腾讯云安全实践
--
大纲
• 自我介绍
• 腾讯云网络架构演进
• 腾讯云安全系统架构演进
• 云安全建设方向
自我介绍
• bluezhou(周斌)
– 2005年加入腾讯
– SNG安全中心
– 主要工作:QQ&Qzone业务安全、腾讯云安全
关于腾讯
腾讯的传统安全系统
• 公共组件
• SOC
• 有害信息
• 多媒体识别
• 安全漏洞
• 黑客攻击
• 虚拟财产
• 垃圾消息
业务
安全
应用运
维安全
公共
平台
信息
安全
腾讯云的架构
腾讯的网络架构演变
• long long ago…
单IDC、同地模式 多IDC、异地分布模式
支持腾讯云的网络架构
• 云时代的基础网络
腾讯云网络架构
腾讯云运营中的安全需求
培训
安全技术
安全意识
安全规范
网络设
计
分区规划
组件开
发
安全开发
工具
渗透测试
安全API
发布
应急响应
规范
集成环境
安全检测
运营
安全运维
规范
审计
代码审计
行为审计
数据审计
问题发
现
扫描系统
人工巡查
安全情报
系统
可选服务
异常推送
修复
Double
check
安全系统的要求:
有效隔离安全防御安全服务内部审计
腾讯云的网络分区
登陆端口
远程桌面
登陆端口
其它端口
私有端口
私有端口
数据库端口
登陆端口
私有端口
私有端口
服务器
办公OA
办公网
TOOLSNET
隔离带
MNET
OSSNET
运营网
财付通专区
DEVNET
普通区
安全域管理区
核心数据区域
X-SVR专区
运营访问
业务专区
常规策略
禁止策略
默认策略
ANY
ANY
ANY
ANY
NTPserver网管server
网
管
/N
T
P
端
口
网管/NTP端口
WEB
WEB端口
WEB端口
登
陆
端
口
其
它
端
口
网
管
/N
T
P
端
口
WEB端口
其它端口
CITRIX访问登陆端口
腾讯云安全系统架构
防火墙
第三方
DB
外网安
全检测
用户服务器
公网
漏洞扫描
内容检测
DNS检测
内部安
全检测
基线检测
入侵检测
挂马检测
安全
审计
Log分析
Shell审计
DB审计
外访检测
安全API
DDoS防护
云waf
网络阻断
防火墙
业务流量
Oauth
漏洞API
验证码
软token
防火墙
主劢外访
主劢外访
暴破检测
证书登录
腾讯云安全DDoS防御系统—大禹
OC点:负责用户业务接入、数据转
发,以及DDoS攻击流量的过滤
宙斯盾:负责攻击流量拦截,和IP
封堵功能
大禹系统:负责用户接入,流量调
度,秒级IP封堵策略下发,DDoS攻
击运维等功能
腾讯云安全DDoS防御系统—大禹
2014年累计防御攻击 2w+次,防御攻击时长 12w+分钟,
最大单次攻击108G,清洗流量5T+
WAF
腾讯云的发布和运营
• 安全规范
– 代码规范
– 发布前安全检测
– 应急安全准备
• 发布规范
– 统一发布平台
– 灰度发布
– 现网观测
• 线上运营
– 运维规范&连续性管理
– 安全检测
重点:安全意识
腾讯云的审计
物理安全
代码审计
敏感数据
审计
行为审计
外网监测
腾讯云的安全问题发现&修复机制
• TSRC
腾讯云安全功能框架
主机安全
宙斯盾
网络层DDoS攻击防范
流量清洗
TGW
空连接攻击防御
标志位DDoS攻击
外网入口安全
主机网络安全
APP隔离
出入流量白名单
登录安全
LDAP
证书
入侵防护
洋葱
白名单
CMEM
白名单
CDB
密码
COS
Access ID
Security
Key
OpenApi
白名单
服务安全
Access ID
Security
Key
IP和MAC欺骗
防sniffer
异常事件检测 流光
敏感数据保护
业务安全
哈勃扫描中心
安全基线扫描
违规扫描
数据透明化
登录审计
运维操作审计
服务和支撑系
统日志审计
业务流程审计
服务中心
WAF
DNS劫持检测
消息安全
验证码
反作弊
IDC入流量
主劢外联
OpenApi
漏洞扫描
用户服务
暴力破解检测
安全组件
腾讯云安全产品介绍
DNS劫持检测
1)Local DNS劫持监测
覆盖全国各主要城市Local
DNS
2)权威DNS篡改
权威DNS监测
腾讯云安全API—验证码服务
腾讯云安全防御效果
• 腾讯云安全服务开发者1w+
用户量
• 2014年累计防护2w+次,最大攻击流量108G,平均防护生效时延<10s
DDoS防护
• 对使用了云安全漏洞扫描的业务,自劢扫描,日均发现漏洞上千个
• 提供云waf功能,对恶意攻击进行透明过滤,时延毫秒级
漏洞防护
• 分钟级的违规发现能力
违规发现
• 多渠道及时发现客户云服务器被入侵情况,日均发现数十起入侵事件
• 提供弱密码检测工具、证书登录等方式,帮劣客户进行预防
入侵检测
腾讯云安全未来的方向思考
• SDN时代云安全系统的方向
Q&A
欢迎随时沟通
