一文透析騰訊云云上攻防體系

近年來，網絡安全問題變得愈發嚴峻，企業被黑客攻陷事件層出不窮，企業攻防猶如一道隔絕外界侵擾的屏障，一旦屏障被攻破，信息數據安全便失去保障。隨着雲計算浪潮到來，愈來愈多企業開始在雲上探索新航線，指望解決應用數據量龐雜、服務器運維成本高、主機運行不穩定、配套資源待完善等問題，而云計算應用的熱潮，也讓雲上安全成爲新的命題。

攻防對抗：

雲上安全的一道牆

進入雲時代，企業與企業之間以及企業與用戶之間的緊密程度逐步增強，單一存儲載體已經沒法知足現階段對數據安全維度的需求，雲上安全業務存在極大空缺，面對產業之間鏈接加強，雲上安全危害也隨之上升，與互聯網時代不一樣，雲時代面臨的黑客攻擊手段更爲「巧妙」。

●計劃性攻擊：在攻擊雲上服務器以前，黑客有着針對性打法邏輯，對雲上暴露出的漏洞進行階段性攻擊，防止被專業安全攻防團隊定位追蹤，從而使得攻擊源頭排查難度加大。

●規模化操做：單個終端主機發起的主動攻擊，已經難以對擁有絕對防禦體系的雲形成傷害，而灰產團隊經過網絡植入木馬病毒等入侵大量我的設備，使之成爲黑客「肉雞」，以此規模化攻擊雲上主機，使得雲上服務器流量過載而崩潰。

●爆發性傷害：因爲在特殊節點涌入人羣衆多，對惡意訪問的人排查難度大，黑客每每在這些時間節點發起爆發性傷害，從而擊潰雲上服務端。

在雲計算時代，雲上攻防能力成爲對抗黑客有效手段之一。不管是雲上企業仍是雲服務商，在面對當下複雜多變的雲安全問題時，攻防思惟逐步開始從被動防護向主動攻防轉變。對於企業而言，相比於自建網絡安全攻防體系的複雜架構，選擇安全的雲服務商提供雲服務，成爲大多數企業的選擇。而對於雲服務商而言，如何保障雲上數據安全，提供雲上攻防服務，保證雲上應用穩定，是雲上攻防體系建設首要基準。

產品篇

雲上攻防戰，騰訊雲注入原生力

騰訊雲安全攻防體系是創建在騰訊20餘年安全技術基礎之上的成果，對於騰訊而言，騰訊雲攻防體系的構建有雙重意義，一方面，維繫自身體系安全維護，保護騰訊雲上主機安全，保障運行在雲上的服務器安全穩定，不被黑客攻擊，確保各個產品線安全運維；另外一方面，將技術能力整合，集成在騰訊雲等產品中，爲合做夥伴提供安全攻防助力，保障企業在服務器中的數據安全、系統應用運行穩定流暢。

在雲上安全建設中，對於雲上企業而言，最核心訴求在於終端數據安全、服務器運做穩定、技術安全可靠。

●在數據安全方面，騰訊雲擁有業界領先的AI技術、威脅情報以及攻防能力，服務全球超過10億用戶、擁有500餘個業務場景，造成海量數字資產安全的「安全中臺」，保障企業數據安全；

●在服務器穩定方面，騰訊雲服務器搭載穩定的網絡架構，採用成熟的網絡虛擬化技術和網卡綁定技術，在T3級以上數據中心中運行，保證網絡高可用性、承載性；

●在技術可靠方面，騰訊雲安全架構設計遵循國際標準路線，是全球首家得到ISO/IEC 27701:2019標準認證的雲服務提供商，在最新發布的《中國互聯網雲技術專利分析報告》中，騰訊的雲技術及安全專利申請量均爲國內第一。

從網絡安全到應用終端，從底層系統架構到應用數據保護，騰訊雲提供全通路安全攻防保障。在構建企業安全攻擊測試體系中，騰訊雲提供網站滲透測試、攻防演練 - 紅藍對抗以及安全衆測等服務，促進企業信息系統完善，安全運維人員防禦意識提高。而在企業防禦體系建設上，騰訊雲提供網絡安全防禦、數據安全防禦、終端安全防禦、應用安全防禦以及安全運營中心服務，創建有效的安全防禦屏障。

騰訊云云上安全對抗體系圖

模擬攻擊線：以攻爲守，檢測雲上安全漏洞

1. 網站滲透測試

經過徹底模擬黑客可能使用的漏洞發現技術和攻擊技術，對目標系統的安全做深刻的探測，發現系統最脆弱的環節，可有效地驗證每一個安全隱患點的存在及其可利用程度，並從中找出企業最急需解決的安全問題，幫助管理者瞭解系統風險點分佈狀況，讓管理人員直觀地知道本身網絡所面臨的問題。騰訊雲擁有技術實力一流和攻防經驗豐富的專家團隊，同時結合騰訊七大聯合實驗室攻防專家，進行前瞻安全漏洞技術研究，洞察最新安全威脅。

2. 攻防演練 - 紅藍對抗

在瞭解企業實際安全情況的基礎上，針對企業核心業務，模擬多種真實的紅藍對抗（網絡攻防）場景，使企業人員瞭解常見網絡攻擊過程與實際防禦，培養和提高企業安全人員的安全意識，並從實戰環境中提升安全人員的安全技能和防禦水平。能夠在各個省級、市級之間開展紅藍對抗，影響範圍廣，可促進各個省市的信息安全團隊的發展和交流，同時不限制攻擊手法，能夠更好發現系統的脆弱點，增強技術人員安全技能，提升企業總體信息安全技術。

3. 安全衆測

經過「白帽子」（正面黑客，可識別計算機系統或網絡系統中的安全漏洞）進行私密、高效的安全測試，幫助企業全方位發現、並提交業務中存在的安全漏洞及風險，協助企業及時響應並修復安全漏洞，避免形成更大的業務損失。騰訊雲擁有一批專業的白帽子團隊，助力企業滲透測試，能從黑客角度發現系統安全漏洞和風險，測試覆蓋面廣，檢測細度顆粒化，確保企業系統各個層級都通過測試。

防禦線：以守爲攻，部署全方位防禦層

1. 網絡安全防禦

網絡安全層其實是對應用層進行安全隔離，經過抵抗DDoS攻擊以及創建WAF防禦體系等達到應用層基礎防禦。

網絡安全防禦結構圖

抵禦DDoS攻擊：DDoS攻擊，也稱分佈式拒絕服務攻擊，簡單來講，就是黑客經過操縱「肉雞」同一時間大量訪問某服務器，最終致使被攻擊的服務器沒法正常使用。騰訊雲DDoS 防禦具備全面、高效、專業的防禦能力，爲企業組織提供 DDoS 高防包、DDoS 高防 IP 等多種 DDoS 解決方案，應對 DDoS 攻擊問題。

騰訊雲經過充足、優質的 DDoS 防禦資源，結合持續進化的「自研+AI 智能識別」清洗算法，保障用戶業務的穩定、安全運行。採起分佈式防禦的解決方案，經過在多地雲機房外部部署防禦節點，分散流量，一方面提升攻擊者的攻擊門檻，另外一方面增長DDoS防禦的能力，同時還能夠增長業務柔性，在面對大流量DDoS攻擊時提升業務可用性。

雲防火牆（Cloud Firewall，CFW）是一款基於公有云環境的SaaS化防火牆，爲用戶提供互聯網邊界、VPC 邊界的網絡訪問控制，同時基於流量嵌入多種安全能力，實現訪問管控與安全防護的集成化與自動化，是客戶業務上雲的第一個網絡安全基礎設施。

2. 數據安全防禦

數據安全結構圖

騰訊雲綜合運用數據安全管理經驗和數據保護技術，打造了數據安全治理中心、數據加密服務、密鑰管理系統、憑據管理系統、數據安全審計、堡壘機、敏感數據處理等七大產品體系，針對性地在數據全生命週期每一個階段提供保護，幫助用戶克服數據安全防禦的「四大難」，助力企業快速構建數據安全防線。

從數據安全角度，騰訊雲安全採用符合國密局要求和金融等行業規範的雲服務密碼機提供數據加密服務，保障數據安全，規避風險。基於人工智能的數據庫安全審計系統，可挖掘數據庫運行過程當中各種潛在風險和隱患，爲數據庫安全運行保駕護航；從數據管理角度，經過敏感數據發現算法，數據安全治理中心可精肯定位您的敏感數據，並有機結合 AI 技術與威脅情報，篩選出這些敏感數據的異常訪問操做，協助企業提早預防數據泄密問題。

3. 終端安全防禦

終端安全防禦結構圖

●零信任：依賴可信終端、可信身份、可信應用三大核心能力，騰訊雲實現終端在任意網絡環境中安全、穩定、高效地訪問企業資源及數據。 在對用戶授予企業應用的訪問權限以前，提供包括企業微信掃碼、Token 雙因子認證在內的多種身份驗證方式，驗證全部用戶的身份。根據特定用戶/用戶組的職能以及需求授予訪問權限，確保用戶在接入內網後只能訪問到權限內的應用和數據，實行最小權限原則，更好地保護敏感生產環境的訪問安全。

●移動終端安全管理系統（EMM）：提供業務移動化安全管理解決方案，用於構建安全可管控的移動辦公空間。EMM爲員工終端提供安全工做空間，將企業辦公環境與員工私人環境分開，同時提供身份、設備、應用的統一後臺管理和移動風險檢測能力。

●主機安全：基於騰訊安全積累的海量威脅數據，利用機器學習爲用戶提供黑客入侵檢測和漏洞風險預警等安全防禦服務，主要包括密碼破解攔截、異常登陸提醒、木馬文件查殺、高危漏洞檢測等安全功能，解決當前服務器面臨的主要網絡安全風險，幫助企業構建服務器安全防禦體系，防止數據泄露。

4. 應用安全防禦

應用安全防禦結構圖

●Web 應用防火牆（WAF）：幫助騰訊雲內及雲外用戶應對 Web 攻擊、入侵、漏洞利用、掛馬、篡改、後門、爬蟲、域名劫持等網站及 Web 業務安全防禦問題。企業組織經過部署騰訊雲網站管家服務，將 Web 攻擊威脅壓力轉移到騰訊雲網站管家防禦集羣節點，分鐘級獲取騰訊 Web 業務防禦能力，爲組織網站及 Web 業務安全運營保駕護航。

●移動應用安全：提供APP全生命週期的一站式安全解決方案，涵蓋應用加固、安全測評、兼容性測試、盜版監控、崩潰監測、安全組件等服務。

●漏洞掃描服務：用於監測網站漏洞的安全服務，爲企業提供7×24小時準確、全面的漏洞監測服務，併爲企業提供專業的修復建議， 從而避免漏洞被黑客利用，影響企業資產安全。目前漏洞掃描服務已普遍應用於金融、通訊、政府、能源、軍工等多個行業，並已被多個行業監管機構和等級保護單位使用。

5. 安全運營中心（SOC）

基於海量的騰訊安全大數據，及豐富的安全經驗，持續監測客戶業務安全情況，對安全事件實時告警，爲用戶預警可能的安全風險。經過對海量數據進行多維、智能的持續分析，爲用戶提供漏洞情報、威脅發現、事件處置、基線合規、及泄漏監測、風險可視等能力，並採起相應的安全措施，保障信息系統安全，幫用戶實現全生命週期安全運營。

安全運營中心結構圖

能力篇

騰訊雲三大硬核，護衛企業雲上安全

對於企業而言，雲上攻防能力是根基。騰訊七大聯合實驗室爲騰訊雲注入原生力，基於機器學習、人工智能、邊緣計算、數字孿生等前沿技術打造雲安全產品，最大化知足企業在運維過程當中所須要的安全防禦，爲客戶提供安全維度上的攻防能力集成。

騰訊七大聯合實驗室

●前沿科技：做爲騰訊雲支撐性特性，安全是底層核心。而做爲企業雲上攻防要素之一，雲原生被認爲是企業「雲化」戰略的基石，所謂雲原生，是一種構建和運行應用程序的方法，它利用了雲計算交付模型中的優點，對如何建立和部署應用程序進行融合，這意味着應用程序位於雲中，而不是傳統數據中心，極大保障數據的安全性以及可控性。雲原生所構建的安全體系，提供包含網絡和訪問安全、應用安全、數據安全、系統安全、雲基礎架構安全。正是這些應用架構層的安全，爲騰訊雲提供了一道安全防火牆。

相對於IT基礎設施的「上雲」，騰訊云云原生技術產品基於最新的容器、微服務、無服務器技術，幫助企業從開發、部署、運維等軟件全生命週期構建原生雲端應用，一方面能夠全面發揮雲計算的彈性伸縮和按需使用的優點，幫助企業快速構建適應互聯網模式的新一代業務架構，另外一方面，幫助企業構建全鏈路安全體系，保障企業在雲上安全、穩定。

●人才梯隊：在安全人才建設方面上，騰訊雲擁有絕對的人才矩陣，聯動騰訊七大聯合實驗室以及安全平臺部超過300人的研究力量成立「雲全棧安全研究工做組」，對雲上安全進行全面、前瞻性的研究，同時，集結3500名安全專家以及技術人員注入到騰訊雲安全體系建設中，爲雲上安全防禦提供人才助力。

●生態建設：構建行業最佳防護方案，須要集成各家核心安全能力，騰訊雲聯合安全生態夥伴，發起P17安全領袖俱樂部，同時聚合國內主流安全新銳力量FP50俱樂部，與產業互聯網生態夥伴共同建設安全生態體系。另外，騰訊安全聯動了各個安全產品和設備的優點爲客戶進行協同防護。在協同體系之下，既有騰訊自身沉澱的原生安全能力，也有來自產業鏈生態夥伴的優秀能力，注入到騰訊雲安全生態中，安全效益得以最大化發揮。

CSS 2019 P17安全領袖圓桌

實戰篇

騰訊云云上攻防實踐

貴州雲安全實戰攻防賽：

2018年，在堪稱國內最嚴苛雲安全實戰演練賽「貴陽大數據及網絡安全攻防演練」中，騰訊雲在「攻」和「防」兩個項目中均拔得頭籌，實力奪冠。演練活動接近實戰，旨在檢驗國內主流雲服務平臺的安全性能。來自騰訊等國內44個一線專業安全團隊，分別針對國內主流雲平臺展開攻防演練對抗，最終騰訊eee戰隊在「攻擊」單元奪得冠軍，同時由數字廣東安全、騰訊安全平臺部、騰訊企業IT部、騰訊雲安全、騰訊安全科恩實驗室等組成的騰訊安全聯隊在對抗攻擊的防護中，始終保持不被攻破，實現自身雲平臺100%防護。

GeekPwn雲安全挑戰賽：

2019年10月，騰訊安全雲鼎實驗室攜手GeekPwn發起雲安全挑戰賽，這也是目前全世界首個基於真實通用雲環境的雲安全攻防競賽。騰訊安全雲鼎實驗室經過採用最主流的雲平臺開源組件，結合實驗室雲攻防靶場黑科技，構建了一個真實的、能夠完整工做的全棧雲環境，徹底復現主流雲平臺的架構、技術和系統軟硬件環境，預演雲上攻防。在技術與產業結合上，雲鼎實驗室也將技術能力注入到騰訊雲安全體系中，爲騰訊雲提供雲上攻防安全保障，從而更好地爲產業提供一個更爲安全的雲環境。

雲上保衛戰：

騰訊安全應急響應中心（TSRC）聯合騰訊安全雲鼎實驗室啓動「雲上保衛戰」，針對騰訊雲重點產品的專項漏洞徵集活動，該方案目的是爲保障雲上業務安全，發現潛在安全風險並推進修復，致力提高雲服務總體的安全性，保障和促進雲計算業務的發展與運行，爲雲上價值的實現提供安全保障。最終累計發現超過34個有效漏洞，高危佔比56%，有效收斂線上安全風險。

重保項目演練：

騰訊雲與某銀行在雲項目中進行合做，雙方攜手以騰訊雲TCE專有云爲核心，在40多天的時間內快速搭建出一個符合公有云標準的金融級生態雲平臺，構建了完整的底層基礎設施、容器、安全防禦以及對應的運維技術能力。而且，在一次重保項目實踐中，騰訊雲協助該銀行成功阻斷攻擊19.7億次，封禁IP 6.8萬，事件調查52次，保護了雲平臺及平臺上數十個租戶，上百個應用系統，數千個主機資產。

勒索病毒事件：

2017年5月12日，利用永恆之藍漏洞傳播的WannaCry蠕蟲勒索病毒爆發，短短几天以內，全球100多個國家和地區，數十萬臺電腦遭到了攻擊，雲鼎實驗室情報團隊迅速反應，針對騰訊雲上用戶發佈疫情告警，並同步開啓聯動封堵防禦機制，阻斷來自外部的蠕蟲利用請求，避免了該病毒在騰訊雲上傳播擴散，騰訊雲上的幾十萬用戶鮮有受到感染，疫情在最短期內獲得全面控制。

隨着愈來愈多企業選擇上雲，雲上安全攻防實力成爲企業價值的重要參數之一。騰訊雲依託騰訊在安全維度上多年技術、人才、經驗積累，聚合衆多安全生態夥伴能力，將持續爲衆多企業、銀行、各地政府機構等，提供安全、穩定、可靠的產業雲服務。