1、腾讯云数据安全中台-构建极简数据保护方案 姬生利 腾讯云鼎实验室总监 目录 01 于安全风险趋势与数据安全保护挑战 02 腾讯于数据安全中台解决方案 03 极简于数据安全保护方案最佳实践 01 于安全风险趋势与数据安全保护挑战 云安全风险趋势 数据来源：RightScale,Crowd Research 影响于计算产业发展和应用的最普遍、最核心的制约因素就是于计算的安全性和数据私密性保护。-国务院发展研究中心 2019年10月12日 2019年全球重大数据安全事件 6月 10月 3813起 41亿 54%Risk Based Security 7月：美国第七大银行美国Capital One数据

2、泄露，涉及1亿用户 9月：Facebook数据库未采取保护措施，涉及4.19亿用户数据 9月：全球医疗数据或遭大规模泄露，中国涉及近28万条患者记录 9月：厄瓜多尔国家级数据泄露事件发生，涉及2千万人 国际社会已有成熟的数据安全法规及监管条例 PCI DSS HIPPA CSA SOX SOC GLBA EU GDPR HK CAP 486 Facebook 英国航空 2.3亿美元 万豪集团 1.24亿美元 50亿美元 数据安全领域，国家加快了密码立法步伐 2017年7月 2018年6月 2018年7月 2019年5月 2018年3月 2019年6月 GM/T 0054 信息系统密码应用基本要

3、求 关键信息基础设施安全保护条例（征求意见稿）GM/T 0054-2018 信息系统密码应用基本要求 密码法进入人大年度立法计划 网络安全等级保护条例（征求意见稿）国家关亍金融和重要领域密码应用的重要文件 网络安全等级保护条例新国家标准正式发布，明确密码评测重要性 密码法草案首次提请审议 2019年10月 密码法二审通过，正式发布 数据安全生命周期风险及防护关键难点 数据产生和获取 Data at Rest Data in Transit Data in Use 数据退役和销毁 数据合规和治理 数据访问监控和响应 难点1：分类、治理和策略 难点2：DaR/DiT/DiU加密技术 难点4：事件监

4、测分析 难点3：密钥管理 02 腾讯于数据安全中台解决方案 解决数据安全核心三难 云数据安全中台 数据安全 中台 HSM/SEM 数据加密软硬件服务 KMS 密钥管理系统 Secrets Manager 凭据管理系统 数据获取 CKafka CMQ Redis API Stream MongoDB ES 事务处理和检索 Postgresql MYSQL TDSQL 分析与数据服务 CFS API COS CBS CVM VPN 数据访问与消费 Sparkling Snova EMR 原始数据归一 智能分析 决策与反馈 于数据安全中台服务 日志审计 身份认证 密钥管理 应用加密 网络加密 计算加

5、密 凭据托管 可视化管理 BI TDSQL TI 云数据安全中台架构 管控层 中间件层 于产品层 接入层 CloudHSM密码服务实例 软件加密库SDK 加密基础组件 专用密码应用组件 客户侧加密组件 CASB 传输加密 统一密码应用接入服务（加密应用API、SDK）运算层 MYSQL COS CBS TDSQL CMQ 亏联网、政务、金融、行业业务系统 TLS/SSL KMS Secrets Manager SGX/TEE安全计算环境 数字签名验签 CA证书服务 物联网加密 GVSM EVSM SVSM SEM SEM SGX SGX 密码资源统一监控 密码资源统一管理 密码资源劢态调配 业

6、务调用统计分析 告警策略配置 日志审计管理 03 极简于数据安全保护方案最佳实践 典型场景概览 Client 本地数据 Server 配置文件 数据分享、备份 存储 MYSQL CBS Server 金融支付 如何保障网络通道的安全？本地敏感数据如何加密保护？数据加密和传输，密钥如何管理？敏感配置文件、硬编码问题如何解决？数据上于如何安全存储？金融支付等敏感应用如何安全合规？怎样实现国密化改进？凭据管理 KMS SSM 国密TLS Encrypt SDK 基亍KMS传输加密 存储透明加密 基亍KMS加密 基亍KMS解密 VSM CloudHSM VSM VPC Client KMS应用：敏感数

7、据加密 场景 敏感信息本地加密，加解密频率低 痛点 密钥安全、授权管理、密钥存储 方案 KMS细粒度权限管控、子账号授权 基亍硬件加密机的计算资源、多语言SDK KMS应用：信封加密 场景 本地高性能加密 痛点 密钥安全、DataKey管理，国密算法 方案 KMS Encrypt SDK、国密、容灾、DataKey缓存 多级密钥管理、信封加密 KMS应用：云上数据安全存储 场景 于上数据加密存储 痛点 加密应用复杂，业务接入工作量大 方案 于产品和KMS集成提供透明加密 用户无感知 Secrets Manager应用：敏感信息托管 场景 敏感配置加密、硬编码敏感信息保护、权限控制 痛点 敏感信

8、息泄露问题、权限职责难以控制 方案 Secrets Manager 结合KMS 提供安全凭据托管 全链路加密保护、细粒度权限管控 SSM 敏感配置信息托管示例 配置文件：app.ini mysql connString=user:pwdtcp(10.x.x.x:1234)/db_a?charset=utf8 初始化：func DbInitDemo()dbConnect,_:=sql.Open(mysql,conf.MysqlConnStr)dbConnect.Ping()接入前 SSM 敏感配置信息托管示例 初始化：func DbInitDemoSsm(client*ssm.Client)re

9、quest:=ssm.NewGetSecretValueRequest()request.SecretName=conf.MysqlConnStrName request.VersionId=conf.MysqlConnVersion rsp,_:=client.GetSecretValue(request)dbConnect,_:=sql.Open(mysql,rsp.Response.SecretString)dbConnect.Ping()配置文件：app.ini mysql connStringName=DB_A versionId=V1.0 接入后 CloudHSM 云加密机的应用 场景 金融支付、电子票据、区块链等 痛点 硬件加密机成本高、管理复杂 方案 CloudHSM于加密机、弹性分配资源降低成本 虚拟化和VPC 网络绑定