云租戶等保合規(guī)模式探索

1、云租戶等保合規(guī)模式探索目錄碰到了什么問(wèn)題買(mǎi)/用哪些安全產(chǎn)品能過(guò)等保？過(guò)等保要花多少錢(qián)？現(xiàn)在還沒(méi)做等保還來(lái)及嗎？有什么影響？云上的安全是云平臺(tái)負(fù)責(zé)的吧？云服務(wù)商能做什么提供等保合規(guī)知識(shí)傳遞、完善解決方案。提供更易用、更安全的基礎(chǔ)平臺(tái)。提供符合等保的產(chǎn)品/功能。提供專業(yè)的咨詢服務(wù)。云租戶能做什么了解網(wǎng)絡(luò)安全法、等級(jí)保護(hù)基本要求。結(jié)合業(yè)務(wù)需求與ROI、應(yīng)用云服務(wù)商的產(chǎn)品/方案。參照合規(guī)要求、擁抱新技術(shù)、不斷提升安全保障 能力助力業(yè)務(wù)發(fā)展。等級(jí)測(cè)評(píng)結(jié)論與判斷依據(jù)|基本要求權(quán)重表|綜合得分計(jì)算公式|測(cè)評(píng)結(jié)論判定表|云計(jì)算測(cè)評(píng)結(jié)論表劃重點(diǎn)|測(cè)評(píng)結(jié)果及格分?jǐn)?shù)為70分。|測(cè)評(píng)結(jié)果有“優(yōu)”、“良”、“中”、“差

2、”四個(gè)等級(jí)。|存在高風(fēng)險(xiǎn)安全問(wèn)題則直接判定等級(jí)測(cè)評(píng)結(jié)論為“差”。|存在中風(fēng)險(xiǎn)安全問(wèn)題則無(wú)法獲得等級(jí)測(cè)評(píng)結(jié)論為“優(yōu)”。云計(jì)算安全等保擴(kuò)展要求云計(jì)算安全等 級(jí)保護(hù)基本要 求安全通用要求技術(shù)要求管理要求云計(jì)算安全擴(kuò) 展要求云計(jì)算平臺(tái)自 身安全要求云計(jì)算平臺(tái)提 供租戶的安全 服務(wù)能力要求針對(duì)租戶的安 全要求等級(jí)保護(hù)合規(guī)流程及推薦配置技術(shù)要求部分控制點(diǎn)概述推薦產(chǎn)品等保二級(jí)等保三級(jí)安全通信網(wǎng)絡(luò)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。VPC、ACL、安全組平臺(tái)自帶平臺(tái)自帶應(yīng)采用效驗(yàn)技術(shù)、密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性和保密生。SSL證書(shū)在網(wǎng)絡(luò)邊界處應(yīng)部署入侵防范和惡意代

3、碼檢測(cè)機(jī)制，防御并記錄入侵行為。WAF安全區(qū)域邊界對(duì)網(wǎng)絡(luò)中的用戶行為日志和安全事件信息進(jìn)行記錄和審計(jì)。WAF全量日志審計(jì)在內(nèi)外網(wǎng)的安全區(qū)域邊界設(shè)置訪問(wèn)控制策略，并防止或限制從外部/內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行護(hù)DDOS為，記錄并報(bào)警。應(yīng)啟用安全審計(jì)功能，對(duì)用戶行為和安全時(shí)間進(jìn)行審計(jì)。數(shù)據(jù)庫(kù)審計(jì)應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，在經(jīng)過(guò)充分評(píng)估后及時(shí)修補(bǔ)漏洞。漏洞掃描安全計(jì)算環(huán)境應(yīng)能檢測(cè)到入侵行為，并能對(duì)惡意代碼進(jìn)行防范，提供報(bào)警并有效阻斷。主機(jī)安全應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的保密性。KMS應(yīng)僅采取和保存業(yè)務(wù)必需的用戶個(gè)人信息，禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息。數(shù)據(jù)脫敏安全管理中心應(yīng)支持多

4、因素身份認(rèn)證，只允許通過(guò)特定的命令和界面進(jìn)行管理操作并進(jìn)行審計(jì)。堡壘機(jī)對(duì)分散的設(shè)備、組件、主機(jī)以及安全策略、事件等進(jìn)行集中管理、審計(jì)、報(bào)警和分析。安全運(yùn)營(yíng)中心“個(gè)中、三重防護(hù)”合規(guī)推薦產(chǎn)品配置/solution/gradedprotection等保合規(guī)流程及各職責(zé)/solution/gradedprotection用戶層安全區(qū)域邊界安全計(jì)算環(huán)境安全安全管理中心通信 網(wǎng)絡(luò) 安全用戶 安全用戶 安全安全管理系統(tǒng) 管理安全 管理安全 審計(jì)集中 管控訪問(wèn)層安 全網(wǎng)絡(luò) 訪問(wèn)入侵 防御API接口WEB服務(wù)安全 審計(jì)可信 驗(yàn)證云服務(wù)層overlay云資源層underlay 資源抽象控制層安全基礎(chǔ)設(shè)施與網(wǎng)絡(luò)安

5、全 物理與環(huán)境安全網(wǎng)絡(luò)和主機(jī)安全訪問(wèn)控制安全審計(jì)身份鑒別可信驗(yàn)證業(yè)務(wù)安全數(shù)據(jù)安全云平臺(tái)安全設(shè)計(jì)框架云安全責(zé)任邊界/services/security網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)自頂向下設(shè)計(jì)的安全合規(guī)和運(yùn)營(yíng)體系全棧安全基礎(chǔ)架構(gòu)與可信計(jì)算數(shù)據(jù)安全中臺(tái)數(shù)據(jù)產(chǎn)生和獲取Data at RestData in TransitData in Use數(shù)據(jù)退役和銷(xiāo)毀數(shù)據(jù)合規(guī)和治理數(shù)據(jù)訪問(wèn)監(jiān)控和響應(yīng)難點(diǎn)1：分類、治理和策略難點(diǎn)2：DaR/DiT/DiU加密技術(shù)難點(diǎn)4：事件監(jiān)測(cè)分析難點(diǎn)3：密鑰管理Data-at-RestData-in-UseData-in-Transit存儲(chǔ)加密(卷/

6、對(duì)象/文件)訪問(wèn)控制數(shù)據(jù)退役和安全擦除備份安全云服務(wù)商SOD安全計(jì)算(同態(tài)加 密、多方計(jì)算、差 分隱私)安全計(jì)算環(huán)境(TPM、TEE)加密算法隱私保護(hù)算法傳輸加密身份驗(yàn)證傳輸抗抵賴性邊界安全數(shù)據(jù)重定位數(shù)據(jù)外包安全云服務(wù)商流程和審計(jì)計(jì)算環(huán)境隔離數(shù)據(jù)安全中臺(tái)數(shù)據(jù)安全 能力中臺(tái)HSM/SEM數(shù)據(jù)加密軟硬件服務(wù)KMS密鑰管理系統(tǒng)Secrets Manager憑據(jù)管理系統(tǒng)SparklingSnova數(shù)據(jù)獲取Data Ingestion and SourcingCKafkaCMQRedisAPIStreamBIEMRTIMongoDBES 事務(wù)處理和檢索 Transaction, Catalog, Sea

7、rchPostgresqlMYSQLTDSQLTDSQL 分析與數(shù)據(jù)服務(wù) Analysis, Intelligence, ServingCFSAPICOSCBSCVMVPN 數(shù)據(jù)訪問(wèn)與消費(fèi) Data Access and Consume原始數(shù)據(jù)歸一智能分析決策與反饋數(shù)據(jù)安全能力中臺(tái)服務(wù)身份認(rèn)證 秘鑰管理應(yīng)用加密網(wǎng) 絡(luò) 加 密 計(jì) 算 加 密憑據(jù)托管 日志審計(jì) 可視化管理| 全數(shù)據(jù)生命周期支持、完整的云產(chǎn)品生態(tài)集成、國(guó)密與FIPS標(biāo)準(zhǔn)全數(shù)據(jù)生命周期支持完整的云產(chǎn)品生態(tài)集成隨取隨用的加密API或SDK服務(wù)數(shù)據(jù)安全中臺(tái)| 騰訊云數(shù)據(jù)安全能力中臺(tái)，提供極簡(jiǎn)的加密API或SDK服務(wù)管 控 層中 間 件

8、層產(chǎn) 品 層接 入 層GVSMSVSMEVSMCloudHSM密碼服務(wù)實(shí)例SEMSEM軟件加密庫(kù)SDK密碼資源統(tǒng)一監(jiān)控密碼資源統(tǒng)一管理密碼資源動(dòng)態(tài)調(diào)配業(yè)務(wù)調(diào)用統(tǒng)計(jì)分析告警策略管理日志審計(jì)管理密鑰生命周期管理Secrets Manager加密基礎(chǔ)組件COSCBSTDSQL數(shù)字簽名驗(yàn)證服務(wù)CA證書(shū)服務(wù)物聯(lián)網(wǎng)加密服務(wù)專用密碼應(yīng)用組件數(shù)據(jù)庫(kù)加密CASB服務(wù)客戶側(cè)加密組件TLS/SSL加密組件傳輸加密統(tǒng)一密碼應(yīng)用接入服務(wù)（加密應(yīng)用API、SDK）CMQ運(yùn) 算 層SGXSGXSGX / TEE安全計(jì)算環(huán)境MYSQL互聯(lián)網(wǎng)、政務(wù)、金融、行業(yè)業(yè)務(wù)系統(tǒng)云上安全運(yùn)營(yíng)中心數(shù)據(jù)提取、清洗、標(biāo)準(zhǔn)化，構(gòu)建云上安全數(shù)據(jù)湖資

9、產(chǎn)數(shù)據(jù) 云操作行為數(shù)據(jù) 云配置數(shù)據(jù)DDoS數(shù)據(jù) WAF數(shù)據(jù) 云鏡數(shù)據(jù)基于規(guī)則的安全分析引擎AI&ML輔助分析引擎資產(chǎn) 安全攻擊面 測(cè)繪應(yīng)急漏洞云安全配置管理合規(guī) 管理安全事件管理UBA處置 建議安全 編排日志 審計(jì)調(diào)查 溯源整體安全 評(píng)分安全態(tài)勢(shì)儀表 盤(pán)整體安全 大屏事前安全預(yù)防事中事件監(jiān)測(cè)與威脅檢測(cè)事后響應(yīng)處置主機(jī)安全 大屏網(wǎng)絡(luò)安全大屏數(shù)據(jù)層分析層功能層可視層流量威 脅感知安全預(yù)防：防患于未然，提升安全水位事件監(jiān)測(cè)與威脅檢測(cè)：全面覆蓋、統(tǒng)一運(yùn)營(yíng)響應(yīng)處置：高效及時(shí)應(yīng)對(duì)安全風(fēng)險(xiǎn)與威脅安全可視：直觀呈現(xiàn)安全態(tài)勢(shì)與建設(shè)成果CLB日志CDB日志DevSecOps持續(xù)管理項(xiàng)目管理需求/任務(wù)管理缺陷管理迭

10、代/版本管理測(cè)試管理源代碼管理制品管理資源和文檔管理構(gòu)建環(huán)境權(quán)限中心憑據(jù)管理持續(xù)集成流水線管理代碼拉取單元測(cè)試報(bào)告收集代碼檢查/腳本執(zhí)行構(gòu)建/打包編譯加速/App簽名質(zhì)量關(guān)卡容器鏡像構(gòu)建制品歸檔第三方工具集成持續(xù)運(yùn)維自動(dòng)擴(kuò)縮容故障自愈監(jiān)控告警服務(wù)治理作業(yè)平臺(tái)日志分析項(xiàng)目經(jīng)理產(chǎn)品經(jīng)理業(yè)務(wù)部門(mén)架構(gòu)師測(cè)試團(tuán)隊(duì)開(kāi)發(fā)測(cè)試運(yùn)維持續(xù)發(fā)布虛擬機(jī)發(fā)布容器發(fā)布容器平臺(tái)CMDB/環(huán)境、配置管理自動(dòng)化發(fā)布工具灰度發(fā)布、藍(lán)綠發(fā)布持續(xù)測(cè)試接口測(cè)試集成測(cè)試性能測(cè)試UI自動(dòng)化測(cè)試安全漏洞測(cè)試Mock服務(wù)測(cè)試數(shù)據(jù)工廠持續(xù)度量交付KPI質(zhì)量KPI效能KPI騰 訊 藍(lán) 鯨DevOps解 決 方 案安全編碼規(guī)則 靜態(tài)代碼掃描安全意識(shí)

11、培訓(xùn)安全開(kāi)發(fā)培訓(xùn)安全運(yùn)維 威脅響應(yīng)攻擊面分析 威脅建模合規(guī)性分析安全測(cè)試培訓(xùn) 風(fēng)險(xiǎn)評(píng)估動(dòng)態(tài)代碼掃 描 滲透測(cè)試安全發(fā)布 標(biāo)準(zhǔn)安全 設(shè)置安全意識(shí)需求發(fā)布設(shè)計(jì)開(kāi)發(fā)測(cè)試部署響應(yīng)ServerlessFunctionsApplicationsRuntimeContainersO/SVirtualizationHardwarePhysical MachineCustomerVenderVirtual MachineFunctionsApplicationsRuntimeContainersO/SVirtualizationHardwareContainerFunctionsApplicationsRunt

12、imeContainersO/SVirtualizationHardwareServerlessFunctionsApplicationsRuntimeContainersO/SVirtualizationHardware聚焦業(yè)務(wù)，快速迭代，提高產(chǎn)品競(jìng)爭(zhēng)力云計(jì)算：去基礎(chǔ)架構(gòu)的過(guò)程Serverless 符合云計(jì)算發(fā)展的方向企業(yè)CSO視角安全專家服務(wù)能力安全服務(wù)專家安全服務(wù)內(nèi)容安全服務(wù)運(yùn)營(yíng)業(yè)務(wù)全生命周 期安全保障外部安全信息內(nèi)部安全信息 威脅與風(fēng)險(xiǎn)信息（阻斷-檢測(cè)-響應(yīng)-預(yù)防）現(xiàn)場(chǎng)值守專家騰訊安全專家顧問(wèn)團(tuán)行業(yè)安全專家團(tuán)人工服務(wù)+工具輔助上線前風(fēng)險(xiǎn)與漏洞檢測(cè)日常安全運(yùn)維與威脅監(jiān)測(cè)應(yīng)急響應(yīng)與安全演練

13、安全咨詢與持續(xù)改進(jìn)漏洞 掃描基線 檢查上線 檢測(cè)滲透 測(cè)試應(yīng)急 響應(yīng)代碼 審計(jì)安全 值守安全 咨詢等保 咨詢風(fēng)險(xiǎn) 評(píng)估攻防：Defense情報(bào)：Intelligence管理：Effective Management規(guī)劃 ：Advanced Planning實(shí)時(shí)、快速識(shí)別安全風(fēng)險(xiǎn)的能力先進(jìn)的攻防技術(shù)人才、經(jīng)驗(yàn)和能力高效、有效管理信息資產(chǎn)安全的能力對(duì)未來(lái)新業(yè)務(wù)場(chǎng)景下安全挑戰(zhàn)的前瞻能力騰訊安全戰(zhàn)略觀IDEA模型步驟最佳實(shí)踐實(shí)施方法騰訊安全專家服務(wù)1明確驅(qū)動(dòng)因素了解有哪些驅(qū)動(dòng)因素（外因、內(nèi)因）安全咨詢、合規(guī)咨詢2定義問(wèn)題通過(guò)調(diào)研、咨詢明確到了什么程度安全咨詢、安全培訓(xùn)3定義路線通過(guò)調(diào)研、咨詢明確要達(dá)到什么目標(biāo)安全咨詢、安全培訓(xùn)4計(jì)劃方案參照行業(yè)最佳實(shí)踐，確定要完成什么行動(dòng)安全咨詢（最佳實(shí)踐方案）5執(zhí)行計(jì)劃通過(guò)咨詢服務(wù)或采購(gòu)專業(yè)的產(chǎn)品與服務(wù)形成解決方案與實(shí)施計(jì)劃安全集成、專項(xiàng)安全服務(wù)6實(shí)現(xiàn)效益通過(guò)項(xiàng)目實(shí)施展現(xiàn)是否實(shí)現(xiàn)計(jì)劃安全集成7審查有效性通過(guò)內(nèi)、