的雲平台刻不容緩。

公有云需要什麼樣的安全風險感知系統

周斌説：“面對潛在的雲安全風險，預防永遠比補救要來的及時，我們需要的並不是一個告警的監控系統，而是要對安全風險的存在進行提前感知，在安全事故發生前感知異常，攔截風險。”

安全感知系統怎麼做？周斌表示先從雲本身的基礎架構來看。他分享了騰訊雲的基礎架構，包括CDN加速層、網關代理層、宿主機和業務及存儲網絡層這四層。基於此基礎架構，騰訊雲的安全感知架構針對基礎安全、物理安全、網絡安全、數據安全、內部審計等多個安全模塊，部署了演習系統、即時分析系統和離線分析系統三大系統，預先收集信息、發現問題。加上騰訊雲日均海量數據入庫，騰訊雲在所有安全組件中都嵌入一個基礎的SDK收集關鍵信息，最終進入SDW數據倉庫中。其中根據數據需要的反應速度和分析的不同，SDW包括CDB的集羣、TDW集羣、Hadoop集羣來對不同數據進行分析感知，在問題爆發之前及時填補漏洞，為雲計算用户提供一個安全可靠的運營平台。

騰訊雲模塊化安全功能，有效保護雲中各角色

“為了更好的應對網絡安全問題，我們給雲上的風險分了四大類——數據安全、平台安全、流程規範、內部審計，”周斌説，“針對每個類別，騰訊雲都有相應的防禦措施。”

談及數據安全，周斌表示權限、加密、檢測這三點是關鍵。在進行權限控制時，騰訊雲端到端有四把驗證鑰匙，分別是用户票據、用户數據權限、業務簽名、業務數據權限。四把“鑰匙”開鎖缺一不可，這樣就能有效防止黑客入侵或者內鬼的破壞，保證數據的安全。另外密鑰管理、水印檢測等防禦措施也是保護數據安全的重要手段。

在針對基礎平台的安全問題上，騰訊雲部署四項措施來進行風險感知，包括整體架構的大盤輸出、攔截演算反向驗證、TSRC分享情報和歷史監控聯動分析，以此提前發現問題。雲上發現問題之後細化隔離是必不可少的，騰訊雲通過基線掃描、人工流程和物理區域控制三項關卡，憑藉規則掃描、網絡探測、流量探測、子機探測等探測手段，做到物理層、網絡層、基礎組件與用户層以及IDC間的隔離構建嚴格的隔離策略。

並且騰訊雲在雲機房部署了自研檢測設備集羣—宙斯盾防護系統，這個系統基於 DPI 檢測技術，能夠快速準確地發現針對業務的各種DDoS攻擊；而且通過採用運營商黑洞路由、外網核心ACL、專業清洗設備等多種手段，形成多層級的防護架構，加之三大網絡供應商提供的500G大帶寬，能夠有效抵禦各種DDoS攻擊。

在流程規範問題上，騰訊雲在培訓、網絡設計、組件開發、發佈、運營、審計、問題發現、修復等各個環節都配備了相應的安全規範，以保障開發流程的正常進行。在安全體系層面，騰訊雲在外部接口層、接入層、安全服務層、數據層等多個層級上都進行安全檢測、隔離等措施，以一個完整的體系為用户構建安全堡壘。

周斌説：“在大數據時代，未來的安全問題最終還是數據問題。而且這是一個長期的問題，需要行業一起努力。”目前騰訊雲不僅以完善的安全功能、嚴密的鑑權機制和可靠的審計結果構建了安全的信任邊界，並以此輸出了一系列服務產品在騰訊雲上。同時騰訊雲正在不斷地開放安全技術能力，與安全廠商攜手部署公有云安全，共同向用户提供安全產品和服務，為客户業務順利發展保駕護航。