Board logo

标题: 腾讯云安全的使命和技术实现 [打印本页]

作者: linda    时间: 2015-12-29 18:31     标题: 腾讯云安全的使命和技术实现

徐东山(tomsonxu) 腾讯云安全副总监,2004年大学毕业进入华为公司,随后于2005年进入腾讯公司并服务至今,历任后台开发、后台策略安全等岗位。从2010年腾讯开放平台和腾讯云启动迄今,一直从事腾讯云安全相关的业务规划和系统建设工作。对海量服务系统开发、后台策略安全设计等有较强烈兴趣和一定积累。



分享实录



首先介绍下我自己,我是来自腾讯公司的徐东山,当前主要负责腾讯云安全的架构设计与产品规划等工作。


我们团队主要涉及到海量服务后台开发、后台安全策略、运维安全、大数据处理、机器学习等领域,当前也有较大的人力缺口,欢迎在这些方面有经验、同时对腾讯和深圳有兴趣的同学私下联系我。

现在我开始我今晚的分享。



5年前,我们说到云计算,还觉得他是一个有些飘渺的技术方向和概念,但今天,我们说到云计算,已经可以认为他是实在的产业并且直接影响到了IT行业的现实领域和抉择。

产业发展过程中,腾讯云在里面起到了重要作用。从腾讯云诞生至今,安全一直是最核心的问题,也一直面临质疑和挑战。并且,随着腾讯云与行业的发展,安全的质疑与挑战也随时间与阶段呈现不同的特点。



下面,我根据腾讯云发展的不同阶段,对云安全在相应阶段的使命与建设理念进行描述。


腾讯云的发展,可以认为有四个阶段:




在腾讯云的发展历史中,云安全从开放平台阶段开始介入,通过完成使命,推动着腾讯云在不同阶段的发展和演进。



开放平台时代,云安全主要针对合作厂商的业务进行行为和内容安全审计:





公有云初期,云安全重点保障了支撑体系的安全可靠:




当前,为了配合互联网+战略的更进一步实施,云安全针对客户痛点推出一序列强化服务,在基础服务之外,推出了更有针对性、能力更强的大禹、天御等安全服务,并且覆盖到非云客户。



对一般客户来说,主要存在着下面的几个问题:



通过公司内部积累和腾讯云各个阶段的使命达成,腾讯云安全积累了业界领先的能力,并且形成了一整套的安全总体架构。

从层次上,覆盖了组织管理、物理安全、基础平台、合规性审计、网络安全、主机安全、应用安全等各个方面,给客户提供全面强有力的安全保障。





对提供计算和网络资源的云服务商而言,可信是其首要保证的。腾讯云从两方面来保障基础平台的可信度:




通过上面的可信措施落实,腾讯云也获得了一序列的外部合规性认证,包括ISO 27001:2013、可信云、等保等认证,给客户提供了更可信的保障。



在基础平台和支撑体系安全可靠之外,腾讯云安全在网络、主机与应用、业务、移动等领域均提供了全面的安全服务。



下面,针对云安全服务,我挑选部分内容对大家进行介绍。


大禹、天御、乐固三大产品,分别从网络安全、业务安全、移动安全的方向,提供了整套全面的安全服务。

同时,这三大产品,也可以很好支持非云托管的客户。


首先介绍下DDoS攻击:
DDoS 又称为分布式拒绝服务,全称是 Distributed Denial of Service。
DDoS 就是利用合理的请求造成资源过载,导致服务不可用。


面对猖獗的DDoS攻击我们能做什么

大禹治水,分而治之,而非堵而治之
如果机房带宽  <  DDoS带宽,无法承受。因此,我们聪明地选择全国分布式节点(腾讯既有数据中心)做防护。

大禹系统防护说明:

大禹系统防护全景图:
用户请求

大禹系统接入流程:



业务侧服务器
羊毛党第一步:


其次:


全路径进行识别和打击:


从信用、行为、内容等方面,对广告、恶意内容等进行识别:


腾讯验证码:


类型丰富:


天御提供了防刷、内容识别、验证码等多项业务安全能力


app存在风险:


对抗的主要思路和原理:



今天由于时间关系,部分内容没有详细说明。欢迎大家下载腾讯云安全白皮书,了解更多内容。

问答实录


1.全国分布式节点怎么理解啊
答:大禹系统使用了CDN节点在前面分流攻击流量,我们CDN节点是全部分布的。



2.CDN DNS怎么分配的呢
答:dns解析用了腾讯自研体系的gslb系统,能根据用户访问就近接入,并会根据节点质量自动调度。gslb在我们公司服务了qq、微信、qzone等业务,久经挑战。

3.“对内部进行审计,任何操作都有记录可追溯”,能具体说说么,操作每条指令都存入日志么?
答:这里的操作指腾讯云内部人工的操作,我们通过管理权限、堡垒机等限制员工在合理范围内操作,并把输入的命令记录到流水。


4.腾讯云安全对最典型的DDos攻击是怎样防御和限制的?在云平台上,谢谢!

答:我们的ddos防护有三种模式,一种是在云机房内,一种是专门的高防机房,一种是大禹在前端的分流清洗。我理解的是第一种,这种我们是搭建了自研的ddos防护设备(宙斯盾,大禹在具体节点上也复用到了这个系统和能力),由宙斯盾进行清洗。对于协议级别攻击(一般也是大流量),我们根据协议内容的异常识别等进行攻击源识别;对于应用层攻击(cc),我们根据请求规则、互动等识别。

5.你们这套系统是只能对腾讯云有用吗?我们私网可以使用吗?
答:大禹、天御、乐固都可以对非云的业务提供,其中,大禹、天御必须要有外网,乐固只要在我们官网上加固。

6.请教下腾讯云 vpc私有网络与企业网之间建立的ipsecvpn通道有什么办法做到监控?
答:对这个我们不会做内容监控,但是可以对流量包量、时间曲线、源端目的的等识别,并判断异常进行告警。

7.你们的ip动态迁移是怎么实现的?
答:基于gslb和cdn节点可用性来调度,对cdn节点进行可用性监控,当满足迁移条件时,修改gslb解析。

8.请问一下 大禹是如何判断的,如何自动接入大禹的
答:大禹在各个节点均有攻击清洗能力,在节点可以进行流量清洗。接入的话,只要把域名cname给我们分配的特定域名上即可。


9.对于国外服务器的建议与方案呢?
答:腾讯云在香港和北美均有托管机房,可以接入天御,可以使用乐固。但是接入大禹意义不大,因为大禹资源主要在国内。

10.请问面对这么大流量怎么分析哪些是恶意攻击哪些是正常流量在DDOS攻击的时候 正常用户可以正常使。
答:系统分成检测、清洗、控制等部分,在平时,流量会直接到源站或者业务服务器,同时,流量会分光到检测设备,检测设备对流量进行判断,这个时候检测不会影响业务流量;当检测设备检测到攻击后,会通过控制系统下发策略,这时候业务流量会经过清洗设备,经过清洗后再回到源站或者业务服务器,这个时候清洗会影响到源站。一般性来说,清洗设备只会过滤攻击流量,业务正常流量会透传回到源站。

11.是绿盟的流量清洗设备不?
答:清洗逻辑,当前用的主要是我们自研的设备宙斯盾。

12.我最想知道公司机房怎么接入你们的系统?
答:整个机房接入吧?这个可能具体要看,比如机房外网服务的提供方式,有多少访问入口等的。如果域名少或者ip数少,就有办法通过牵引搞掂,如果多的话,就是资源耗费的问题。

13.大禹是分布式的吗,假如攻击流量超过机房的带宽,能转移到其他机房么?
答:大禹是分布式的,流量会分流到各个cdn节点,如果某个节点不可用或者超过带宽,会自动剔除该节点,并把该节点的业务流量调度到其他大节点去。

14.mpls二层 三层?
答:腾讯云体系中,对于转发,主要是基于3层和7层。

15. “对于应用层攻击(cc),我们根据请求规则、互动等识别 ” ——这个没法通用吧,要建立正常业务流量的特征库么?
答:要针对特定的业务设置。这个主要看攻防情况,会设置默认规则,这些会相对简单较容易漏过,之外还有特殊规则,这些主要是漏过后和客户一起制定,联手与攻击者对抗,这块相对坎坷。

对业务流量的特征库,正在做,但当前只对大禹的几个高危用户在试点。

16.请教下,如果腾讯云上某客户业务管理员被非法利用,进行非常规操作,机器学习是否可以进行甄别并发出告警?
答:简单说下思路:异地ip和时间登录、操作频次、操作范围等可以识别,还可以根据更广度的操作习惯,但是当前在操作习惯上,更多是how、when、who等5要素来做。

17.能在清楚点么是如何判断的啊 ?就好像餐馆来了好多人 我怎么判断哪些是消费者哪些是混混  处理策略又是如何清洗的直接过滤么 会不会对正常流量误判断啊。
答:简单说,协议包里面,ttl、seqno等字段的合理性,或者是否会对某些返回进行识别。
清洗策略是识别恶意后丢弃,如果判断失误,是会有误杀。

18. 阿里云也在香港有托管机房吧?你们的优势在哪?
答:按照你自己的核心需求,找到最关键的几个点来,进行评估:)

19.腾讯云安全服务是对客户开放的,还是需要单独购买云安全服务呢?
答:托管在腾讯云上,会享用基础安全服务,如果不是托管,可以单独使用大禹天御和乐固。但是登录防护等则没有办法。

20. 这些是公开的防御系统听说腾讯内部还有一个特别强大的防御系统是吗
答:说宙斯盾吗,云上的大禹和宙斯盾是我们的精华了。



原文:http://mp.weixin.qq.com/s?__biz=MzIzODE1NTU0MA==&amp;mid=401093991&idx=1&sn=3756955bbc2c65c31c601981caf69347&scene=23&srcid=1229umJ8G4kkuGqonHk9zjm9#rd




欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0