王永霞:大家上午好!昨天我们有一个主论坛,昨天下午,黎巍总也给大家分享了腾讯云在安全方面我们的一些方法和思路。
我们先进行一下互动,昨天在演讲时有提到一个数字,黑产在云上非常激烈的状态,要发动一次简单的攻击最小的成本是多少钱?谁知道。
观众:200元。
王永霞:对,回答得非常好,发个小礼物,腾讯的吉祥物。昨天黎巍总也引入了一句经典的话,“这是一个最好的时代,也是最坏的时代”。云上黑产很猖獗,威胁也很多,云上有什么痛点和问题呢?刚才做技术的大咖已经给大家做了分享,下面我们从管理上与大家分享这个话题。
云计算这个领域还是比较新的,所以,我今天用探索的心态和思路与大家分享,尽管我个人认为,我们在这方面还是走在比较靠前的阶段。云上有什么样的风险和痛点,我们从云的租户和云供应商两方面和大家做分享。作为云端的租户来看怎么看我们云安全状态呢?
首先,它会担心我们云服务平台可能会中断,不管是什么原因?担心它的数据在云端可能会被泄密,不管是因为黑产还是云服务商内部管理的问题,都有可能带来这样一种情况和后果。
第二,云上个人信息的泄密问题。我们作为云服务商也会担心互联网上的服务会导致各种各样的云安全状态,比如云服务平台会被恶意使用,变成攻击源;客户使用时可能违规违法使用,这对我们来说都是业务方面不能承受的痛点。
我们基于这些方面来看,在基于云安全,传统的27001,各位朋友对27001应该很熟悉,我们讲信息安全时谈到三个属性:机密性、完整性、可用性。云安全上这三方面还是存在的,只是云方面我们提出了第四点——可控性。这对云的平台以及云服务在安全性方面都是非常关键的一种属性。我们刚发布的,明年会正式使用的《网络安全法》也谈到基于云或互联网下面安全可控,国家方面的要求。
腾讯云安全合规资质之路。
我们也有很多好的方法和实践,腾讯云安全发展的步骤和我们国家云计算的发展是相吻合的。我们是2014年首先家通过27001:2013年版认证的云服务商。今年我们通过云服务STAR资质,获得云安全方面管控的方法。
腾讯云基于这个框架进行管控的方式,我们进行IP治理事件,COBIT5和以及其他管控方法,我们有自动化的安全运营平台,有安全运营的方式方法,检测各种安全可能的供给和或不安全的状态,内部和外部的都会有,做到及时的响应。中间这层分为三大块:
1、运营。腾讯云安全运营上,从人员、操作、系统平台、虚拟化各个层面都有自己的安全管理方式方法和措施流程。
2、风险。从风险的发现,风险的处置,风险的应对都会有一系列方法,从流程、制度、平台和工具。基于业务科恢复能力,互联网情况下会有各种各样不安全的状态,万一碰到灾难性的情况,我们要能够及时地去恢复,恢复能力即使作为云服务商,我们应该给设备承诺的责任,或者给客户提供的容灾方案或能力。
3、弹性。弹性上,我们会从客户端以及云服务商,都要对外提供可恢复的解决方案。以保证灾难情况下,我们的云平台、客户能依然能延续使用我们云计算产品和服务。
腾讯云安全治理体系。
治理体系必须是从上到下的,腾讯云安全有一系列的操作,包括操作、审计等虚拟化团队在运行。同时我们也制订了一系列各种标准,内部的,企业的,从虚拟化,到操作,到人员,到互通性等等。各个方面适应我们自己环境下的管理要求和标准。从这三方面达成我们在内部一套可以不断在GTC我们云管理体系。
腾讯云安全风险管理框架。
我们内部有一个管理的框架,安全界有一个认知——基于风险管理为基础。风险管理中通常分为四个阶段和风险识别、风险评估、风险评价、风险处置。四个阶段中,最难的是风险识别了。我们有自己一套基于腾讯云的事件,从业界报告所总结出来的风险库、风险地图,它是分成了几个大的领域,几个子领域和若干风险项。
有了这个之后,我们进行评估和评价就比较容易了,这时候我们有比较充分的风险处置措施来跟进。运营层面有安全运营平台来支撑,管理方面也尽量把风险可视化。风险可视化以后我们就有一系列的风险指标,来对风险处置措施运营情况和风险发生情况进行可视化的展示。这种方式也是我们在云安全方面,对风险的一种创新应用。
以上是我们从管理到治理风险框架、可视化平台、风险工具与大家做的分享。
前面讲的两大块,我们在云治理上面就有四个特点:是一致性、标准化和规范化的,这是必须的,这是任何管理要实现的一个效果。内部除了20007和STAR之外还有云服务质量上有一系列的管理体系。STAR平台是把整个体系进行了整合,所以它有一体化的效果,同时也是规范化的方式。因为我们对外提供2B业务时让客户和市场看到我们规范化的服务是非常重要的。我们体系做流程和制度时都是要达到这样的效果。
因为它是在互联网方式下提供服务,又是互联网企业,我们定流程和制度时要考虑一系列敏捷化的特点,我们写制度和流程时都尽量用流程图的方式让同事比较容易也比较愿意去看,愿意遵守这样的方法。同时,也尽量在能够可视化情况下通过平台和工具展示出来,比如前面讲的风险指标,发生的情况和目前的现状,当前的情况都让它可视化展示出来,这是在STAR云安全内控上我们四个方面的特点,能够带来相关效果。
昨天我们开CSS大会时,腾讯云安全也发布了今年最新版的《安全白皮书》,这个白皮书按照目前行业要求和最佳方法、实践来编制和发布的。《白皮书》内我们提出了“安全责任共担”的理念,腾讯云对云安全怎么看,腾讯云和客户之间责任共担的理念,云服务商,包括客户和租户也是要承担一定责任的。
腾讯云对外提供的有IaaS、PaaS和SaaS三种服务,作为IaaS级的服务,腾讯云也是云服务商提供最多的情况,包括云主机、云网络、云存储,这都是最基础的IaaS级的服务,我们对外也在提供。同时还有PaaS级的服务,包括云数据库、云视频等等PaaS级的服务。SaaS级的服务,我们家比较有特点的人脸识别优图产品以及云搜、云通信,基于各种各样SaaS形态的云安全,包括天御和乐固都是我们SaaS的服务。
在IaaS、PaaS和SaaS服务中,STAR模型中,我们作为云服务提供商和客户安全边界上就有各自要承担的职责和范围。我们把它分成了五个级别。
最上面这一级是数据安全这一级。数据安全应该是客户最关心,也最在意的一块,但对这块,数据分级、分类、上云之后要不要加密保存都是作为云的客户、租户自己应该思考的问题。当然,作为云服务商我们提供加密解决方案、加密方法和技术,但作为使用的情况是客户自己要去分析和采用。我们包括客户要承担的职责和范围。
终端,在使用云之后,终端的感觉和使用,终端的升级,必要的控制方法和手段,在SaaS层面,我们作为云服务商要承担一定的责任,作为IaaS和PaaS客户要自己考虑终端方面的方式方法和解决方案。
访问控制,要解决的是访问者或用户、管理员权限划分,访问权限,识别和鉴别等等,作为云服务商和客户都有各自要承担的责任和边界。
应用安全,包括应用的设计和开发,应用的上线部署和升级换代,漏洞修复等等,这也都是属于在不同STAR下面我们云服务商和客户之间各自承担的责任有所划分。
主机安全方面,IaaS层面云服务商要承担的比其他要更多一些,但在不同模式下还是有所区分,包括虚拟化层,必要的安全手段和安全加固是云服务商要承担的。不同情况下,客户使用时也要考虑到,比如镜像选择,客户自己也要承担一定的安全职责。这是我们到主机和网络上的解读。物联和网络架构,包括IGC物理环境、物理服务器,网络设备等方面,在这些方面会看到,在IaaS层面一定是云服务商应该承担的安全责任,作为PaaS和SaaS也是云服务商要去保护的。我们对外要解释在腾讯云安全方面,和客户之间“责任共担、安全共建”,怎么理解这个事情,划分我们作为云服务商与客户之间的安全边界。
数据安全。
《白皮书》里有重要的章节,就是云数据安全,这也是客户非常关心的领域和话题。虽然在STAR下面,客户承担的安全职责会有不同,可能也是客户最关心的话题,为了让这个业务有安全可控的服务方式,让客户放心。作为云服务商,我们也有一套自己的解决方案提供给客户。
上云阶段,会提供给客户传输通信加密方式,也可以客户化定制他需要的,自己认为更适合自己的安全传输途径。我们作为云服务商,认为客户信息数据都是我们家绝密的信息和数据,不管他存的是什么,不得到客户授权情况下,我们任何人内部都不可以访问客户的信息和数据,达到这样的要求也是提供这么一种包括,包括必要的安全管理和监控措施手段。
云中阶段,客户自己选择需不需要加密的方法和手段,那是客户自己的选择,作为云服务商,我们内部有颗粒度足够细的权限管理,对操作人员操作行为的监控来对它的数据安全状态进行相关的监控、审计和操作。
下云阶段,客户决定要下云时,下云环节中,除了传输上我们和上云提供一样的安全传输通道之外,在客户下云之后也会对客户原来所租用的资源,从计算到存储各个方面会做相应的资源回收,也会做满足足够要求,规范的数据删除和数据擦除相关措施,保证客户下云之后的数据安全。
(图)这是我们腾讯作为云服务商对客户的数据安全三大环节相关手段和观点。
运营安全。
腾讯云提供了相应的运营安全保障措施,周斌和吴昊总都介绍了非常多我们的安全方法,在云安全方面,从产品的云安全特性到云安全产品各个方面所提供的解决方案,必要的管控方法。除此之外,还有各个层次的安全手段。我们在管理制度上也有一系列的管理流程,刚才吴昊总介绍我们乐固产品时,它是一种移动安全产品解决方案,它是从产品设计、开发、测试、上线、运维各个环节必要的安全手段。
腾讯云自己云产品或云安全产品开发过程都要符合产品开发流程要求进行。在运维过程中,我们也在做足够充分的运维保障机制,包括自动化的监控平台,去发现各种可能存在的风险和漏洞,做到及时的响应。同时,通过自动化平台来监控内部人员的操作行为,操作措施,来做及时的事前、事中、事后的授权、检查、审计等手段。另外是72小时。通过这些达到腾讯云一整套运营安全、运维保障措施。
昨天开会时,网信办也说到了我们有《国家网络安全法》,已经正式发布了,这种情况下,我们作为云服务商要持续推进安全合规和安全标准建设,都是我们应该承担的一种社会责任。所以,我们一直会坚持创建安全,共建云端生态,提供优质服务,以响应国家对我国网络安全的号召和要求,进一步促进云安全体系持续的发展和构建。
我的介绍就到这里,谢谢大家!