周斌指出��,傳統的安全方案存在溝通成本高�、威脅情報獲取難等問題�����。最近成為全民焦點的wannacry勒索病毒��,更給在傳統隔離架構下認為安全的企業(yè)狠狠的一擊�����?���!斑@個漏洞最早在2016年被爆出,2017年4月14日NSA已經公開了一站式的工具�,到5月12日爆發(fā),中間有足夠升級防護時間����,可是為什么還有這么多淪陷的機器,這是值得深思的地方�����?��!?/p>
談及基于云計算和大數據的安全新方法���,周斌分享道:“云安全����,必然基于海量數據運營��。騰訊云搭建了左右腦式的基礎架構��,通過專家引擎和AI分析��,在海量分布式數據庫上推出了安全運營服務�,支撐著超過百萬臺服務器、百G級流量的云業(yè)務����,以及全球化的業(yè)務部署?����!?/p>
漏洞曝光層出不窮���、黑客攻擊規(guī)模加大���,快速增強的安全威脅���,正驅動著各行各業(yè)加快遷移上云��,以獲得必要的安全保障����。周斌指出:“當云作為平臺和管道把大量企業(yè)連接到了云的空間后,我們看到了構建立體安全防御體系的機會:基于大數據和深度學習的突破�����,我們完全可以建立更加高效的威脅情報與態(tài)勢感知系統�����,并實現聯防聯控���?��!?/p>
以下為周斌現場分享原文:
各位來賓,大家上午好�!非常榮幸今天能站在這里,分享關于大數據和云計算安全實踐的話題����。我首先簡單自我介紹下�����,我是來自騰訊云的周斌���,目前從事云平臺安全體系架構的工作。
我們首先看下�,產業(yè)發(fā)展的趨勢,根據cnnic 2016年度中國互聯網發(fā)展狀況統計�����,中國網民數已經超過了7億���,隨之而來的�����,是各種互聯網的應用場景遍地開花���,從即時通信到游戲,從手機外賣到打車���,從電商到支付��,以及水��、電�����、燃氣繳費�。這些企業(yè)都需要面臨服務搭建平臺的問題�����,需要一個安全��、穩(wěn)定�����、快捷���、海量能力���、高性價比的云服務來降低門檻����。所以從實際情況上來看��,企業(yè)也是在做著這樣的選擇�,從2015到2016,選用云計算的企業(yè)由14.7%提高到了21.4%�,這也是云計算平臺的優(yōu)勢所在。產業(yè)列車呼嘯而過��,如何在變遷的過程中用新的方法解決安全風險����,也是需要考慮的話題。 因為���,技術的革新會帶來新的挑戰(zhàn)�。
在本月爆發(fā)的這次wannacry病毒案例���,波及了超過150個國家地區(qū)�,以及影響了20W+的設備����,給在傳統隔離架構下認為安全的企業(yè)狠狠的一擊����。新時代需要新的方法來解決�����,借用一句我們同事說過的話�����,我們曾經懷疑過的��,大都已變成了現實����!這個領域非常廣闊�����,騰訊也在此做了大量的嘗試�。
由這個案例,我們可以看幾個問題����,1����、傳統內網安全嗎��,2���、上云以后新的挑戰(zhàn)是什么����,3�����、管理流程與安全策略如何結合��,4�����、云上的合規(guī)�,這些問題,都是新形勢下影響的核心關鍵���。
在傳統方案上�,威脅會分為幾大類,主機����、網絡、web安全���。這3個層面風險可能會導致入侵事件發(fā)生��,但上云的過程中�,可能會引入新的風險 �,虛擬化本身的安全威脅、虛擬化引入的技術革新��、多租戶引入的安全風險����,這些是由外至內的逐層演進的過程�����。
從實施成本來說��,傳統的應用模式下,以硬件模式為主�����,成本高����、維護不易,安全成本等于硬件成本+升級成本+維護成本+咨詢成本���,而且模塊眾多�����,信息整合不易�,反而容易個個變成數據孤島���,導致安全關鍵事件被漏過���。從運營上來說,企業(yè)中的運營團隊身兼多職����,專業(yè)深度不夠����,對接各模塊溝通成本高����,實際效果1+1<2,并沒有達到快速應急和提前解決問題的可能�。
從情報來說,威脅情況的獲取����,在傳統實施模式下,缺少專業(yè)的威脅情報獲取渠道����,對OS、軟件層的漏洞��,信息感知不及時���,本次wannacry案例也是一個典型的場景,這個漏洞最早在2016年被爆出���,2017年4月14日NSA已經公開了一站式的工具���,到5月12日爆發(fā)���,中間有足夠升級防護時間,可是為什么還有這么多淪陷的機器�,這也是值得深思的地方。同樣���,從攻防經驗�、工具積累上來說����,都缺少相應的能力。
在新時代的情況����,也是我今天重點想分享的內容里,云和大數據���,本身就是天然相關的業(yè)務形態(tài)���,云計算改變了IT環(huán)境,大數據改變了業(yè)務形態(tài)����,一者上一者下���。作為數據而言,核心是應用�����,騰訊作全球領先的互聯網廠商���,我們每天處理超過35萬億條實時計算�,超過300億條IM消息���、20億張UGC圖片�、沉淀了超400PB的存儲�����。在春節(jié)紅包發(fā)放中有超過百億個紅包發(fā)放���,每分鐘的峰值超過了千萬條����,這種處理能力對很多企業(yè)來本身就相當于攻擊�����。
這些數據的背后�,是騰訊多年技術和運營能力的積累,經過18年的成長��,騰訊在大規(guī)模分布式計算���、海量存儲����、容災容錯方面積累了豐富的數據���、資源和能力�。我們也希望能把這些資源和能力進行整合服務于社會��,讓更多企業(yè)可以聚焦于核心業(yè)務�。所以云的誕生,本身就是資源整合后的平衡���,是對社會潛能的釋放和生產力的促進����。
云上的安全,我們搭建了左右腦式的基礎架構�����,通過專家引擎和AI分析�����,在海量分布式數據庫上推出了安全運營服務��,支撐超過百萬臺服務器�、百G級流量的云業(yè)務,同時�,也支持全球化的部署能力。
而這些能力��,基于情報�、技術、管理��、合規(guī)����、服務上形成閉環(huán)的體系架構����,來提供整體云平臺的保護能力�����。這些能力是騰訊18年的運營積累����,我們希望從企業(yè)入駐云的第一天開始�,就天然擁有了全球網絡布局,自由享有安全��、高速����、穩(wěn)定的云服務。
云��,作為新的網絡生態(tài)空間�����,我們過往遇到的各類安全問題在云上幾乎都會遇到:
首先,云平臺自身的安全需要嚴格體系化的保障�。這里面包括:數據中心物理環(huán)境的安全(園區(qū)、機房)��,內外網絡空間安全����、運營流程與權限管理安全、數據安全與隱私控制����、操作系統與虛擬化軟件安全等。
其次����,用戶租用的云主機作為私有空間,即面臨來自外部的安全威脅還存在自身被利用從事黑產的風險���,我們在2016年末的一次Ddos攻擊溯源中���,也發(fā)現了大量來自外部云服務商IP發(fā)起的攻擊。所以��,當大量企業(yè)上云后��,作為虛擬化的空間和容器,傳統的物理邊界變得模糊����,任何疏忽都可能導致體系被洞穿后的連鎖反應。這里面即需要安全的技術架構保障也需要嚴格合規(guī)的運營管理�,同樣也需要云租戶參與的共建共管!
我們也通過云端的數據庫�����,積累了大量的黑產情況����,包括有2.2億的樣本庫����,1.9億的惡意網址等,這些能力我們每天可以提供超過200億次的安全服務���。因為��,這個產業(yè)真的很繁榮��,過百萬的黑產從業(yè)人員���,過千億的產值����,專業(yè)化的團隊����,讓沒有大數據能力的企業(yè)疲于應對。而這些能力�����,也就是云服務能提供的價值�。
云安全,是安全能力和服務模式的一次再整合�����,但又超越了云本身��。當云作為平臺和管道把大量企業(yè)連接到了云的空間后��,我們看到了構建立體安全防御體系的機會:基于大數據和深度學習的突破�����,我們完全可以建立更加高效的威脅情報與態(tài)勢感知系統,并實現聯防聯控����。
這套體系的搭建,我們通過云—》管—》端的結合 ����,擁有了全網感知的能力。這些�,也是云安全能為用戶帶來的價值。通過建設的轉變�,進行集中式的管理、運維����、監(jiān)控��。意味著在云上�����,可以有統一的資源管控����、專業(yè)團隊���、快速響應能力。實現1+1>2的效果�。
在體系認證上可以直接獲得領先的基礎架構能力,以騰訊云舉例��,獲得CSA?STAR�����,ISO 27001����、可信云、等保等標桿能力���。在成本上以云化安全軟件能力�,提供了彈性防護����、統一運維、虛擬防護的能力���。實現更佳效果����。而這些能力,都是開放出來的��。然后我們基于這些能力�,構建了一個多層的云計算平臺防護框架。
基于云計算���、人工智能�、物聯網的突破��,我們相信未來的安全形勢更加復雜和具有挑戰(zhàn)性�����,我們也期望通過打造的智慧安全能力����,幫助用戶云中遇敵���。云是互聯網新的生態(tài)空間����,云安全是安全能力的一次整合再超越。騰訊云安全是騰訊7大實驗室和各線安全能力的集中釋放���,也期待和業(yè)界同行一起構建安全��、可信的云端生態(tài)能力��,造福社會�。謝謝各位�。
