今天使用公有云，需要什么安全感知系统？

11月19日，GITC2015全球互联网技术大会在北京国家会议中心举行。腾讯云安全中心总监周斌在会上做了《守卫安全创造价值》的主题演讲，深入剖析公有云平台的现状，讲述如何着手来建设一个更安全的云未来。

以下是演讲干货：

最糟糕的时代，也是最好的时代

周斌表示，近几年来，互联网普及率和全球云计算市场规模呈持续稳步增长状态，云计算的需求不断提高，服务器的规模也不断扩大。但是大规模运营的公有云系统也遇到了云服务器硬件问题，或是稳定性、运维性、数据安全、网络安全等多方面的风险。

他举例表示，DDoS流量逐步提高，O2O打车行业刷单严重，iCloud被无限次验密爆破，Gmail被撞库导致550万账户密码泄漏，Sony PSN 被入侵后7700万用户信息泄漏等新闻，这类风险极大的阻碍了互联网的发展，同时这些数据安全事故无时无刻不在提醒人们，维护一个安全稳定的云平台刻不容缓。

公有云需要什么安全感知系统

周斌说，“面对潜在的云安全风险，预防永远比补救要来的及时，我们需要的并不是一个告警的监控系统，而是要对安全风险的存在进行提前感知，在安全事故发生前感知异常，拦截风险”。

安全感知系统怎么做？周斌表示先从云本身的基础架构来看。他分享了腾讯云的基础架构，包括CDN加速层、网关代理层、宿主机和业务及存储网络层这四层。

基于此基础架构，腾讯云的安全感知架构针对基础安全、物理安全、网络安全、数据安全、内部审计等多个安全模块，部署了演习系统、实时分析系统和离线分析系统三大系统，预先收集信息、发现问题。加上腾讯云日均海量数据入库，腾讯云在所有安全组件中都嵌入一个基础的SDK收集关键信息，最终进入SDW数据仓库中。

其中根据数据需要的反应速度和分析的不同，SDW包括CDB的集群、TDW集群、Hadoop集群来对不同数据进行分析感知，在问题爆发之前及时填补漏洞，为云计算用户提供一个安全可靠的运营平台。

云上的风险有四类

“为了更好的应对网络安全问题，我们给云上的风险分了四大类——数据安全、平台安全、流程规范、内部审计。”周斌说，“针对每个类别，腾讯云都有相应的防御措施”。

谈及数据安全，周斌表示权限、加密、检测这三点是关键。在进行权限控制时，腾讯云端到端有四把验证钥匙，分别是用户票据、用户数据权限、业务签名、业务数据权限。四把“钥匙”开锁缺一不可，这样就能有效防止黑客入侵或者内鬼的破坏，保证数据的安全。另外密钥管理、水印检测等防御措施也是保护数据安全的重要手段。

在针对基础平台的安全问题上，腾讯云部署四项措施来进行风险感知，包括整体架构的大盘输出、拦截演算反向验证、TSRC分享情报和历史监控联动分析，以此提前发现问题。云上发现问题之后细化隔离是必不可少的，腾讯云通过基线扫描、人工流程和物理区域控制三项关卡，凭借规则扫描、网络探测、流量探测、子机探测等探测手段，做到物理层、网络层、基础组件与用户层以及IDC间的隔离构建严格的隔离策略。

并且，腾讯云在云机房部署自研检测设备集群—宙斯盾防护系统，这个系统基于 DPI 检测技术，能够快速准确地发现针对业务的各种DDoS攻击；而且通过采用运营商黑洞路由、外网核心ACL、专业清洗设备等多种手段，形成多层级的防护架构，加之三大网络供应商提供的500G大带宽，能够有效抵御各种DDoS攻击。

在流程规范问题上，腾讯云在培训、网络设计、组件开发、发布、运营、审计、问题发现、修复等各个环节都配备了相应的安全规范，以保障开发流程的正常进行。在安全体系层面，腾讯云在外部接口层、接入层、安全服务层、数据层等多个层级上都进行安全检测、隔离等措施，以一个完整的体系为用户构建安全堡垒。

周斌认为，“在大数据时代，未来的安全问题最终还是数据问题，而且这是一个长期的问题，需要行业一起努力”。一方面，腾讯云以完善的安全功能、严密的鉴权机制和可靠的审计结果构建安全的信任边界，输出一系列服务产品。另一方面，腾讯云正在与安全厂商携手部署公有云安全，向用户提供安全产品和服务。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。