腾讯云安全建设框架首次公开，以纵深防御架构护航企业云上业务增长-互联网专区

腾讯云安全建设框架首次公开，以纵深防御架构护航企业云上业务增长

作者：网络编辑：关关 2024-09-09 15:45

　　9月6日，2024腾讯全球数字生态大会·数字安全专场在深圳国际会展中心举行。腾讯安全副总裁、腾讯云鼎实验室负责人董志强出席专场，首次公开腾讯云平台自身安全建设框架。

　　董志强介绍道，腾讯云在全球维护超过150万台服务器、各类云服务云资产总量超过1.4亿，多年的云安全治理实践下来，多年以来已经建立了一套行之有效的云平台高安全等级架构。“目前，很多地方政府单位、央国企都在建设自己的私有云，预计国内规模亿以上的大型私有云会在1000朵以上，但是对于如何保障云平台的安全性，业内还缺乏参考标准。我们也致力于把自身高安全等级架构的实践分享给行业用户，促进安全水位的提升。”董志强表示。

　　攻防升级

　　无限战争下的“假设损失”原则

　　云平台长期以来都面临外部攻击和内部缺乏有效治理的威胁，不断涌现的各种新技术如大数据、大模型、IoT等，一方面带来新的生产动力，另一方面也导入了新的威胁面和安全问题；DevSecOps这类新研发模式的广泛应用也让传统的安全规范流程失效。此外，云计算按需使用的订阅模式和责任共担模型，也使很多组织中的成本模型、责任矩阵和合规流程发生了变化。

　　长期以来，企业安全部门面临两个核心痛点：一是无法理顺安全建设和业务发展的关系，“当天业务很重要，安全的事儿过两天再说”成为常态；二是无法量化安全建设的价值，无法从组织内部获得足够的资源和预算支持。

　　“网络安全是一个业务和组织发展的命脉，我们要把安全和组织的命运联系在一起，”董志强表示，“以往的观念认为安全建设要尽善尽美，既然已经有所投入了就应该有兜底的能力、应该不出事，实际不是这样的，安全是一场无限战争，我们要在有限成本上做假设损失的原则。”

　　在这种“假设损失”的安全思维下，腾讯在内部提出高安全等级的云安全架构，通过这个目标来牵引全局安全工作，高安全等级架构遵循几个治理准则：

　　对资产进行分类分级，把有限的成本和资源优先投入到必要业务和必要安全机制上去，来实现安全投入ROI的最大化；

　　战略对齐和价值呈现，改变过去安全和业务分离甚至对立的理念，建立安全工作和业务发展协同的流程体系，建立全员为安全负责的组织治理和协同文化；

　　“假设损失”条件下遵循必要的安全技术原则：尽可能对系统和业务嵌入“默认安全”的配置；采取”零信任“的思维，对于权限和特权进行更合理的分配和管控，降低人为风险；对于配置的各类安全机制，进行实效性验证，通过多种技术来多层验证我们的安全策略是否在真实发生保护左右；另外在合适的场景下，通过智能化和自动化技术，也可以辅助使安全运营的效率和效能得到大幅度提升。

　　经过长期实践，腾讯云已经形成了一套行之有效的安全治理框架，保障了腾讯云平台的安全稳定运转。目前，腾讯云在全球维护超过150万台服务器，各类云服务云资产总量超过1.4亿，获得了400+合规资质的认可。

　　高安全等级架构

　　构建“看得见”的云上安全

　　“‘看得见的安全’——即安全首先要被发现，发现并确定这些风险，并且安全策略和安全措施、处置响应也可以看得见，这样才能获得云上百万用户信任。”董志强表示。

　　为了构建“看得见的安全”，腾讯云自下而上为云业务自身和租户安全构建了纵深防御的体系，形成了一套具备可复制性的高安全等级架构。董志强结合实践案例，重点分享了高安全等级架构的三个核心理念：默认安全、纵深防御和智能提效。

　　在默认安全上，腾讯云从云底座操作系统和虚拟化平台进行安全加固、权限管理、密钥管理升级、配置核查、网络和应用隔离等角度入手，来保障云产品的默认安全和云平台的默认安全，包括不限于对云底座操作系统和虚拟化平台进行安全加固，通过硬件虚拟化隔离和安全操作系统确保底层安全可靠；在根秘钥防护上做了安全改造，最终实现一个腾讯云客户一次登录态一次随机根秘钥，并实现有状态令牌防止秘钥泄露生成SKEY等；通过XSPM来检测账号是否开启MFA，通过开启MFA多重身份验证，提高身份的对抗成本，针对身份攻击开启有效拦截等。

　　此外，腾讯云很早就开始践行“安全左移”理念，通过安全组件嵌入、软件成分管理、自动化代码检查和安全有效性测试，层层卡口尽早发现和处置风险，实现“出厂即安全”。

　　在纵深防御上，腾讯云从网络边界、身份边界、资源边界等维度全方位构建了数据安全边界，多种安全机制互补，有效保护租户数据的机密性、完整性和可靠性，有效降低客户数据泄露事件的发生。

　　在智能化安全治理实践上，腾讯云通过对敏感数据流动路径的全过程管控，能快速识别敏感业务数据分布，建立“数据安全地图”，实时掌握数据流转链路，全局监控数据安全风险，有效联动分析和应急响应，实现端到端的数据安全风险控制。

　　通过自下而上形成的这6道防线，腾讯云真正实现了让安全“看得见”—— 比如7月份刚刚发生的一起事件，腾讯云安全团队每天需要应对超过800起，每一起的平均检测研判时间在4分钟，45分钟内分析溯源并且完成对攻击行为的阻断遏止，有效地保障了云上百万用户的业务安全。

　　腾讯安全云鼎实验室长期专注于云领域前沿安全技术研究与创新，并持续向行业输送经验和方法。2021年，云鼎实验室发布业内首个云安全攻防矩阵以及云原生安全全景图；2022年，云鼎实验室将云上攻防实战经验集结成《云上安全攻防实战手册》并公开发布；2023年，云鼎实验室牵头编制了全球首个云渗透测试认证专家课程。

　　云平台的安全性需要持续投入建设和多方协作，腾讯安全也呼吁生态共建，监管部门、云厂商、安全厂商、租户等多方协作，共同提升云上安全水位。

特别提醒：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

关注我们