周斌-公有云平臺(tái)的風(fēng)險(xiǎn)感知能力建設(shè)實(shí)踐

——公有云平臺(tái)的風(fēng)險(xiǎn)感知能力建設(shè)實(shí)踐——周斌負(fù)責(zé)支付和安全系統(tǒng)的建設(shè)工作?目前專注騰訊云安全工作?關(guān)注技術(shù)點(diǎn)：海量數(shù)據(jù)處理、高性能server、安全技術(shù)騰訊云-打造一站式云端生態(tài)騰訊云是全球領(lǐng)先的公有云服務(wù)提供商，主要定位服務(wù)于廣闊的企業(yè)級(jí)用戶市場(chǎng)。海量業(yè)務(wù)的技術(shù)架構(gòu)和精細(xì)化互聯(lián)網(wǎng)運(yùn)營經(jīng)驗(yàn)，騰訊云不僅能提供普適的云計(jì)算基礎(chǔ)設(shè)施服務(wù)，還提供市場(chǎng)稀缺的移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的云服務(wù)，以及物聯(lián)網(wǎng)時(shí)HH1云安全情況2015公有云平臺(tái)基礎(chǔ)安全架構(gòu)4安全風(fēng)險(xiǎn)感知系統(tǒng)建設(shè)4模塊功能介紹趨勢(shì)最好的時(shí)代這是信息引領(lǐng)社會(huì)前進(jìn)的時(shí)代，這是互聯(lián)網(wǎng)+的時(shí)代 (萬人)0%%42.1%38.3%6487528.9%28.9%51310457300000網(wǎng)民數(shù)互聯(lián)網(wǎng)普及率 (億美元)032%131032%1310市場(chǎng)規(guī)模年增長率球云計(jì)算市場(chǎng)規(guī)模示意圖x百萬性能硬件問題穩(wěn)定性數(shù)據(jù)安全運(yùn)維性穩(wěn)定性體驗(yàn)問題…2015H1國內(nèi)發(fā)生流量超過100G的DDoS攻擊33起，國內(nèi)某廠商遭DDoS攻擊，客戶業(yè)務(wù)中斷2小時(shí) 015-012015-022015-032015-042015-052015-062015-07月攻擊最大流量虛假訂單占據(jù)40%刷單人員超過20萬職業(yè)刷單人可月入10萬騰訊云大禹2015H1DDoS防護(hù)示意圖O2O打車行業(yè)刷單嚴(yán)重驗(yàn)準(zhǔn)開始健康檢查路由管理狀態(tài)管理安全隧道管理pp卡2ppVirtualswitch網(wǎng)絡(luò)健康檢查路由管理狀態(tài)管理安全隧道管理pp卡2ppVirtualswitch網(wǎng)絡(luò)速智能選路，優(yōu)TGWTGW外網(wǎng)統(tǒng)一接入集群，外網(wǎng)IP和虛擬機(jī)解耦，戶之間網(wǎng)絡(luò)隔離，雙向流量限制網(wǎng)絡(luò)分離，互為備份發(fā)現(xiàn)分析蓋確重點(diǎn)：成本(體驗(yàn))與安全性的平衡分析防御 (基礎(chǔ)數(shù)據(jù))基于海量的數(shù)據(jù)計(jì)算，細(xì)微處可見真章打擊系統(tǒng)基礎(chǔ)安全物理安全網(wǎng)絡(luò)安全運(yùn)營平臺(tái)內(nèi)部審計(jì)實(shí)時(shí)分析系統(tǒng)演習(xí)系統(tǒng)打擊系統(tǒng)基礎(chǔ)安全物理安全網(wǎng)絡(luò)安全運(yùn)營平臺(tái)內(nèi)部審計(jì)實(shí)時(shí)分析系統(tǒng)演習(xí)系統(tǒng)數(shù)數(shù)據(jù)安全離線分析系統(tǒng)CDB集群TDW集群Hadoop集群?網(wǎng)絡(luò)層隔離?基礎(chǔ)組件與用戶隔離?IDC間隔離檢測(cè)引擎規(guī)則掃描網(wǎng)絡(luò)探測(cè)流量探測(cè)子機(jī)探測(cè)DC三度問題者全系統(tǒng)風(fēng)險(xiǎn)分類圍數(shù)據(jù)安全安全信安全合規(guī)全件全產(chǎn)品連續(xù)性管理物理安全程規(guī)范權(quán)限管理發(fā)規(guī)范??端到端的四把鑰匙驗(yàn)證–1.用戶票據(jù)(證明是用戶A)–2.用戶數(shù)據(jù)權(quán)限(證明A有拉此數(shù)據(jù)的權(quán)限)–3.業(yè)務(wù)簽名(證明是業(yè)務(wù)B)–4.業(yè)務(wù)數(shù)據(jù)權(quán)限(證明B有拉此數(shù)據(jù)的權(quán)限)3–業(yè)務(wù)場(chǎng)景合規(guī)才能給權(quán)限–黑客入侵、內(nèi)鬼用戶1業(yè)務(wù)N數(shù)據(jù)接口存儲(chǔ)中心4?案例?一次MD51億+?密鑰管理?密鑰長度(如RSA1024bit以上、TEA32輪等)?密鑰更換(怎么換？)?關(guān)于密碼破解?暴力?弱密碼?字典?彩虹表水印蜜罐策略?定性到定量?微軟的“DREAD”評(píng)分標(biāo)準(zhǔn)?潛在破壞性?可再現(xiàn)性?可利用性?受影響的用戶?可發(fā)現(xiàn)性?我們的“ALSOM”(Awesome)評(píng)分標(biāo)準(zhǔn)?協(xié)議級(jí)別Affecteddata影響數(shù)據(jù)種類2?可能泄漏量Leakmagnitude影響數(shù)據(jù)量級(jí)1?業(yè)務(wù)類型Servicetype宏觀業(yè)務(wù)類型3?可能動(dòng)機(jī)Motivation個(gè)體行為動(dòng)機(jī)2?其他維度Other其他可疑信息2全體系，對(duì)異常事件的威脅度，應(yīng)可給出定量分析安全團(tuán)隊(duì)安全團(tuán)隊(duì)用軟件基線密8DDoS攻擊防范業(yè)務(wù)可靠和連續(xù)性6入侵檢測(cè)與防范作審計(jì)漏洞掃描與修復(fù)6發(fā)安全作安全8安全1源安全211理區(qū)域控制 安全技術(shù) 安全意識(shí)全開發(fā) 滲透測(cè)試應(yīng)急響應(yīng)范 代碼審計(jì) 行為審計(jì) 掃描系統(tǒng) 人工巡查全情報(bào)統(tǒng) 安全技術(shù) 安全意識(shí)全開發(fā) 滲透測(cè)試應(yīng)急響應(yīng)范 代碼審計(jì) 行為審計(jì) 掃描系統(tǒng) 人工巡查全情報(bào)統(tǒng)培培訓(xùn) 安全規(guī)范網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)分區(qū)規(guī)劃組件組件開發(fā) 安全API發(fā)布發(fā)布 集成環(huán)境運(yùn)運(yùn)營安全運(yùn)維范審審計(jì) 數(shù)據(jù)審計(jì)問問題發(fā)現(xiàn) 可選服務(wù) 異常推送修復(fù)修復(fù)任邊界任安全功能鑒權(quán)機(jī)制確認(rèn)每個(gè)環(huán)節(jié)集中鑒權(quán)計(jì)結(jié)果代碼審計(jì)Doublecheck操作審計(jì)M案檢測(cè)加速M(fèi)M洞掃描控制錄測(cè)析體檢U鏡用戶畫像樣本庫安全服務(wù)層：首先進(jìn)行網(wǎng)絡(luò)隔離有效性檢測(cè)，主機(jī)上用戶環(huán)境唯一性；提供用戶可使用的安全組件，支持應(yīng)用層防護(hù)；從登錄>外 訪>安全功能>備案檢測(cè)>內(nèi)容檢測(cè)>安全認(rèn)，支持全流程安全服務(wù)；對(duì)內(nèi)和對(duì)外分別提審計(jì)結(jié)果，包括異常登錄流水、異常權(quán)限操日志、接口調(diào)用異常等構(gòu)M案檢測(cè)加速M(fèi)M洞掃描控制錄測(cè)析體檢U鏡用戶畫像樣本庫安全服務(wù)層：首先進(jìn)行網(wǎng)絡(luò)隔離有效性檢測(cè)，主機(jī)上用戶環(huán)境唯一性；提供用戶可使用的安全組件，支持應(yīng)用層防護(hù)；從登錄>外 訪>安全功能>備案檢測(cè)>內(nèi)容檢測(cè)>安全認(rèn)，支持全流程安全服務(wù)；對(duì)內(nèi)和對(duì)外分別提審計(jì)結(jié)果，包括異常登錄流水、異常權(quán)限操日志、接口調(diào)用異常等接口層：安全系統(tǒng)對(duì)外接口，用戶通過使 SDKDNS接入、接入移動(dòng)加速來服務(wù)旁路形式構(gòu)建在TIX/TGW上，主要絡(luò)流量分析，對(duì)DDoS攻擊、漏洞注入進(jìn)行管理IP資源的使用：分為完全離線、部分離線、準(zhǔn)實(shí)時(shí)三計(jì)算層次。完全離線使用TDW計(jì)算，主要是隔天數(shù)據(jù)；部分離線使用hadoop計(jì)算，主要是小時(shí)數(shù)據(jù)；準(zhǔn)實(shí)時(shí)使用CDB計(jì)算，主要是分鐘級(jí)數(shù)據(jù)。由3個(gè)層次的數(shù)據(jù)分別形成4套基礎(chǔ)數(shù)據(jù)庫：燈塔(toC惡意用戶信用模型)、U鏡(url模