當(dāng)前，“上云”已成為企業(yè)尋求數(shù)字化轉(zhuǎn)型升級的“基本路徑”。而云環(huán)境的邊界廣、技術(shù)環(huán)境復(fù)雜，使傳統(tǒng)安全邊界被打破。產(chǎn)業(yè)互聯(lián)網(wǎng)時代，能否上一朵安全的云，不僅是企業(yè)發(fā)展的底線，更是制約企業(yè)發(fā)展的天花板，安全也成為企業(yè)遴選合作云服務(wù)商的首要考量。

作為國內(nèi)最值得信賴的云服務(wù)提供商之一，騰訊云在助力企業(yè)實現(xiàn)數(shù)字化升級的同時，基于對云安全情報數(shù)據(jù)的統(tǒng)計分析和最新云安全攻防趨勢的研究，聯(lián)合GeekPwn發(fā)布了《 2019 云安全威脅報告》(以下簡稱《報告》)。該報告基于對云環(huán)境下的安全威脅形勢的全面梳理與剖析，提出了相應(yīng)的應(yīng)對策略。

通過對過去的數(shù)據(jù)及未來的技術(shù)發(fā)展趨勢和產(chǎn)業(yè)方向的分析，騰訊云認為云安全的建設(shè)需要從云平臺、系統(tǒng)生命周期及安全建設(shè)的參與方等多個方面來考慮。目前，騰訊集結(jié)內(nèi)部七大安全實驗室和安全平臺部超過 300 人的頂尖研究力量成立云全棧安全研究團隊，對云平臺的合規(guī)管理、基礎(chǔ)設(shè)施、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)訪問固件自身的安全展開全面、前瞻性的研究。并投入超過 3500 名的安全專家和技術(shù)人員，圍繞“一個基礎(chǔ)底座、兩個中臺、一個中心”打造更安全的云。

披露云上攻防新挑戰(zhàn)，實戰(zhàn)演練拓展攻防新思路

《報告》首次公開披露了騰訊安全云鼎實驗室基于真實云環(huán)境攻防研究的 “八橫八縱”云上攻擊路徑全景模型，全方位展示了云生態(tài)下惡意攻擊者發(fā)起安全攻擊的八條外部縱向和八條內(nèi)部橫向拓展路徑。在防護不到位的情況下，攻擊者既能在無任何授權(quán)的情況下自云外縱向進入云平臺展開攻擊，也能在進入云平臺后通過橫向遷移獲取更多租戶資源和數(shù)據(jù)。“傳統(tǒng)與新問題雜糅”成為當(dāng)下云安全挑戰(zhàn)的重要特征，對云平臺進行全方位的加固和防御，是助力企業(yè)上云、護航產(chǎn)業(yè)發(fā)展的核心之一。

(攻擊方式模型全景圖)

為了協(xié)助上云企業(yè)更好應(yīng)對當(dāng)前的核心安全問題和未來云上安全風(fēng)險的挑戰(zhàn)，騰訊安全云鼎實驗室在 2019 年 10 月聯(lián)合GeekPwn舉辦了全球首個基于真實云環(huán)境的云安全攻防挑戰(zhàn)賽;希望借助真實云環(huán)境下的安全攻防預(yù)演，為云安全積累、拓展更多攻防研究經(jīng)驗和人才，助力產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展。

聚焦當(dāng)前上云安全“通病”，助力筑就云數(shù)據(jù)全周期安全防線

伴隨著企業(yè)上云趨勢的加速，數(shù)據(jù)作為企業(yè)核心資產(chǎn)之一，其安全也成為所有企業(yè)上云后的關(guān)注焦點。《報告》指出，包括數(shù)據(jù)泄露、數(shù)據(jù)丟失以及隱私數(shù)據(jù)利用和泄露等三大威脅在內(nèi)的數(shù)據(jù)安全問題已成為上云企業(yè)在產(chǎn)業(yè)互聯(lián)網(wǎng)時代必須直面的挑戰(zhàn)。據(jù)Risk Based Security 統(tǒng)計，僅 2019 年上半年世界范圍內(nèi)已經(jīng)發(fā)生了 3813 起數(shù)據(jù)泄露事件，被公開數(shù)據(jù)高達 41 億條。騰訊安全情報數(shù)據(jù)顯示，“數(shù)據(jù)”、“身份證”、“密碼”等關(guān)于數(shù)據(jù)泄露的詞匯在暗網(wǎng)的熱詞分析中占比極大。

針對數(shù)據(jù)安全這一云服務(wù)商和租戶共同關(guān)注的焦點問題，《報告》指出云服務(wù)商應(yīng)當(dāng)為客戶構(gòu)建貫穿數(shù)據(jù)產(chǎn)生、流動、存儲、使用及銷毀等數(shù)據(jù)全生命周期的加密保護和身份認證及訪問控制體系。

基于騰訊云在業(yè)務(wù)實踐中沉淀的超 500 個業(yè)務(wù)場景所積累的黑灰產(chǎn)大數(shù)據(jù)樣本和每天數(shù)百P的數(shù)據(jù)運算能力，推出了具體的解決方案——“云數(shù)據(jù)安全中臺”，打造端到端的云數(shù)據(jù)全生命周期安全體系，助力企業(yè)低成本、高效率地應(yīng)對云上數(shù)據(jù)安全的挑戰(zhàn)。

(數(shù)據(jù)中臺架構(gòu)全景圖)

立足微服務(wù)/Serverless等安全探索，持續(xù)延伸前沿安全觸角

除聚焦解決當(dāng)前企業(yè)上云面臨的安全挑戰(zhàn)外，對于前沿安全趨勢的觸達與研究也是騰訊云構(gòu)筑更安全的產(chǎn)業(yè)云的重要發(fā)力點。而《報告》中對微服務(wù)/Serverless等云計算新服務(wù)架構(gòu)安全性的探討與分析正是拓展騰訊云前沿安全觸角的又一實踐。

為滿足用戶對云計算便捷部署、靈活拓展、數(shù)據(jù)中心統(tǒng)一等需求，微服務(wù)和無服務(wù)器計算(serverless)應(yīng)勢而生。“輕裝上陣”的背后也衍生出了微服務(wù)可利用攻擊面擴大、Serverless特殊架構(gòu)層面風(fēng)險等新的安全威脅。

鑒于此，騰訊云基于對兩大新型云服務(wù)架構(gòu)的探索與研究，在《報告》中指出，云服務(wù)提供商需要透過業(yè)務(wù)功能分析底層細節(jié)、總結(jié)安全場景，及時發(fā)現(xiàn)安全脆弱點并部署相應(yīng)防護策略。就微服務(wù)來說，云服務(wù)廠商應(yīng)在服務(wù)架構(gòu)之初就建立更具有前瞻性安全設(shè)計架構(gòu)和優(yōu)良穩(wěn)定的安全策略，確保其安全的原生性;而在Serverless架構(gòu)中，云服務(wù)提供商要更多地注重底層基礎(chǔ)設(shè)施和操作系統(tǒng)層面的安全，最大限度降低安全風(fēng)險。