1、云原生安全治理实践腾讯云安全总经理 李滨目录0201云安全风险趋势与治理挑战云原生安全治理框架03云安全治理的探索与实践安全挑战一：网络空间安全形势严峻、高风险价值攻击日益频繁National Governments国家力量Terrorists/Hacktivists恐怖分子/无政府主义黑客Industrial Spies and Organized Crime Groups商业间谍和有组织犯罪（黑灰产）Hackers一般黑客Insiders内部无意识/恶意用户Foreign intelligence servicesBot-network operatorsSpyware/malware c

2、ontrollerPhishers/SpammersBotnet控制者0Day研究/APT供应链攻击硬件/固件攻击物理设施/设备攻击BotnetDDoS勒索软件挖矿软件硬件/固件攻击National critical infrastructure国家关键基础设施：能源、交通、金融、通信等关键领域的机密性和可用性Controlled Unclassified Information受控未分类信息：政府和大型企业的非涉密信息Commercial data 一般商业数据：一般企业的商业和业务经营数据Personally identifiable information(PII)个人敏感信息：个人身份

3、、隐私相关的敏感数据Classified information 分类(涉密)信息：政府及军事领域的涉密信息和系统保密法分级保护军工保密FAA 1600.2DOD SRGITAR/FIPS信息安全法等级保护 4+FISMAFedRAMPHigh网络安全法等级保护 3+FISMAFedRAMPLow+SOXHIPAAPCI-DSSHIPAAGDPR个人信息保护法(草)数据安全法邮件/钓鱼/恶意软件0Day利用/扫描勒索软件挖矿软件邮件/钓鱼/恶意软件弱口令/无意识信息泄露越权访问针对企业和重要机构的高危害攻击案例每年增加约27%，数据安全攻击事件2018年以来每年翻倍成长2019年委内瑞拉电网攻

4、击导致全国断电，2020年富士康被勒索2.2亿，2021年勒索软件攻击切断半个美国的燃油管道安全挑战二：云原生新技术带来新风险面安全挑战三：安全事件数量剧增，面对海量事件企业安全管理及运营变得复杂授权事件（控制台操作）（主机木马/病毒/webshell等）误报事件情报事件主机安全事件安全产品（威胁情报、漏洞情报）（密钥泄露、代码泄露等）（HIDS）一般事件泄露事件恶意事件（漏洞误报等）误配置（产品/系统/应用不当配置）暴力破解（暴力破解成功）木马事件反弹shell（命令执行、远程提权）通过消耗CPU、内存、带宽或磁盘空间等资源的方式来阻止和破坏意境经过授权的用户对网络、系统等的正常使用拒绝服务

5、攻击在未经允许的情况下通过逻辑的或物理的方式访问网络、系统、应用、数据或其他资源，表现为一种入侵行为非授权访问/非法入侵指一种被隐蔽插入到另一个程序中的程序，能够感染主机的病毒、蠕虫、木马或其他基于代码的恶意实体，破坏了计算机的可用性及完整性恶意代码用户违反计算机资源使用使用政策的行为不当使用/使用不当一个单一安全事件中包含两种或两种以上的安全事件复合型安全事件云上典型安全问题云上典型安全问题已知正在流行利用漏洞610+攻击手段种类：20+攻击工具更新速度高频化漏洞利用工具自动化关键漏洞平均修复时间：193.1天（6个月）漏洞规则库更新时间：1次/周法规和监管环境区域差异与时代变化不同国家地区

6、文化间的差异技术环境的复杂度技术与法律思维的差异数据边界问题带来的责任边界问题安全挑战四：云租户责任共担模型面临的变化安全挑战四：云租户责任共担模型面临的变化容器镜像生态开源社区应用与组件基础OS生态漏洞利用与威胁情报应急响应与处置联动安全挑战五：技术层面的安全挑战云原生安全治理范畴与目标：合规、风险控制与综合治理云资源滥用租户攻击内容违规电信诈骗挖矿C2/Botnet攻击中转DDOS垃圾邮件挖矿病毒勒索软件提升内在安全和可信任度防范外部尤其是高等级组织攻击打击资源恶意利用和违规行为保障云租户合法权益合规与监管风险治理凭据窃取数据泄露Web攻击基础设施攻击CII攻击供应链安全研发过程安全可信任

7、度和安全弹性数据安全内控流程安全管理供应链安全安全控制云原生安全参考架构云原生安全治理云原生数据安全云原生应用安全云原生计算安全云原生网络安全高安全性硬件加密机!#$%&()高性能国密硬件加密卡可信计算环境!#$%&()*&(+,-./01)23456710)89-.):,;+,?AB)CD)EFG1HH1IJKLMNOPQRS1)TSUVW)XYZ)_JaABbcdJAB)efKLABJaghKL$JKLijk硬件虚拟化隔离容器隔离lmMN_no1lm)eflm_npqrMNefst)pqrMNuvefMN;efwxVW)ef_n)efyzI加密容器运行环境|1|o S|3|kRT0)1T1

8、)+,k+,)TSRuv)uWk1R0)1oT)Ja“”JaMNp23456011MN!#$%&()*+,-!MNWwx)1T1U)T1U)T1SMN$T)TSRMN$!#*+,-./!#0123456云租户治理与服务云平台风险治理管理面和运维风险控制安全基础设施云服务商合规、治理与安全化风险治理和可视化数据治理身份治理安全运营安全和隐私保护技术云消费者开发与交付安全云态运营和支持监管机构云安全治理参考框架云数据安全安全治理框架云安全合规管理与风险治理支撑框架云安全安全合规治理ISO 27701 隐私信息管理体系腾讯云获得全球首张 ISO 27701 认证证书网信办云计算服务安全评估腾讯云获得

9、首批通过政务云审查资质标准在8月份正式发布，合规团队第一时间分析认证价值与市场竞争态势，迅速进行标准分析、现状适配等工作2018年底腾讯云广州政务云平台通过网信办政务云审查立项审批，2019年初正式开始接受审查。10个月间收集证据和推动整改2000多项，最后形成1500页评审材料12月网信办正式发布首批通过的28家云平台，腾讯云广州政务云获此殊荣美国 HIPAA国际安全&隐私法律欧盟 GDPRISO 27001ISO 27701ISO 20000国际安全标准认证CSA STARISO 27017ISO 22301行业安全标准认证PCI DSSMPAATISAX国际国内安全审计SOC 1 typ

10、e 2 SOC 2 type 2各类检查韩国 KISMS新加坡 MTCS俄罗斯 FESTEC各国安全标准认证网络安全法密码法数安管理办法国内安全&隐私法律关基安全保护条例个人信息保护法安全漏洞管理规定网络安全等级保护网信办云服务安全评估国内安全标准认证可信云 安全认证云计算金融应用认证其他行业要求（待调研）国内行业安全标准认证云租户安全治理与服务体系现场执行团队Cert专家中心服务体系日常安全运维流程风险评估流程安全运营流程攻防实验室优势能力自动化编排与响应高级威胁情报红蓝攻防对抗应急响应流程腾讯托管安全服务 MSS攻击面画像识别7*24小时托管资产及情报联动持续化安全运营安全支撑工作流常规红

11、蓝对抗流程渗透测试流程安全重保流程系统上线前安全检测流程腾讯安全服务平台MSP自动化工作流平台威胁及自动化处置数据存储模块拓展接口流程引擎任务引擎报表引擎管理界面数据接口接入层处理层平台层拓展模块资产测绘&网络空间测绘漏洞扫描/基线核查集成其他技术支撑基于用户KPI视角服务结果可视化基于专家经验沉淀服务过程可视化原子任务方法论专家经验沉淀多元化服务工具攻击视角用户画像安全运营中心云租户安全治理与服务体系云租户安全治理与服务体系：漏洞与情报运营云端安全运营平台安全探针业务资产安全能力安全专家安全技术安全经验高端能力加持安全信息策略调优云端地端脆弱性管理威胁管理事件管理资产配置基线核查漏洞扫描与管

12、理最新漏洞预警与管理安全事件监测与研判安全策略调优安全事件分析安全事件追溯安全隐患修复强身健体应急抢救时刻养护关注实效加固优化5*8 一级监控7*24二级监控分析处置安全资产评估重大安全漏洞监控敏感信息泄露监控主机安全异常监控Web入侵防护监控系统入侵行为监控网络异常流量监控业务异常行为监控DNS解析劫持监控高危端口开放监控安全产品运行监控安全事件复盘安全加固指导策略调优建议监控体系调优安全风险事件分析产品告警事件分析捕获攻击手段分析入侵事件应急处置漏洞影响及危害分析问题闭环云租户安全治理与服务体系：漏洞与情报运营腾讯电脑管家用户累计安装超过8亿MAU1.65亿云查4.5亿/日病毒检出235w

13、/日腾讯手机管家中国市场份额第一移动安全软件市场份额第一月活跃用户2亿全球杀毒评测赛可达测试：从2016年至今荣获六次第一VB100测试：连续25次通过AVC测试：获得20个A+最高评级DDoS攻击19年攻击经验积累，庞大指纹库有效监测攻击源头腾讯云日遭受攻击20+次，攻击源5000w个恶意流量基于大数据及AI识别：日监测恶意网站10亿发现新恶意网址100w每日提供安全服务2300亿次全球文件样本库总样本 700亿+日均新增 900w白名单 100亿+黑名单 40亿+IP信誉库总数量 20亿+日均新增 100w白IP数量 1亿+黑IP数量 100w+域名信誉库总数量 10亿+日均新增 100w

14、+白名单 1亿+黑名单 100w+DNS信息库90亿+DNS解析记录日均新增100w+18年+Whois信息存储腾讯全球威胁情报库 覆盖99%网民的安全云库漏洞情报系统覆盖全球 400+个原始情报源周捕获12000+多个关联情报重大高危漏洞 0漏报云原生应急响应体系基础事件应急!#$%&(安全产品应急专项攻击应急舆情风险应急内部团队支持节假日值守护航值守!#$%&!()*!(+!,-./(0123456789:;?(+)*:;?ABC)*(+DEF(GH标准化建设IJKLMNOPQROPSTUVWXOP67892345OPYZ应急武器库一键排查工具安全大数据CHECKLIST全网蜜罐UV(应急

15、平台YZ数据挖掘应急靶场云原生自动化应急响应和取证工具腾讯安全云鼎实验室25客户授权溯源主机启动谛听系统申请镜像授权申请临时key自动化镜像快照自动化镜像挂载入侵特征匹配自动化溯源取证二次分析数据格式化数据分类数据聚类数据模型匹配威胁分析还原攻击链路输出报告证据包智能化数据分析结束SOC异常行为检测行为检测全网蜜罐入侵还原云鼎谛听被动响应主动发现全程在用户VPC进行取证入侵事件异常行为检测威胁情报特征匹配数据分析通过预置场景与剧本实现告警自动处置可视化引擎工作流引擎任务管理编排引擎层动作库封禁IP查杀木马隔离内部网络响应剧本库SSH暴破事件剧本挖矿事件剧本聚合分类排序预处理层安全事件威胁告警自

16、动化响应处置与响应报告自动化应急响应机制MTTR180分钟2分钟云原生自动化应急响应和取证工具腾讯内部容器应用规模1600+集群、12W+节点、公司6大BG 镜像仓库超过百万镜像、主流CI/CD平台3个CSIGHUB内部运营流水线嵌入镜像检测能力镜像安全管控镜像仓库全量监控扫描，CI镜像构建阶段集成安全扫描，制品库集成安全扫描并制定安全门禁。协同容器paas团队和操作系统团队提供统一黄金基础镜像，规范业务镜像构建过程：基于黄金镜像，使用公司统一CI/CD平台，满足安全质量门禁；其中镜像安全扫描包括系统漏洞、应用组件漏洞（高危组件黑名单）、敏感信息泄漏、病毒木马；容器集群安全风险管控进行集群组件

17、漏洞及风险配置巡检，攻防专家团队运营分析云原生安全漏洞库和第一手漏洞情报，发现漏洞风险第一时间推修；制定容器安全基线策略，定期基线巡检和推修。容器运行时安全防护默认覆盖公司自研上云全部节点主机，基于Agent实现监控容器内进程、文件、网络行为，可进行容器逃逸检测、木马查杀、webshell检测、异常行为检测和阻断。资产定位及追溯建立公司容器资产大盘，及时定位安全修复责任人云原生容器安全运营体系IDENTIFY识别PROTECT防护DETECT检测RESPOND响应RECOVER修复资产/自建容器镜像风险识别集群风险识别业务运行风险识别系统加固：配置检测与修复、漏洞检测与修复、镜像安全评估与修复

18、、风险管理；安全防护：准入、运行时拦截、恶意文件查杀、网络隔离、防护策略管理系统纬度的威胁检测网络维度的威胁检测应用纬度的威胁检测处置：网络隔离、暂停容器、停止异常进程、销毁容器等溯源：容器告警、日志、追踪等数据关联实现攻击路径溯源针对入侵原因相关风险修复从加固、防护、检测等步骤更新相关安全策略实现运营反馈沉淀安全管理规范基础镜像管理镜像构建安全容器应用安全腾讯云容器安全基线标准安全策略安全规则库漏洞&黑产威胁情报云原生容器安全运营体系仓库里的镜像就是一片森林，基础镜像是树根，基础镜像的治理是镜像安全体系中最最关键的一环p 基础镜像有效收敛镜像安全问题47w个镜像，依赖2.6w个基础镜像，其中

19、：50%的镜像（24w），依赖13个基础镜像90%的镜像（43w），依赖637个基础镜像p 基础镜像安全要求修复已知漏洞仅安装必要的软件确保安装软件的配置安全不配置默认root用户启动镜像，仅配置所需的最小权限用户p 应用镜像安全要求使用确定版本的基础镜像基础镜像因安全原因升级后，应用镜像需同步升级云原生容器安全运营体系：构建可信基础镜像收敛镜像安全风险 对runC、Kubelet、API Server、Docker、Pods等集群基础设施组件开展例行安全巡检，关注严重高危组件漏洞并及时推修，新增漏洞及时同步检测，当前已收录k8s相关组件漏洞100+，覆盖内部2W+节点。通过PSP策略控制集群

20、内pod启动安全要求，对研发环境和生产环境做好网络隔离，生产环境严格登陆管控，非管理员只允许通过编排启动pod。常见的集群环境漏洞&配置风险发现的集群Pod风险项，涉及特权Pod、敏感目录挂载Pod发现的集群组件漏洞，发现API未授权访问等严重漏洞集群风险检查架构集群API Server集群安全Server业务Pod集群etcd集群节点集群安全Daemonset集群风险管控和安全准入Test允许特权启动允许HostpathProduction限制特权启动限制Hostpath集群安全策略（OPA）管理验证反馈验证请求请求创建容器安全策略验证失败,反馈失败信息验证通过，在集群中部署容器DEVELO

21、PERAPI SERVERCLUSTER云原生容器安全运营体系：集群风险和配置安全加固及监控深度感知容器内的入侵事件，持续监测，实时上报被攻击容器，自动拦截失陷容器自适应识别黑客攻击，实时监控和防护容器运行时安全。一共包含6大类容器逃逸引擎，检测能力、检出率远优于其他容器安全产品；腾讯云安全技术及多维度多种手段，对容器内的反弹行为等进行监控，同时对容器中发生的可疑命令进行审计，如 wget、curl、apt-get等，能有效发现黑客入侵痕迹；木马病毒检测：自研Webshell引擎，横向测试优于竞品，检出率99.25%+（赛可达评测）；自研TAV引擎，高效查杀二进制木马病毒，多次获得国际权威机构

22、VB100、AVC等机构评测第一梯队；腾讯云全网百亿级样本，覆盖海量病毒、木马、僵尸网络等恶意代码样本。入侵检测detect+respond+enforce（被动感知）guest applibs/dependsguest applibs/dependsguest applibs/dependsLXDLXCDockerOSInfrastructure进程创建网络连接DNS请求文件释放高危syscal调用安全探针(Probe)服务爆破感知Webshel检测反弹shel检测提权检测隐蔽隧道检测东西向渗透感知入侵检测清理进程.清理文件补丁修复事件控制信息收集风险评估调查取证事件调查专家知识事件规则引擎

23、木马检测引擎主机事件库云端病毒库威胁情报安全事件告警安全工程师响应生成安全事件Container云原生容器安全运营体系：容器运行时漏洞检测及可视化云上数据泄漏的最主要两种形式安全运营中心数据泄漏监测最佳实践监测建议：SecretKey泄漏监测及账号泄漏监测等开发测试部署运维开发过程中泄漏：业务上线后泄漏至网络黑市：人为将内部敏感信息代码有意或无意地上传至Github网站，导致攻击者获取利用造成数据泄漏。黑客以盈利为目的通过各种攻击手段获取内部敏感数据，利用网络黑市渠道进行发布和售卖。Github网络黑市腾讯云安全运营中心腾讯云用户腾讯安全云鼎实验室持续运营持续监测泄漏识别自定义关键字泄漏告警云

24、上秘钥泄露监控和自动化处置云上数据泄漏的最主要两种形式安全运营中心数据泄漏监测最佳实践监测建议：SecretKey泄漏监测及账号泄漏监测等开发测试部署运维开发过程中泄漏：业务上线后泄漏至网络黑市：人为将内部敏感信息代码有意或无意地上传至Github网站，导致攻击者获取利用造成数据泄漏。黑客以盈利为目的通过各种攻击手段获取内部敏感数据，利用网络黑市渠道进行发布和售卖。Github网络黑市腾讯云安全运营中心腾讯云用户腾讯安全云鼎实验室持续运营持续监测泄漏识别自定义关键字泄漏告警云上秘钥泄露监控和自动化处置通过安全仪表盘实现云上安全监控，通过安全评分及最新待处理问题看板等快速了解安全风险通过安全大屏实现云上安全态势的直观可视化呈现云上风险可视化和大盘综合判研云上风险可视化和大盘综合判研攻击者视角，清晰展示攻击路径关键情报：预判风险，精准拦截可配置KPI，观察重保核心指标可视化，直观展示风险攻击态势工作流，按需定制重保流程互联网暴露面监测，深入呈现薄弱点